Cahier 2016 groupe n°6 : Différence entre versions

De Wiki d'activités IMA
m (Cahier des charges)
m (Sécurisation par DNSSEC)
Ligne 403 : Ligne 403 :
 
====Sécurisation par DNSSEC====
 
====Sécurisation par DNSSEC====
  
Dans un premier temps  
+
Dans un premier temps on va modifier le fichier /etc/bind/named.conf.options et rajouter la ligne :
 +
<pre>
 +
dnssec-enable yes
 +
</pre>
  
 
<pre>
 
<pre>

Version du 28 novembre 2016 à 09:56

Cahier des charges

Présentation du travail

Répartition du travail

Séance 1 (03/10) Connaissances du TP/ Recherche sur le routeur 3560E / Installation de la machine virtuelle
Séance 2 (10/10) Création des VLAN
Séance 3 (13/10) Création des VLAN / Création de la machine virtuelle
Séance 4 (24/10) Crackage de clé WEP
Séance 5 (07/11) Configuration Eeepc / Crackage clé WPA / Test de la configuration locale
Séance 6 (14/11) Configuration machine virtuelle / Configuration routeur ipv6 / interconnexion ipv4 et ipv6 / HSRP
Séance 7 (28/11)
Séance 8 (05/12)

Réalisation 1ère semaine

Pour la première séance nous nous sommes chargés d'installer la machine virtuelle Xen à l'aide de la commande :

xen-create-image --hostname=Kadoc --ip=193.48.57.166 --mirror=http://debian.polytech-lille.fr/debian/ --dist=jessie --gateway=193.48.57.172 
                 --netmask=255.255.255.240 --dir=/usr/local/xen --passwd

Ainsi, nous obtenons ce résultat:

Installation Summary
---------------------
Hostname        :  Kadoc
Distribution    :  jessie
MAC Address     :  00:16:3E:60:01:B1
IP Address(es)  :  193.48.57.166 
RSA Fingerprint :  cf:03:35:4e:b7:f1:d4:f5:52:a1:d7:52:63:5d:83:57
Root Password   :  N/A

Réalisation 2ème semaine

VLANs

Durant les deux séances de cette semaine, nous avons réalisé la configuration locale du routeur 3560E, notamment la configuration des VLANs.

Pour cela, nous avons utilisé la communication série. Lors du démarrage, nous devons le configurer :

conf t 
hostname Perceval 
enable secret pasglop

Nous passons maintenant à la configuration des VLANs:

Nous avons 11 VLANs à configurer :

  • VLAN2 à VLAN11 : un pour chaque groupe
  • VLAN12 : pour les machines virtuelles et donc le lien entre Cordouan et les commutateurs
  • VLAN13 : pour l'interconnexion, c'est à dire le lien entre notre routeur et le routeur de l'école.

Pour la configuration, nous prendrons l'exemple du vlan 2. Tout d'abord, nous affectons aux VLANs utiles:

vlan 2
name Vlan2
exit

Une fois le nom affecté :

conf t
int Vlan2
ip address 10.60.2.2 255.255.255.0
exit
Machine virtuelle

Tout d'abord, nous nous connectons sur le serveur cordouan:

    ssh root@cordouan.insecserv.deule.net

Nous créons ensuite la machine avec tous les renseignements souhaités

   xen-create-image --hostname=Kadoc --ip=193.48.57.166 --netmask=255.255.255.240 --gateway=193.48.57.172
   --dir=/usr/local/xen --mirror=http://debian.polytech-lille.fr/debian/ --dist=jessie

Enfin on démarre la machine virtuelle

   xl create /etc/xen/Kadoc.cfg

Puis nous la lançons

   xl console Kadoc

Lors de cette séance, nous avons aussi réservé notre nom de domaine sur Gandi : hamtaro.space

Nous avons également modifier le fichier de configuration de la VM en modifiant le fichier "/etc/xen/Kadoc.cfg" pour la taille mémoire 'de 128 à 512MB" ainsi que pour ajouter le bridge IMA5sc.

