TP sysres IMA2a5 2016/2017 G2 : Différence entre versions

De Wiki d'activités IMA
 
(13 révisions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
 
= Introduction =
 
= Introduction =
 
Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech.
 
Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech.
 +
 
L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6.
 
L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6.
  
Ligne 8 : Ligne 9 :
  
 
== Récapitulatif des IP ==
 
== Récapitulatif des IP ==
   VLAN  |      Réseau    | Prénom  |  Xen    |      IP Xen      
+
   '''VLAN  |      Réseau    | Prénom  |  Xen    |      IP Xen     '''
 
  --------------------------------------------------------------
 
  --------------------------------------------------------------
 
  VLAN20  10.60.20.0/24    Dimitri  Vald      193.48.57.182/28
 
  VLAN20  10.60.20.0/24    Dimitri  Vald      193.48.57.182/28
Ligne 34 : Ligne 35 :
 
   Acquire::http::Proxy "http://helfaut.escaut.net:3128";
 
   Acquire::http::Proxy "http://helfaut.escaut.net:3128";
  
= Création de la machine virtuelle =
+
= Configuration du commutateur =
 +
 
 +
Branchement :
 +
  Se brancher au commutateur sur le port console.
 +
 
 +
Connexion :
 +
  Se mettre en root
 +
  minicom -os /dev/tty/USB0 (selon le port où vous êtes connecté)
 +
  en (mode enable)
 +
 
 +
Etat du commutateur :
 +
  show interface summary
 +
  show vlan
 +
  show run
 +
 
 +
== Création des Vlans ==
 +
Dans le minicom :
 +
  config term
 +
  vlan 2 (crée vlan 2)
 +
  Gradur (nom de la vlan -> noms de rapeurs comme il a était décidé en groupe)
 +
  exit (x2 pour quitter)
 +
  write
 +
 
 +
Supprimer une Vlan (au cas où):
 +
  no vlan 2
 +
 
 +
== Configuration des ports ==
 +
''(Se référer au schéma global)''
 +
 
 +
Pour les vlans :
 +
  interface FastEthernet ?/?
 +
  switchport mode access (rend accessible)
 +
  switchport access vlan 2 (définit quelle vlan à accès au port)
 +
  no shut (pré-sauvegarde la config)
 +
  exit
 +
  write
 +
 
 +
Pour les ports gigabits :
 +
  configure terminal
 +
  interface Gi?/??
 +
  switchport
 +
  switch port trunk encapsulation dot1q
 +
  switchport mode trunk
 +
  exit
 +
  write
 +
 
 +
= Machine virtuelle =
 +
== Créer sa VM ==
 
Connexion au serveur Corduan :
 
Connexion au serveur Corduan :
 
   ssh cordouan.insecserv.deule.net
 
   ssh cordouan.insecserv.deule.net
Ligne 49 : Ligne 97 :
 
   xl list  
 
   xl list  
  
 +
== Lancer sa VM ==
 
Lancer sa machine virtuelle :
 
Lancer sa machine virtuelle :
 
   xl create /etc/xen/Gradur.cfg
 
   xl create /etc/xen/Gradur.cfg
Ligne 56 : Ligne 105 :
 
   vim Gradur.cfg -> modifier les 2 occurrences de la version
 
   vim Gradur.cfg -> modifier les 2 occurrences de la version
  
 +
== Se connecter à sa VM ==
 
Se connecter à sa machine virtuelle :
 
Se connecter à sa machine virtuelle :
 
   xl console Gradur
 
   xl console Gradur
Ligne 65 : Ligne 115 :
 
   www.gandi.net
 
   www.gandi.net
  
= Apache2 =
+
= Installation et configuration des serveurs Web apache2 et bind9 =
Installer le package :
+
 
 +
== Installation des packages ==
 +
(sur sa VM et pas corduan ...)
 
   apt-get install apache2
 
   apt-get install apache2
 
= Bind9 =
 
 
   apt-get install bind9
 
   apt-get install bind9
  
Ligne 115 : Ligne 165 :
 
   vim /var/www/html/index.html
 
   vim /var/www/html/index.html
  
= HTTPS =
+
== DNSSEC ==
 +
 
 +
Tout d'abord, on autorise le dnssec dans le fichier de conf :
 +
  /etc/bind/named.conf.options
 +
  -> dnssec-enable yes;
 +
 
 +
On génère les clefs asymétriques ZSK et KSK dans un dossier dédié :
 +
  mkdir gradur.website.dnssec ; cd gradur.website.dnssec
 +
  dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE gradur.website
 +
  dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE gradur.website
 +
 
 +
On les renomme et on les inclue dans le fichier de zone :
 +
  vim /etc/bind/gradur.website
 +
 
 +
  $include /etc/bind/gradur.website.dnssec/gradur.website-ksk.key
 +
  $include /etc/bind/gradur.website.dnssec/gradur.website-zsk.key
 +
 
 +
On signe le fichier de zone :
 +
  dnssec-signzone -o gradur.website -k gradur.website-ksk ../gradur.website gradur.website-zsk
 +
 
