TP sysres IMA2a5 2016/2017 G2

De Wiki d'activités IMA

Introduction

Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech.

L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6.

Architecture

Schéma global

 http://projets-ima.plil.net/mediawiki/index.php?title=Fichier:20161202_120936.jpg

Récapitulatif des IP

 VLAN  |      Réseau     | Prénom  |   Xen    |      IP Xen       
--------------------------------------------------------------
VLAN20   10.60.20.0/24     Dimitri   Vald       193.48.57.182/28
VLAN21   10.60.21.0/24     Nabil     Pnl        193.48.57.177/28
VLAN22   10.60.22.0/24     Otmane    Lartiste   193.48.57.178/28
VLAN23   10.60.23.0/24     Hugo      Gradur     193.48.57.179/28
VLAN24   10.60.24.0/24     Clement   Gringe     193.48.57.180/28
VLAN25   10.60.25.0/24     Joan      Orelsan    193.48.57.181/28
VLAN26   193.48.57.176/28  Xen

Routeur de Dimitri:

   10.60.2?.1
   193.48.57.190
   192.168.222.9 

Routeur de Nabil:

   10.60.2?.2
   193.48.57.189
   192.168.222.10 

Modifier Proxy : (si le proxy de l'école ne fonctionne pas)

 "/etc/apt/apt.conf.d/01proxy"
 Acquire::http::Proxy "http://helfaut.escaut.net:3128";

Configuration du commutateur

Branchement :

 Se brancher au commutateur sur le port console.

Connexion :

 Se mettre en root
 minicom -os /dev/tty/USB0 (selon le port où vous êtes connecté)
 en (mode enable)

Etat du commutateur :

 show interface summary
 show vlan
 show run

Création des Vlans

Dans le minicom :

 config term
 vlan 2 (crée vlan 2)
 Gradur (nom de la vlan -> noms de rapeurs comme il a était décidé en groupe)
 exit (x2 pour quitter)
 write

Supprimer une Vlan (au cas où):

 no vlan 2

Configuration des ports

(Se référer au schéma global)

Pour les vlans :

 interface FastEthernet ?/?
 switchport mode access (rend accessible)
 switchport access vlan 2 (définit quelle vlan à accès au port)
 no shut (pré-sauvegarde la config)
 exit
 write

Pour les ports gigabits :

 configure terminal
 interface Gi?/??
 switchport
 switch port trunk encapsulation dot1q
 switchport mode trunk
 exit
 write

Machine virtuelle

Créer sa VM

Connexion au serveur Corduan :

 ssh cordouan.insecserv.deule.net

Création d'une image du serveur :

 xen-create-image

Ajouter des paramètres comme ci-dessous :

 --hostname Gradur
 -- ip 193.48.57.179
 -- dir /usr/local/xen

Liste des machines virtuelles ouvertes sur corduan :

 xl list 

Lancer sa VM

Lancer sa machine virtuelle :

 xl create /etc/xen/Gradur.cfg

En cas d'erreur, cela est probablement dû à une version différente du kernel linux du serveur et de la machine virtuelle:

 ls /boot -> pour avoir la version
 vim Gradur.cfg -> modifier les 2 occurrences de la version

Se connecter à sa VM

Se connecter à sa machine virtuelle :

 xl console Gradur

Quitter la VM :

 crtl+Alt Gr + ]

Acheter un nom de domaine sur :

 www.gandi.net

Installation et configuration des serveurs Web apache2 et bind9

Installation des packages

(sur sa VM et pas corduan ...)

 apt-get install apache2
 apt-get install bind9

DNS

Modifier le lien entre serveur DNS et l'ip du nom de domaine sur www.gandi.net

 Cliquer sur son nom de domaine puis sur Gérer les 'glue records'
 dns.gradur.website 	  193.48.57.179
 Cliquer sur Modifier les DNS 
 dns.gradur.website
 ns6.gandi.net

Dans le fichier de conf etc/bind/named.conf.option local rajouter les options :

 options {
   allow-transfer { "allowed_to_transfer"; };
 };
 acl "allowed_to_transfer" {
   193.48.57.0/24 ;
   ...
 };

