TP sysres IMA2a5 2021/2022 G7 : Différence entre versions
(6 révisions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
− | '''Test d'intrusion :''' | + | |
+ | == '''Test d'intrusion :''' == | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
'''Clé WEP :''' | '''Clé WEP :''' | ||
Dans cette section, nous avons utilisé les eeePC et les clés WI-pi pour pouvoir faire nos tests. | Dans cette section, nous avons utilisé les eeePC et les clés WI-pi pour pouvoir faire nos tests. | ||
Ligne 6 : | Ligne 11 : | ||
La prochaine étape était de voir les différentes trames qui transitaient sur le réseau. Pour cela nous avons lancé la commande (airodump-ng wlan0mon). On peut voir les différentes trames qui circulent. Nous repérons donc le BSSID de la machine qui nous intéressent (ce sont les raspberry), pour ma part c'était cracotte05. | La prochaine étape était de voir les différentes trames qui transitaient sur le réseau. Pour cela nous avons lancé la commande (airodump-ng wlan0mon). On peut voir les différentes trames qui circulent. Nous repérons donc le BSSID de la machine qui nous intéressent (ce sont les raspberry), pour ma part c'était cracotte05. | ||
Il suffit ensuite de récupérer les trames de cette machine qui nous intéressent dans un fichier (airodump -ng -c 3 --bssid BSSID wlan0. Une fois qu'il y'a assez de trames récupérées à l'aide de la commande aircrack-ng fichier.cap, nous obtenons alors la clé WEP | Il suffit ensuite de récupérer les trames de cette machine qui nous intéressent dans un fichier (airodump -ng -c 3 --bssid BSSID wlan0. Une fois qu'il y'a assez de trames récupérées à l'aide de la commande aircrack-ng fichier.cap, nous obtenons alors la clé WEP | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
'''Clé WPA :''' | '''Clé WPA :''' | ||
Presque le même principe que le cassage de la clé WEP pour le début. Suffit de lister les interface, passer sa carte réseau en moniteur... etc | Presque le même principe que le cassage de la clé WEP pour le début. Suffit de lister les interface, passer sa carte réseau en moniteur... etc | ||
Ici les machines qui nous intéressaient était kracotte05. Pour pouvoir déchiffrer le clé WPA, nous avons dû générer une bibliothèque de mot de passe avec de pouvoir tous les tester. Nous nous sommes limités qu'au chiffre (123456789). Pour cela la commande (crunch 8 8 123456789 >> /home/pifou/fichier_test.txt) permet de générer tous les mots de passe probables compris entre les chiffres indiqués. Le craquage de la clé WPA peut être long. La solution à cela est de décomposer le fichier de mot de passe en plusieurs parties afin que d'autres machines puissent aider à déchiffrer le mot de passe. | Ici les machines qui nous intéressaient était kracotte05. Pour pouvoir déchiffrer le clé WPA, nous avons dû générer une bibliothèque de mot de passe avec de pouvoir tous les tester. Nous nous sommes limités qu'au chiffre (123456789). Pour cela la commande (crunch 8 8 123456789 >> /home/pifou/fichier_test.txt) permet de générer tous les mots de passe probables compris entre les chiffres indiqués. Le craquage de la clé WPA peut être long. La solution à cela est de décomposer le fichier de mot de passe en plusieurs parties afin que d'autres machines puissent aider à déchiffrer le mot de passe. | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | |||
+ | == Configuration de réseau et du SSH de la Machine Virtuelle == | ||
+ | |||
+ | Afin que ma machine virtuelle puisse accéder à internet, nous devons au préalable modifier le fichier suivant : /etc/networks/interfaces | ||
+ | '' | ||
+ | auto eth0 | ||
+ | iface eth0 inet6 auto | ||
+ | iface eth0 inet static | ||
+ | address 10.60.100.167/24 | ||
+ | up ip address add dev eth0 193.48.57.167/32 ; ip route add default via 10.60.100.254 src 193.48.57.167 | ||
+ | down ip address del dev eth0 193.48.57.167/32 ; ip route del default via 10.60.100.254 src 193.48.57.167'' | ||
+ | |||
+ | On doit lancer ces deux commande suivante afin de redémarrer le système pour qu'il prenne en compte les modifications ( ifdown eth0 et ifup eth0) | ||
+ | |||
+ | '''Mettre en place le SSH''' | ||
+ | |||
+ | Nous devons décommenter la ligne PermitRootLogin yes | ||
+ | |||
+ | Après le redémarrage une nouvelle fois du système, nous pouvons ping 193.48.57.167 pour voir si nous avons une réponse. | ||
+ | |||
+ | Nous pouvons maintenant accéder à notre machine virtuelle : ssh 193.48.57.167 et en donnant le mot de passe que j'ai changé en TPreseau | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | == Configuration du serveur DNS == | ||
