TP sysres IMA5 2021/2022 G10 : Différence entre versions
(→Configuration Routeur C6509) |
(→Configuration Routeur C6509) |
||
| Ligne 2 : | Ligne 2 : | ||
== L'architecture générale == | == L'architecture générale == | ||
[[Fichier:Pra diagrams.png]] | [[Fichier:Pra diagrams.png]] | ||
| + | ==== Paramétrage de notre routeur ==== | ||
| + | |||
| + | '''C6509''' | ||
| + | Je me suis chargé de la configuration du routeur cisco C6509 de la salle E-304. Il fallait pour chaque séance se connecter d'abord sur l'interface série du rack 6 et lancer la commande '''boot''' pour activer ses interfaces | ||
| + | |||
| + | Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs | ||
| + | Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton. | ||
| + | |||
| + | enable | ||
| + | conf t | ||
| + | vlan 42 | ||
| + | exit | ||
| + | int vlan 42 | ||
| + | no shut | ||
| + | ip address 193.48.57.188 255.255.255.192 | ||
| + | ipv6 enable | ||
| + | ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64 | ||
| + | exit | ||
| + | int TenGigabitethernet1/1/2 | ||
| + | no shut | ||
| + | switchport mode access | ||
| + | switchport access vlan 42 | ||
| + | exit | ||
| + | exit | ||
| + | write | ||
| + | |||
| + | Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet | ||
| + | |||
| + | enable | ||
| + | conf t | ||
| + | vlan 531 | ||
| + | exit | ||
| + | int vlan 531 | ||
| + | no shut | ||
| + | ip address 192.168.222.42 255.255.255.248 | ||
| + | exit | ||
| + | int TenGigabitethernet1/1/1 | ||
| + | no shut | ||
| + | switchport mode access | ||
| + | switchport access vlan 531 | ||
| + | exit | ||
| + | exit | ||
| + | write | ||
| + | |||
| + | ==== OPSF ==== | ||
| + | OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure. | ||
| + | |||
| + | router ospf 1 | ||
| + | router-id 10.00.0.1 | ||
| + | log-adjacency-changes | ||
| + | summary-address 193.48.57.176 255.255.255.240 | ||
| + | summary-address 100.64.0.0 255.240.0.0 not-advertise | ||
| + | summary-address 10.0.0.0 255.0.0.0 not-advertise | ||
| + | redistribute connected subnets | ||
| + | redistribute static subnets | ||
| + | network 192.168.222.8 0.0.0.7 area 2 | ||
=Installation de la VM= | =Installation de la VM= | ||
Version du 7 janvier 2022 à 13:19
Sommaire
Configuration Routeur C6509
L'architecture générale
Paramétrage de notre routeur
C6509 Je me suis chargé de la configuration du routeur cisco C6509 de la salle E-304. Il fallait pour chaque séance se connecter d'abord sur l'interface série du rack 6 et lancer la commande boot pour activer ses interfaces
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.
enable
conf t
vlan 42
exit
int vlan 42
no shut
ip address 193.48.57.188 255.255.255.192
ipv6 enable
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64
exit
int TenGigabitethernet1/1/2
no shut
switchport mode access
switchport access vlan 42
exit
exit
write
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet
enable
conf t
vlan 531
exit
int vlan 531
no shut
ip address 192.168.222.42 255.255.255.248
exit
int TenGigabitethernet1/1/1
no shut
switchport mode access
switchport access vlan 531
exit
exit
write
OPSF
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.
router ospf 1 router-id 10.00.0.1 log-adjacency-changes summary-address 193.48.57.176 255.255.255.240 summary-address 100.64.0.0 255.240.0.0 not-advertise summary-address 10.0.0.0 255.0.0.0 not-advertise redistribute connected subnets redistribute static subnets network 192.168.222.8 0.0.0.7 area 2
Installation de la VM
Configuration du DNS
Installation et configuration de BIND 9
Commençons par l’installation du service BIND 9
apt-get install bind9
Il faut maintenant préparer notre serveur avant de configurer bind 9.
Notre serveur aura ici pour adresse IP : 193.48.57.185
Tout d’abord, il est nécessaire de placer le nom FQDN de notre serveur (dans ce cas « Panache.panachima59abc.site » ) dans le fichier : /etc/hostname
Il faut ensuite modifier le fichier /etc/hosts de façon à ajouter le nouveau nom du serveur et’associer l’adresse IPV4 de notre serveur DNS à son nom FQDN.
Puis, dans le fichier /etc/resolv.conf :
Indiquez le domaine et la zone de recherche DNS. Cela permet que notre serveur soit intégré à la zone DNS que nous allons configuré par la suite.
search panachima59abcd.site domain panachima59abcd.site nameserver 193.48.57.185 nameserver 127.0.0.1
Nous allons désormais nous rendre dans le répertoire /etc/bind qui contient les fichiers de configurations de bind9.
Nous devons déclarer nos zones DNS à savoir la zone « panachima59abc.site » et sa zone inverse associée 57. 48.193.in-addr.arpa afin que les adresses IP puissent être traduites en noms de domaines.
