TP sysres IMA2a5 2019/2020 G4 : Différence entre versions
(→Découpage du réseau) |
(→Installation dans la machine virtuelle Xen) |
||
Ligne 99 : | Ligne 99 : | ||
==== Paramétrage du certificat ==== | ==== Paramétrage du certificat ==== | ||
− | == | + | == Machine virtuelle Xen == |
=== Cahier des charges === | === Cahier des charges === | ||
Comme indiqué dans le sujet, nous allons créer une machine virtuelle via l'utilitaire [https://wiki.xenproject.org/wiki/Xen_Project_4.11_Man_Pages Xen] Linux sur le '''dom0 cordouan.insecserv.deule.net''' via la commande '''ssh''' et le compte administrateur usuel.Sur notre machine virtuelle nous créerons par la suite un compte pifou et un compte root identique au Zabeth. | Comme indiqué dans le sujet, nous allons créer une machine virtuelle via l'utilitaire [https://wiki.xenproject.org/wiki/Xen_Project_4.11_Man_Pages Xen] Linux sur le '''dom0 cordouan.insecserv.deule.net''' via la commande '''ssh''' et le compte administrateur usuel.Sur notre machine virtuelle nous créerons par la suite un compte pifou et un compte root identique au Zabeth. |
Version du 13 novembre 2019 à 09:39
Sommaire
- 1 Descriptif du projet
- 2 Découpage du réseau
- 3 Machine virtuelle Xen
- 4 Client Wifi - ordinateur Requin
Descriptif du projet
Le groupe est constitué de :
- Malick SECK
- Gael WATBLED
Découpage du réseau
Description | Détails |
---|---|
ID VLAN | 4 |
Réseau IP V4 | 10.60.4.0/24 |
Adresse IPv4 | 193.48.57.164/28 |
Adresse de broadcast | 193.48.57.175/28 |
Nom du PC | Morue |
Poste de travail | Zabeth08 |
Nom de domaine
Pour la réalisation de ce TP, nous avons dû acheter un nom de domaine via le site Gandi.net . On retiendra que notre nom de domaine est : [1].
Paramétrage du DNS avec Gandi.net
DNS
A faire
Configuration du Certificat SSL
Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web.
Génération du certificat
La première étape pour générer un certificat est de concevoir un jeu de 2 clefs qui sont un .key et un .csr Pour obtenir ces deux fichiers, nous utilisons l'utilitaire OpenSSL.
openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-wateck.key -out ima2a5-wateck.csr
Argument | explication |
---|---|
req | Gestion X.509 Certificate Signing Request (CSR). |
-nodes | Pas de chiffrage sur la clef privée (option arbitraire no des) |
-newkey rsa:2048 | demande de Génération d'une paire de clef RSA de 2048 bits et d'une demande de certificat. |
-keyout ima2a5-wateck.key | spécification du nom de notre .key |
-out ima2a5-wateck.csr | spécification du nom de notre demande de certificat .csr |
Country Name (2 letter code) [AU]:FR State or Province Name (full name) [Some-State]:Nord Locality Name (eg, city) []:Lille Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille Organizational Unit Name (eg, section) []:IMA2A5 Common Name (e.g. server FQDN or YOUR name) []:ima2a5-wateck.site Email Address []:gael.watbled@polytech-lille.net Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:glopglop! Optionnal informations :
Contenu du CSR
-----BEGIN CERTIFICATE REQUEST----- -----END CERTIFICATE REQUEST-----
Paramétrage du certificat
Machine virtuelle Xen
Cahier des charges
Comme indiqué dans le sujet, nous allons créer une machine virtuelle via l'utilitaire Xen Linux sur le dom0 cordouan.insecserv.deule.net via la commande ssh et le compte administrateur usuel.Sur notre machine virtuelle nous créerons par la suite un compte pifou et un compte root identique au Zabeth.