+ | |||
+ | Le DNS (Domain Name System) c'est ce qui nous permet d'établir la correspondance entre le nom de domaine d'un site et l'adresse IP où il est hébergé sur le réseau Internet. Dans un premier temps, nous avons acheté un nom de domaine le site de gandi.net. Le nom de domaine est gta59.site | ||
+ | Nous avons donc déclarer mon adresse IP 193.48.57.167 sur gandi.net dans l'onglet Glue Records et ns.gta59.site dans serveurs de noms | ||
+ | |||
+ | Nous avons également fait des modifications dans le fichier de configuration de bind /etc/bind/named.conf.options : | ||
+ | |||
+ | '' | ||
+ | options { | ||
+ | directory "/var/cache/bind"; | ||
+ | listen-on-v6 { any; }; | ||
+ | allow-transfer { "allowed_to_transfer"; }; | ||
+ | }; | ||
+ | acl "allowed_to_transfer"{ | ||
+ | 193.48.57.167/32; | ||
+ | }; | ||
+ | '' | ||
+ | |||
+ | et il est également nécessaire de modifier le fichier /etc/bind/db.gta59.site | ||
+ | |||
+ | '' | ||
+ | $TTL 3600 | ||
+ | @ IN SOA ns.gta59.site. postmaster.gta59.site. ( | ||
+ | 1 ; Version | ||
+ | 1800 ; Refresh (30 m) | ||
+ | 600 ; Retry (10 m) | ||
+ | 3600 ; Expire (1h) | ||
+ | 3600 ) ; Minimum TTL (1h) | ||
+ | @ IN NS ns.gta59.site. | ||
+ | @ IN NS ns6.gandi.net. | ||
+ | ns IN A 193.48.57.167'' | ||
+ | |||
+ | Mais également le fichier /etc/bind/named.conf.local | ||
+ | |||
+ | " | ||
+ | zone "gta59.site" { | ||
+ | type master; | ||
+ | file "etc/bind/db.gta59.site"; | ||
+ | };" | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | == Sécurisation du serveur DNS par DNSSEC == | ||
+ | |||
+ | Pour cela nous avons effectué plusieurs actions. Tout d'abord dans le fichier /etc/bind/named.conf.options nous avons décommenter la ligne "dnssec-enable yes". | ||
+ | Nous avons créé un répertoire nommé gta59.site.dnssec afin d'y générer nos clefs. Ensuite nous exécutons la commande " dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE gta59.site" afin d'y générer les clefs asymétriques de signature de clefs de zone. Il faut également créer les celfs asymétriques de la zone d'enregistrements à l'aide de la commande " dnssec-keygen -a RSASHA256 -b 1024 -n ZONE gta59.site" | ||
+ | On renomme les clefs à l'aide de la commande mv en Kgta59.site-ksk.key ou Kgta59.site-ksk.private (on le fait pour les 4). On retourne dans le fichier /etc/bind/db.gta59.site afin d'inclure "$include /etc/bind/gta59.dnssec/Kgta59.site-ksk.key" et "$include /etc/bind/gta59.site.dnssec/Kgta59.site-zsk.key". Enfin aprés cela on peut signer les enregistrements de la zone "dnssec-signzone -o db.gta59.site -k gta59.site-ksk ../gta59.site Kgta59.site-zsk. On peut remarquer qu'aprés la signature nous avons un .signed dans notre répertoire (à renseigner dans le fichier named.conf.local). |
Version actuelle datée du 2 décembre 2021 à 20:19
Sommaire
Test d'intrusion :
Clé WEP : Dans cette section, nous avons utilisé les eeePC et les clés WI-pi pour pouvoir faire nos tests. Tout d'abord, nous avons installer l'utilitaire aircrack (apt install aircrack-ng). À l'aide de la commande airmon -ng, on liste les différentes interfaces. On passe ensuite notre carte réseau en mode moniteur afin de surveiller le trafic avec airmon-ng start wlan0mon. La prochaine étape était de voir les différentes trames qui transitaient sur le réseau. Pour cela nous avons lancé la commande (airodump-ng wlan0mon). On peut voir les différentes trames qui circulent. Nous repérons donc le BSSID de la machine qui nous intéressent (ce sont les raspberry), pour ma part c'était cracotte05. Il suffit ensuite de récupérer les trames de cette machine qui nous intéressent dans un fichier (airodump -ng -c 3 --bssid BSSID wlan0. Une fois qu'il y'a assez de trames récupérées à l'aide de la commande aircrack-ng fichier.cap, nous obtenons alors la clé WEP
Clé WPA : Presque le même principe que le cassage de la clé WEP pour le début. Suffit de lister les interface, passer sa carte réseau en moniteur... etc Ici les machines qui nous intéressaient était kracotte05. Pour pouvoir déchiffrer le clé WPA, nous avons dû générer une bibliothèque de mot de passe avec de pouvoir tous les tester. Nous nous sommes limités qu'au chiffre (123456789). Pour cela la commande (crunch 8 8 123456789 >> /home/pifou/fichier_test.txt) permet de générer tous les mots de passe probables compris entre les chiffres indiqués. Le craquage de la clé WPA peut être long. La solution à cela est de décomposer le fichier de mot de passe en plusieurs parties afin que d'autres machines puissent aider à déchiffrer le mot de passe.