Ainsi, il faut modifier le fichier : /etc/bind/named.conf.local
zone "panachima59abcd.site" {
type master;
file "/etc/bind/zones.rfc1918";
};
zone "57.48.193.in-addr.arpa" {
type master;
file "/etc/bind/db.57.48.193.in-addr.arpa";
};
Dans notre cas, les deux zones sont de types « master », c’est à dire que le serveur sera maître sur les deux zones.
Nous devons maintenant devoir créer nos zones.
Il faut pour cela créer et modifier le fichier suivant comme ci-dessous : nano /etc/bind/db.panachima59abcd.site
$TTL 10800 $ORIGIN panachima59abc.site. @ IN SOA ns1..panachima59abcd.site. root.panachima59abc.site. ( 20160505; 3h; 1h; 1w; 1h); @ IN NS ns1.panachima59abc.site. @ IN NS ns6.gandi.net. ns1 IN A 193.48.57.185
Nous venons de déclarer notre notre serveur (nom FQDN + @IP)
Pour tester notre configuration, il suffit d’utiliser la commande suivante : named-checkconf -z
Ensuite on configure notre DNS sur Gandi en ajoutant notre Glue record et en paramétrant nos deux domaines externes.
Sécurisation de serveur DNS par DNSSEC
Résultat de recherche d'images pour "dnssec"
Les DNSSEC renforcent l'authentification du DNS en utilisant des signatures numériques basées sur la cryptographie à clé publique. Avec les DNSSEC , les requêtes DNS et les réponses ne sont pas elles-mêmes signées cryptographiquement, ce sont les données DNS qui sont signées par le propriétaire des données.
- On ajoute l’option dnssec-enable yes; dans le fichier named.conf.options
- On crée le répertoire panacheima59abcd.site.dnssec pour y générer les clefs ;
- On crée la clef asymétrique de signature de clefs de zone :
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -n ZONE panacheima59abcd.site
- On crée la clef asymétrique de la zone pour signer les enregistrements :
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE panacheima59abcd.site
- On renomme les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée)
- On inclue les clefs publiques dans notre fichier de zone
$include /etc/bind/<nom_de_zone>.dnssec/panacheima59abcd.site-ksk.key $include /etc/bind/<nom_de_zone>.dnssec/panacheima59abcd.site-zsk.key
- On signe les enregistrements de la zone :
dnssec-signzone -o panacheima59abcd.site -k panacheima59abcd.site-ksk ../db.panacheima59abcd.site panacheima59abcd.site-zsk
- On modifie le fichier named.conf.local pour utiliser la zone signée de suffixe .signed
zone "panacheima59abcd.site" {
type master;
file "/etc/bind/db.panacheima59abcd.site.signed";
};
- On communique la partie publique de la KSK sur Gandi:
Test d'intrusion
5.2 Cassage de clef WEP d’un point d’accès WiFi
On repére d'abord le nom de notre réseau sans fil avec la commande ip a ensuite on installe le paquet aircrack-ng
On commence par trouver le point d’accès avec la commande iwconfig
Puis on écoute les trames WiFi avec airodump-ng ...
5.5 Intrusion sur un serveur d’application Web
1. Attaque par injection sql
On injecte du code SQL à la place du mdp avec n'importe quel identifiant:
user : root ->(exemple) password : " OR 1=1;'
Service Internet
Serveur SSH
Connexion SSH :
$ ssh root@193.48.57.185
(Mot de pass habituel)
Création du certificat SSL
Nom de domaine : panacheima59abcd.site
1. Etape 1 : Génération de nos clés assymétriques
root@Panache:~# openssl req -nodes -newkey rsa:2048 -sha256 -keyout panacheima59abcd.site.key -out panacheima59abcd.site.csr
On obtient les fichiers panacheima59abcd.site.csr(clé publique) et panacheima59abcd.site.key(clé privée) que l'on déplace dans /etc/ssl/private/.
2. Etape 2 : Initiation de notre commande sur Gandi
_410FF1D81990060388E944AB2DE1D9A3.panacheima59abcd.site. 10800 IN CNAME 8172D68061E8FC98B62F78B737E08A75.84C9FCFD8DB368804A47B98C18189737.e44ad2329e7fabf14c09.sectigo.com.
Enfin, nous obtenons notre certificat téléchargeable depuis la page de gestion des certificats SSL que nous déplaçons dans /etc/ssl/certs/ à l'aide de scp.
Configuration Apache
1. Création/Configuration du fichier de configuration
On crée un fichier de configuration /etc/apache2/sites-available/panacheima59abcd.site.conf
<VirtualHost 193.48.57.185:443>
ServerName panacheima59abcd.site
ServerAlias www.panacheima59abcd.site
DocumentRoot "/var/www/panache"
SSLEngine on
SSLCertificateKeyFile /etc/ssl/private/panacheima59abcd.site.key
SSLCertificateChainFile /etc/ssl/certs/panacheima59abcd.site.crt
SSLCACertificateFile /etc/ssl/certs/GandiStandardSSLCA2.pem
ErrorLog /var/log/apache2/error.panacheima59abcd.site.log
CustomLog /var/log/apache2/access.panacheima59abcd.site.log combined
</VirtualHost>
Puis on active le site avec la commande:
# a2ensite panacheima59abcd.site
2. Activation du module ssl
# a2enmod ssl
Puis on recharge ensuite la configuration d'Apache :
# sudo systemctl reload apache2