Installation Summary --------------------- Hostname : ima2a5-wateck Distribution : ascii MAC Address : xxxxxxxxxxx IP Address(es) : dynamic SSH Fingerprint : SHA256:xxxxxxx (DSA) SSH Fingerprint : SHA256:xxxxxxx (ECDSA) SSH Fingerprint : SHA256:xxxxxxx (ED25519) SSH Fingerprint : SHA256:xxxxxxx (RSA) Root Password : sZzrYYPFZEwxsfmFghddGW5
La commande xen-create-image
Après s'être connecté, il faut maintenant
xen-create-image --hostname=ima2a5-rex4ever --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force
L'installation se lance alors :
root@cordouan:~# xen-create-image --hostname=ima2a5-rex4ever --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force Use of uninitialized value within %DIST in pattern match (m//) at /usr/bin/xen-create-image line 1803. General Information -------------------- Hostname : ima2a5-rex4ever Distribution : ascii Mirror : http://fr.deb.devuan.org/merged/ Partitions : swap 512M (swap) / 4G (ext4) Image type : sparse Memory size : 256M Kernel path : /boot/vmlinuz-4.9.0-6-amd64 Initrd path : /boot/initrd.img-4.9.0-6-amd64 Networking Information ---------------------- IP Address : DHCP [MAC: xxxxxxx] Creating partition image: /usr/local/xen/domains/ima2a5-wateck/swap.img Done Creating swap on /usr/local/xen/domains/ima2a5-wateck/swap.img Done Creating partition image: /usr/local/xen/domains/ima2a5-wateck/disk.img Done Creating ext4 filesystem on /usr/local/xen/domains/ima2a5-wateck/disk.img Done Installation method: debootstrap
L'installation peut sembler bloquer sur cette dernière ligne mais il est possible de voir ce qui se passe en arrière plan via un second terminal en SSH et la commande SSH
tail -f /var/xen-tools/ima2a5-wateck.log
Ajout du bridge à ima2a5-rex4ever.cfg
Dans un premier lieu, on regarde l'existence du brige sur l'hote distant via :
brctl show
Ce qui nous retourne :
bridge name bridge id STP enabled interfaces IMA2a5 8000.000af75e3dc0 no eth1 eth2 if3.0 IMA5sc 8000.000af75e3dc2 no eth3 eth5 Insecure 8000.c81f66c22b83 no vlan6 L3MRIT 8000.000af763ae2d no eth4 StudentsInfo 8000.c81f66c22b83 no vlan50
On voit bien l'existence du bridge IMA2a5, il faut donc l'ajouter à notre .cfg qui est le fichier de configuration de la VM (/etc/xen/ima2a5-rex4ever.cfg) et on modifie la ligne commençant par vif = et on ajoute le bridge de la manière suivante :
vif = ['MAC:xxxxx,bridge = IMA2a5']
Après avoir modifié ce fichier, il faut le parser : xl create /etc/xen/ima2a5-rex4ever.cfg Une erreur NUMA placement failed, performance might be affected peut apparaître mais elle indique juste que xen n'arrive pas à disposer les VM comme il veut sur les procs, mais cela n'impactera que les performances nous passons outre ce problème.
Démarrer la VM et accès console
On lance alors la commande pour démarrer la machine virtuelle:
xl console ima2a5-rex4ever
La machine virtuelle est maintenant allumée !
il demande alors le login (root) et le mdp (longue chaine précédemment générée). Après nous être logué,on change le mot de passe qui devient le même que le mot de passe du root de corduan ou d'une zabeth.
Montage des répertoires /var et /home
Creation des disques logique
Il faut d'abord créer les partitions logique via :
lvcreate -L10G -n ima2a5-rex4ever-home virtual lvcreate -L10G -n ima2a5-rex4ever-var virtual
Il est possible qu'il affiche l'avertissement suivant : WARNING: ext2 signature detected on /dev/virtual/ima2a5-rex4ever-home at offset 1080. Wipe it? [y/n] repondre alors oui(y). Il est possible de verifier que votre partition a bien été crée via la commande :
lvdisplay
On obtient alors dans la liste de toutes les partitions, nous deux partitions précedemment créées
--- Logical volume --- LV Path /dev/virtual/ima2a5-rex4ever-home LV Name ima2a5-rex4ever-home VG Name virtual LV UUID mhJqFx-zO1m-PlOU-Zmeu-8NGx-7UUO-c2g9dP LV Write Access read/write LV Creation host, time cordouan, 2019-11-08 08:47:26 +0000 LV Status available # open 0 LV Size 10.00 GiB Current LE 2560 Segments 1 Allocation inherit Read ahead sectors auto - currently set to 256 Block device 254:3 --- Logical volume --- LV Path /dev/virtual/ima2a5-rex4ever-var LV Name ima2a5-rex4ever-var VG Name virtual LV UUID 9Bnl6S-6CE5-CtO2-hD8f-RidD-sps5-b1mrWg LV Write Access read/write LV Creation host, time cordouan, 2019-11-08 08:50:57 +0000 LV Status available # open 0 LV Size 10.00 GiB Current LE 2560 Segments 1 Allocation inherit Read ahead sectors auto - currently set to 256 Block device 254:4
Il faut maintenant faire pointer le système de fichier sur nos deux nouveaux repertoires pour finir la création :
mke2fs /dev/virtual/ima2a5-rex4ever-home mke2fs /dev/virtual/ima2a5-rex4ever-var
Nos deux disques sont maintenant prêt, il ne reste plus qu'a les connecter avec la VM. Pour cela, il faut modifier le .cfg de nouveau.