Configuration de réseau et du SSH de la Machine Virtuelle
Afin que ma machine virtuelle puisse accéder à internet, nous devons au préalable modifier le fichier suivant : /etc/networks/interfaces
auto eth0 iface eth0 inet6 auto iface eth0 inet static address 10.60.100.167/24 up ip address add dev eth0 193.48.57.167/32 ; ip route add default via 10.60.100.254 src 193.48.57.167 down ip address del dev eth0 193.48.57.167/32 ; ip route del default via 10.60.100.254 src 193.48.57.167
On doit lancer ces deux commande suivante afin de redémarrer le système pour qu'il prenne en compte les modifications ( ifdown eth0 et ifup eth0)
Mettre en place le SSH
Nous devons décommenter la ligne PermitRootLogin yes
Après le redémarrage une nouvelle fois du système, nous pouvons ping 193.48.57.167 pour voir si nous avons une réponse.
Nous pouvons maintenant accéder à notre machine virtuelle : ssh 193.48.57.167 et en donnant le mot de passe que j'ai changé en TPreseau
Configuration du serveur DNS
Le DNS (Domain Name System) c'est ce qui nous permet d'établir la correspondance entre le nom de domaine d'un site et l'adresse IP où il est hébergé sur le réseau Internet. Dans un premier temps, nous avons acheté un nom de domaine le site de gandi.net. Le nom de domaine est gta59.site Nous avons donc déclarer mon adresse IP 193.48.57.167 sur gandi.net dans l'onglet Glue Records et ns.gta59.site dans serveurs de noms
Nous avons également fait des modifications dans le fichier de configuration de bind /etc/bind/named.conf.options :
options { directory "/var/cache/bind"; listen-on-v6 { any; }; allow-transfer { "allowed_to_transfer"; };
}; acl "allowed_to_transfer"{
193.48.57.167/32;
};
et il est également nécessaire de modifier le fichier /etc/bind/db.gta59.site
$TTL 3600 @ IN SOA ns.gta59.site. postmaster.gta59.site. ( 1 ; Version 1800 ; Refresh (30 m) 600 ; Retry (10 m) 3600 ; Expire (1h) 3600 ) ; Minimum TTL (1h) @ IN NS ns.gta59.site. @ IN NS ns6.gandi.net. ns IN A 193.48.57.167
Mais également le fichier /etc/bind/named.conf.local
"
zone "gta59.site" { type master; file "etc/bind/db.gta59.site";
};"
Sécurisation du serveur DNS par DNSSEC
Pour cela nous avons effectué plusieurs actions. Tout d'abord dans le fichier /etc/bind/named.conf.options nous avons décommenter la ligne "dnssec-enable yes". Nous avons créé un répertoire nommé gta59.site.dnssec afin d'y générer nos clefs. Ensuite nous exécutons la commande " dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE gta59.site" afin d'y générer les clefs asymétriques de signature de clefs de zone. Il faut également créer les celfs asymétriques de la zone d'enregistrements à l'aide de la commande " dnssec-keygen -a RSASHA256 -b 1024 -n ZONE gta59.site" On renomme les clefs à l'aide de la commande mv en Kgta59.site-ksk.key ou Kgta59.site-ksk.private (on le fait pour les 4). On retourne dans le fichier /etc/bind/db.gta59.site afin d'inclure "$include /etc/bind/gta59.dnssec/Kgta59.site-ksk.key" et "$include /etc/bind/gta59.site.dnssec/Kgta59.site-zsk.key". Enfin aprés cela on peut signer les enregistrements de la zone "dnssec-signzone -o db.gta59.site -k gta59.site-ksk ../gta59.site Kgta59.site-zsk. On peut remarquer qu'aprés la signature nous avons un .signed dans notre répertoire (à renseigner dans le fichier named.conf.local).