Réalisation 3ème semaine

crackage clé WEP

1ere commande : airodump-ng --encrypt wep wlan2

     BSSID              PWR       Beacons  #data #/s CH MB   ENC CIPHER AUTH ESSID
     04:DA:D2:9C:50:56  -57       1        65    32  2  54e. WEP WEP         cracotte07

La cible que nous avons choisie est "cracotte07", donc on utilise la commande suivante :

     airodump-ng --essid cracotte07 --channel 2 -w testcrack wlan2

On obtient:

CH  2 ][ Elapsed: 3 mins ][ 2014-12-12 18:15                                         
      BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
      04:DA:D2:9C:50:56  -55  6     505       9516  231   2  54e. WEP  WEP         cracotte07

Le monitoring est donc lancé, nous pouvons passer au crackage :

     aircrack-ng testcrack-01.cap

On obtient finalement la clé :

       KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:E4:44:44:44 ] 
       Decrypted correctly: 100%

Réalisation 4ème semaine

Configuration eeePC

SSH:

On modifie le fichier /etc/resolv.conf

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

Pour pouvoir se connecter en ssh il est nécessaire de modifier le ficher /etc/network/interfaces de la façon suivante : rajouter les lignes :

auto wlan2
iface wlan2 inet static 
wireless mode-managed
wireless essid Wolverine // pour se connecter à la borne Wifi
wireless-key 0123456789 // mot de passe de la borne
address 172.26.79.22 // notre adresse 
netmask 255.255.255.240
gateway 172.26.79.254

Intrusion par changement d'adresse MAC En changeant notre adresse MAC grâce à la commande

ifconfig wlan2 down
ifconfig wlan2 hw ether 74:29:af:f3:fd:71
ifconfig wlan2 up

On ne peut plus se connecter.

Crackage clé WPA

On effectue la même démarche que pour le crackage de la clé WEP pour :

airodump-ng --encrypt wpa wlan1

On choisit de cracker cracotte03

airodump-ng -w out --encrypt wpa -c 13 --bssid 04:DA:D2:9C:50:52 wlan1

On obtient le handshake 04:DA:D2:9C:50:52

On crée le dictionnaire grâce à la commande :

crunch 8 8 0123456789 > dico.txt 

On lance ensuite :

airodump-ng --essid cracotte03 -c 13 --bssid 04:DA:D2:9C:50:52 -w dump wlan1

On décode ensuite le fichier dump grâce à la commande :

aircrack-ng dump-01.cap -w dico.txt -l KEY

Après un long moment on obtient le résultat, la clé WPA est

12399903
Test configuration routeur

Pour tester la configuration de notre routeur, il fallait le relier au commutateur qui devait être relié au serveur cordouan. Or pour cela, il nous était impossible de le relier en filaire. Nous avons donc utilisé la fibre. Nous avons donc dû utiliser un convertisseur de l'interface 10Gi en deux interfaces Gi. Une fois cela effectué, nous pouvions relier la fibre au commutateur qui était lui-même relié au serveur Cordouan. Il fallait seulement changer le mode access du port sur le commutateur et le configurer en Trunk.

Une fois cela effectué et bien configuré, nous parvenons à "pinger" notre routeur depuis notre machine virtuelle.

# ping 193.48.57.172
PING 193.48.57.172 (193.48.57.172) 56(84) bytes of data.
64 bytes from 193.48.57.172: icmp_seq=1 ttl=255 time=6.23 ms
64 bytes from 193.48.57.172: icmp_seq=2 ttl=255 time=1.01 ms
64 bytes from 193.48.57.172: icmp_seq=3 ttl=255 time=19.8 ms
64 bytes from 193.48.57.172: icmp_seq=4 ttl=255 time=1.56 ms
64 bytes from 193.48.57.172: icmp_seq=5 ttl=255 time=8.55 ms
64 bytes from 193.48.57.172: icmp_seq=6 ttl=255 time=2.36 ms
^C
--- 193.48.57.172 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 1.018/6.593/19.818/6.495 ms

Réalisation 5ème semaine

Configuration machine virtuelle

Installation des packages ssh, apache2 et bind9.