Dans le fichier de conf etc/bind/named.conf.local rajouter :

 zone "Gradur.website" {
   type master;
   file "/etc/bind/Gradur.website/Gradur";
 };

On crée le fichier de zone Gradur dans Gradure.website (en s'inspirant du cours 7.1 Service de nommage DNS) :

 $TTL 259200
 @ IN SOA dns.gradur.website. postmaster.gradur.website. (
        10               ; Version
        7200             ; Refresh (2h)
        3600             ; Retry   (1h)
        1209600          ; Expire (14j)
        259200 )         ; Minimum TTL (3j)
         IN NS dns.gradur.website.
         IN A       193.48.57.179
         IN MX      100 193.48.57.179
 dns     IN A       193.48.57.179


Modifier siteweb :

 vim /var/www/html/index.html

DNSSEC

Tout d'abord, on autorise le dnssec dans le fichier de conf :

 /etc/bind/named.conf.options
 -> dnssec-enable yes;

On génère les clefs asymétriques ZSK et KSK dans un dossier dédié :

 mkdir gradur.website.dnssec ; cd gradur.website.dnssec
 dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE gradur.website
 dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE gradur.website

On les renomme et on les inclue dans le fichier de zone :

 vim /etc/bind/gradur.website
 $include /etc/bind/gradur.website.dnssec/gradur.website-ksk.key
 $include /etc/bind/gradur.website.dnssec/gradur.website-zsk.key

On signe le fichier de zone :

 dnssec-signzone -o gradur.website -k gradur.website-ksk ../gradur.website gradur.website-zsk

On relance le service bind9 :

 service bind9 restart

Attendre la diffusion des serveurs Gandi.

HTTPS

Autoriser le ssl :

 a2ensite default-ssl.conf
 a2enmod ssl

Récupérer les 2 fichiers crt, key et crt :

 Copier coller dans un nouveau fichier depuis le site : https://www.gandi.net/admin/ssl/374220/details 
 Le certificat 
 La clef privée (déjà sur l'ordi)
 L'intermédiaire 

Les rajouter dans la configue :

 vim /etc/apache2/sites-available/default-ssl.conf
 -> SSLCertificateFile /etc/apache2/cerbere.cert
 -> SSLCertificateKeyFile /bind/cerbere.key
 -> SSLCertificateChainFile /etc/apache2/Gandi.cert

Lancer les commandes de log pour voir les erreurs si il y en a :

 cat /var/log/daemon.log
 cat /var/log/apache2/error.log

Relancer le service apache :

 service apache2 stop
 service apache2 start

Le site est maintenant disponible en https :

 https://gradur.website/

Serveur mail

Installation package postfix :

 apt-get install postfix

Ajouter les options suivantes :

 internet site
 gradur.website

Creation d'un alias :

 vim /etc/aliases
 Ajouter -> admin : root
 newaliases

Installation package mailx :

 apt-get install bsd-mailx

MLaintenant on peut recevoir des mails à l'adresse :

 admin@gradur.website

Visualiser les mails :

 mail


Certificat CSR (https)

 Sur gandi.net acheter une clef CSR

Cassage de clef WEP

On passe la carte wifi en mode moniteur :

 airmon-ng start wlan0mon

On regarde les réseaux wifi disponible avec un chiffrement WEP:

 airodump-ng --encrypt wep wlan0mon

On sélectionne un réseau cracotte (configuré en WEP). Le mieux étant de choisir un réseau dans lequel transite des paquets afin de les récupérer. (pour ne pas devoir en générer sois-même).

 airodump-ng -w out -c 10 -essid cracotte0? wlan0mon

Il faut ensuite attendre d'avoir récupérer suffisament de paquets (>20.000 pour être sur d'un résultat). On lance le crack de la clé WEP:

 aircrack-ng out-01.pcap
 KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]


Conclusion

Ce TP regroupe et traite beaucoup de tâches différentes concernant les configurations réseaux, allant du câblage de baies serveurs au communications sécurisées. J'ai le sentiment d'avoir beaucoup appris et que je pourrai mettre en application ces connaissances en entreprise très prochainement.