 +
On relance le service bind9 :
 +
  service bind9 restart
 +
 
 +
Attendre la diffusion des serveurs Gandi.
 +
 
 +
== HTTPS ==
  
 
Autoriser le ssl :
 
Autoriser le ssl :
Ligne 171 : Ligne 246 :
 
   Sur gandi.net acheter une clef CSR
 
   Sur gandi.net acheter une clef CSR
  
 +
= Cassage de clef WEP =
  
= Config commutateur =
+
On passe la carte wifi en mode moniteur :
 +
  airmon-ng start wlan0mon
 +
On regarde les réseaux wifi disponible avec un chiffrement WEP:
 +
  airodump-ng --encrypt wep wlan0mon
 +
On sélectionne un réseau cracotte (configuré en WEP). Le mieux étant de choisir un réseau dans lequel transite des paquets afin de les récupérer. (pour ne pas devoir en générer sois-même).
 +
  airodump-ng -w out -c 10 -essid cracotte0? wlan0mon
 +
Il faut ensuite attendre d'avoir récupérer suffisament de paquets (>20.000 pour être sur d'un résultat). On lance le crack de la clé WEP:
 +
  aircrack-ng out-01.pcap
  
Branchement :
+
  KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]
  Se brancher au commutateur sur le port console.
 
  
Connexion :
 
  Se mettre en root
 
  minicom -os /dev/tty/USB0
 
  
Etat du commutateur :
+
= Conclusion =
  show interface summary
 
  show vlan
 
  show run
 
  
Configuration des ports :
+
Ce TP regroupe et traite beaucoup de tâches différentes concernant les configurations réseaux, allant du câblage de baies serveurs au communications sécurisées. J'ai le sentiment d'avoir beaucoup appris et que je pourrai mettre en application ces connaissances en entreprise très prochainement.
  configure terminal
 
  interface Gi2/12
 
  switchport
 
  switch port trunk encapsulation dot1q
 
  switchport mode trunk
 

Version actuelle datée du 6 décembre 2016 à 09:05

Introduction

Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech.

L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6.

Architecture

Schéma global

 http://projets-ima.plil.net/mediawiki/index.php?title=Fichier:20161202_120936.jpg

Récapitulatif des IP

 VLAN  |      Réseau     | Prénom  |   Xen    |      IP Xen       
--------------------------------------------------------------
VLAN20   10.60.20.0/24     Dimitri   Vald       193.48.57.182/28
VLAN21   10.60.21.0/24     Nabil     Pnl        193.48.57.177/28
VLAN22   10.60.22.0/24     Otmane    Lartiste   193.48.57.178/28
VLAN23   10.60.23.0/24     Hugo      Gradur     193.48.57.179/28
VLAN24   10.60.24.0/24     Clement   Gringe     193.48.57.180/28
VLAN25   10.60.25.0/24     Joan      Orelsan    193.48.57.181/28
VLAN26   193.48.57.176/28  Xen

Routeur de Dimitri:

   10.60.2?.1
   193.48.57.190
   192.168.222.9 

Routeur de Nabil:

   10.60.2?.2
   193.48.57.189
   192.168.222.10 

Modifier Proxy : (si le proxy de l'école ne fonctionne pas)

 "/etc/apt/apt.conf.d/01proxy"
 Acquire::http::Proxy "http://helfaut.escaut.net:3128";

Configuration du commutateur

Branchement :

 Se brancher au commutateur sur le port console.

Connexion :

 Se mettre en root
 minicom -os /dev/tty/USB0 (selon le port où vous êtes connecté)
 en (mode enable)

Etat du commutateur :

 show interface summary
 show vlan
 show run

Création des Vlans

Dans le minicom :

 config term
 vlan 2 (crée vlan 2)
 Gradur (nom de la vlan -> noms de rapeurs comme il a était décidé en groupe)
 exit (x2 pour quitter)
 write

Supprimer une Vlan (au cas où):

 no vlan 2

Configuration des ports

(Se référer au schéma global)

Pour les vlans :

 interface FastEthernet ?/?
 switchport mode access (rend accessible)
 switchport access vlan 2 (définit quelle vlan à accès au port)
 no shut (pré-sauvegarde la config)
 exit
 write

Pour les ports gigabits :

 configure terminal
 interface Gi?/??
 switchport
 switch port trunk encapsulation dot1q
 switchport mode trunk
 exit
 write

Machine virtuelle

Créer sa VM

Connexion au serveur Corduan :

 ssh cordouan.insecserv.deule.net

Création d'une image du serveur :

 xen-create-image

Ajouter des paramètres comme ci-dessous :

 --hostname Gradur
 -- ip 193.48.57.179
 -- dir /usr/local/xen

Liste des machines virtuelles ouvertes sur corduan :

 xl list 

Lancer sa VM

Lancer sa machine virtuelle :

 xl create /etc/xen/Gradur.cfg

En cas d'erreur, cela est probablement dû à une version différente du kernel linux du serveur et de la machine virtuelle:

 ls /boot -> pour avoir la version
 vim Gradur.cfg -> modifier les 2 occurrences de la version