Modification du fichier :

/etc/bind/db.hamtaro.space
;
; BIND data file for local loopback interface
;
$TTL	604800
@	IN	SOA	ns.hamtaro.space. root.hamtaro.space (
			      3		; Serial
			 604800		; Refresh
			  86400		; Retry
			2419200		; Expire
			 604800 )	; Negative Cache TTL
	IN	NS	ns.hamtaro.space.
	IN	NS	ns6.gandi.net.
	IN	MX	100 ns.hamtaro.space.

ns	IN	A	193.48.57.166
www	IN	A	193.48.57.166

Modification du fichier :

/etc/bind/named.conf.local 
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "hamtaro.space" IN {
                type master;
                file "/etc/bind/db.hamtaro.space";
                allow-transfer {217.70.177.40;};
        };

On va ensuite sur le site de Gandi pour modifier des informations. Les Glue Records :

'Nom du serveur' : ns.bielloumutherfucker.space
'IP' : 193.48.57.167 

Puis dans la rubrique modifier les serveurs DNS :

'DNS1' : ns.hamtaro.space
'DNS2' : ns6.gandi.net 

Sécurisation de site web par certificat :

On tape la commande :

openssl req -nodes -newkey rsa:2048 -sha256 -keyout hamtaro.space.key -out hamtaro.space.csr

Puis on remplis les champs demandés :

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PolytechLille
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:hamtaro.space

On se rend ensuite sur le site de Gandi et on rentre le contenu du fichier hamtaro.space.csr dans le champs CSR prévu à cet effet puis nous attendons la validation de notre certificat.

Configuration routeur

Configuration IPV6 des Vlan:

 ipv6 enable        
 ipv6 address 2001:660:4401:60XX::/64 eui-64                                                                                               
 ipv6 nd prefix 2001:660:4401:60XX::/64 1000 900  

Avec les valeurs de XX variant de B0 à BA. Pour le vlan130, cette valeur change : AA.

Interconnexion IPV4:

router ospf 1                                                                   
 router-id 10.60.2.2                                                                                                                     
 summary-address 10.60.0.0 255.255.0.0                                          
 summary-address 193.48.57.160 255.255.255.240                                  
 redistribute connected metric 30 subnets                                       
 network 192.168.222.0 0.0.0.7 area 1 

Interconnexion IPV6:

ipv6 router rip tpima5sc                                                        
 redistribute connected metric 1                                                
 redistribute static metric 1                                                   
 redistribute rip 1 metric 1 

Une fois cela effectué, il faut que le vlan d'interconnexion prenne en compte ces modifications, il faut donc ajouter la commande :

ipv6 rip tpima5sc enable

Enfin, pour confirmer la configuration effectuée, nous affichons la table de routage ipv6 :

 sh ipv6 route

On obtient alors le résultat suivant :

IPv6 Routing Table - Default - 65 entries                                       
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route          
       B - BGP, R - RIP, D - EIGRP, EX - EIGRP external                         
       O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2      
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2                             
R   ::/0 [120/2]                                                                
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:60::/64 [120/2]                                               
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6000::/56 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6002::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6003::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6004::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6005::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6006::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6007::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6008::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6009::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6011::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6013::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6014::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6015::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
R   2001:660:4401:6016::/64 [120/2]                                             
     via FE80::211:5DFF:FEF2:5400, Vlan130                                      
...  

On essaie ensuite de ping le site de google depuis la machine virtuelle. On obtient un résultat positif. Notre configuration est donc fonctionnelle.

Sécurisation du réseau par HSRP

Pour empêcher les pertes de transmission de paquets, il faut ajouter une passerelle sur chaque interface. De plus il faut ajouter l'adresse du routeur virtuel sur le vlan des machines virtuelles à savoir : 193.48.57.173. On a alors :

interface Vlan12
 ip address 193.48.57.172 255.255.255.240
 standby 1 ip 193.48.57.173
 standby 1 priority 110
 standby 1 preempt

Une fois cela effectué sur notre routeur mais aussi sur le routeur de Stéphane et Thomas (groupe 5), nous réussissons à pinger leurs interfaces virtuelles ainsi que les interfaces de la machine virtuelle. Nous pouvons également voir lors de l'affichage de la configuration en standby que notre routeur est considéré comme local tandis que le leur est en standby. La ligne traitant de la priorité fonctionne donc et permet la redondance du système.

Réalisation 6ème semaine

Sécurisation par DNSSEC

Dans un premier temps on va modifier le fichier /etc/bind/named.conf.options et rajouter la ligne :

dnssec-enable yes
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----