Modification du fichier de configuration
Retournons donc dans le fichier /etc/xen/ima2a5-rex4ever.cfg et dans la section disk modifier tel que :
disk = [ 'file:/usr/local/xen/domains/ima2a5-rex4ever/disk.img,xvda2,w', 'file:/usr/local/xen/domains/ima2a5-rex4ever/swap.img,xvda1,w', 'phy:/dev/virtual/ima2a5-rex4ever-home,xvdb1,w', 'phy:/dev/virtual/ima2a5-rex4ever-var,xvdb2,w', ]
Pour prendre effet il faut redémarrer la VM à l'aide des commandes
xl destroy ima2a5-rex4ever xl create /etc/xen/ima2a5-rex4ever.cfg
Configuration pour forcer le montage à chaque démarrage de la VM
Il faut ensuite aller dans la VM dans /etc/fstab et ajouter
/dev/xvdb1 /home ext4 defaults 0 2 #/dev/xvdb2 /var ext4 defaults 0 2
Ces deux lignes permettent d'assurer que les 2 disques /var et /home soient pris en compte au démarrage de la VM.(ATTENTION POUR LE MOMENT BIEN LAISSER # DEVANT LA 2eme LIGNE) Relancer la machine comme précédemment expliqué et testé que le /home fonctionne. Pour le /var c'est un peu plus compliqué comme manipulation et il faut faire EXTREMENT attention , une fausse manipulation peut tuer la machine.
mount /dev/xvdb2 /mnt rm -rf /mnt/lock rm -rf /mnt/log rm -rf /mnt/run mv /var/* /mnt vi /etc/fstab
Maintenant decommentez la deuxième ligne que vous aviez ajouté précedemment. Puis il faut lancer la commande :
umount /mnt mount -a
A l'aide de la commande fdisk -l depuis la VM, on peut verifier que nos quatres disques sont bien montés.De même avec df on obtient bien dans la liste les lignes :
Filesystem 1K-blocks Used Available Use% Mounted on udev 75004 0 75004 0% /dev tmpfs 23824 76 23748 1% /run /dev/xvda2 4062912 459920 3376896 12% / tmpfs 5120 0 5120 0% /run/lock tmpfs 152500 0 152500 0% /run/shm /dev/xvdb1 10321208 23028 9773892 1% /home /dev/xvdb2 10321208 71076 9725844 1% /var
La machine est donc prête, on peut passer à l'installation des paquetages linux nécessaires
Mise en place de l'adresse statique
Précedemment nous avions mis l'adresse en DHCP or il est demandé
Paquetage Linux
Pour commencer, on va tout d'abord mettre le système à jour via :
sudo apt-get update
Paquetages nécessaires pour le SSH
OpenSSH est un ensemble d'outils libres pour établir des communications chiffrées, donc sécurisées, sur un réseau informatique grâce au protocole SSH (Secure SHell). Il chiffre tout le trafic (mots de passe y compris), via une combinaison astucieuse de chiffrement symétrique et asymétrique. OpenSSH fournit également d'autres méthodes d'authentification alternatives au traditionnel mot de passe. Comme son nom l'indique, OpenSSH est développé dans le cadre du projet OpenBSD.
Nom de la bibliothèque | Descriptif | Commande |
---|---|---|
OpenSSh Client | Utilitaires de connexion SSH partie Client | sudo apt-get install openssh-client |
OpenSSh Server | Utilitaires de connexion SSH partie Server | sudo apt install openssh-server |
Client Wifi - ordinateur Requin
Description
Notre Client Wi-fi est un ordinateur portable fourni par Monsieur Redon. Il ne nécessite pas nécessairement de configuration. Cependant, la clef Wi-Fi fournie avec elle doit être paramétrée (la datasheet peut se trouver à l'adresse suivant ; Datasheet). De plus, il faut installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA
Installation du paquetage AirCrack-ng
Pour installer AirCrack (utilitaire qui permet de casser les clefs WEP et WPA), il suffit de taper la commande :
apt-get install aircrack-ng
Note: il faut auparavant configurer le réseau pour se connecter à internet.
Utilisation de AirCrack
Après avoir branché la clef WiFi, on se sert de airmon-ng qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmong-ng start NOMRESEAUESPIONNABLE
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng --encrypt wep NOMRESEAUESPIONNABLE
Puis à l'aide d'un second terminal, on peut stocker les informations volées dans un .txt :
Airodump-ng FICHIER.txt -c 2 --bssid ADDRESSBSSID NOMRESEAUESPIONNABLE
Ce qui donne dans notre cas :
airmon-ng airmong-ng start wlan0mon airodump-ng --encrypt wep wlan0mon Airodump-ng -w reseau_1.txt -c 2 --bssid 04:DA:D2:50:50 wlan0mon
Commence alors le craquage de la clef Wifi en Wep. On estime qu'il faut capturer plus ou moins 5 000 datas pour approximer 50% de chance de craquer la clef. Cela prends un certain temps