Se connecter à sa VM

Se connecter à sa machine virtuelle :

 xl console Gradur

Quitter la VM :

 crtl+Alt Gr + ]

Acheter un nom de domaine sur :

 www.gandi.net

Installation et configuration des serveurs Web apache2 et bind9

Installation des packages

(sur sa VM et pas corduan ...)

 apt-get install apache2
 apt-get install bind9

DNS

Modifier le lien entre serveur DNS et l'ip du nom de domaine sur www.gandi.net

 Cliquer sur son nom de domaine puis sur Gérer les 'glue records'
 dns.gradur.website 	  193.48.57.179
 Cliquer sur Modifier les DNS 
 dns.gradur.website
 ns6.gandi.net

Dans le fichier de conf etc/bind/named.conf.option local rajouter les options :

 options {
   allow-transfer { "allowed_to_transfer"; };
 };
 acl "allowed_to_transfer" {
   193.48.57.0/24 ;
   ...
 };

Dans le fichier de conf etc/bind/named.conf.local rajouter :

 zone "Gradur.website" {
   type master;
   file "/etc/bind/Gradur.website/Gradur";
 };

On crée le fichier de zone Gradur dans Gradure.website (en s'inspirant du cours 7.1 Service de nommage DNS) :

 $TTL 259200
 @ IN SOA dns.gradur.website. postmaster.gradur.website. (
        10               ; Version
        7200             ; Refresh (2h)
        3600             ; Retry   (1h)
        1209600          ; Expire (14j)
        259200 )         ; Minimum TTL (3j)
         IN NS dns.gradur.website.
         IN A       193.48.57.179
         IN MX      100 193.48.57.179
 dns     IN A       193.48.57.179


Modifier siteweb :

 vim /var/www/html/index.html

DNSSEC

Tout d'abord, on autorise le dnssec dans le fichier de conf :

 /etc/bind/named.conf.options
 -> dnssec-enable yes;

On génère les clefs asymétriques ZSK et KSK dans un dossier dédié :

 mkdir gradur.website.dnssec ; cd gradur.website.dnssec
 dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE gradur.website
 dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE gradur.website

On les renomme et on les inclue dans le fichier de zone :

 vim /etc/bind/gradur.website
 $include /etc/bind/gradur.website.dnssec/gradur.website-ksk.key
 $include /etc/bind/gradur.website.dnssec/gradur.website-zsk.key

On signe le fichier de zone :

 dnssec-signzone -o gradur.website -k gradur.website-ksk ../gradur.website gradur.website-zsk

On relance le service bind9 :

 service bind9 restart

Attendre la diffusion des serveurs Gandi.

HTTPS

Autoriser le ssl :

 a2ensite default-ssl.conf
 a2enmod ssl

Récupérer les 2 fichiers crt, key et crt :

 Copier coller dans un nouveau fichier depuis le site : https://www.gandi.net/admin/ssl/374220/details 
 Le certificat 
 La clef privée (déjà sur l'ordi)
 L'intermédiaire 

Les rajouter dans la configue :

 vim /etc/apache2/sites-available/default-ssl.conf
 -> SSLCertificateFile /etc/apache2/cerbere.cert
 -> SSLCertificateKeyFile /bind/cerbere.key
 -> SSLCertificateChainFile /etc/apache2/Gandi.cert

Lancer les commandes de log pour voir les erreurs si il y en a :

 cat /var/log/daemon.log
 cat /var/log/apache2/error.log

Relancer le service apache :

 service apache2 stop
 service apache2 start

Le site est maintenant disponible en https :

 https://gradur.website/

Serveur mail

Installation package postfix :

 apt-get install postfix

Ajouter les options suivantes :

 internet site
 gradur.website

Creation d'un alias :

 vim /etc/aliases
 Ajouter -> admin : root
 newaliases

Installation package mailx :

 apt-get install bsd-mailx

MLaintenant on peut recevoir des mails à l'adresse :

 admin@gradur.website

Visualiser les mails :

 mail


Certificat CSR (https)

 Sur gandi.net acheter une clef CSR

Cassage de clef WEP

On passe la carte wifi en mode moniteur :

 airmon-ng start wlan0mon

On regarde les réseaux wifi disponible avec un chiffrement WEP:

 airodump-ng --encrypt wep wlan0mon

On sélectionne un réseau cracotte (configuré en WEP). Le mieux étant de choisir un réseau dans lequel transite des paquets afin de les récupérer. (pour ne pas devoir en générer sois-même).

 airodump-ng -w out -c 10 -essid cracotte0? wlan0mon

Il faut ensuite attendre d'avoir récupérer suffisament de paquets (>20.000 pour être sur d'un résultat). On lance le crack de la clé WEP:

 aircrack-ng out-01.pcap
 KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]


Conclusion

Ce TP regroupe et traite beaucoup de tâches différentes concernant les configurations réseaux, allant du câblage de baies serveurs au communications sécurisées. J'ai le sentiment d'avoir beaucoup appris et que je pourrai mettre en application ces connaissances en entreprise très prochainement.