TP sysres IMA2a5 2020/2021 G5

De Wiki d'activités IMA
Révision datée du 2 novembre 2020 à 11:28 par Aglaine (discussion | contributions) (Configuration gandi.net)

Introduction

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

Tableau Récapitulatif

Description Détails
ID VLAN Vlan7
Réseau IP V4 193.48.57.168
Réseau IP V6
Nom de de la VM mirage
Numéro de poste Zabeth06
Adresse du site internet version HTTP
Adresse du site internet version HTTPS

Installation des systèmes d’exploitation

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation. Pour cela, il faut utiliser la commande :

ssh capbreton.plil.info

Installation dans la machine virtuelle Xen

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :

 xen-create-image --hostname=mirage --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :

tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :

     Installation Summary
    ---------------------
    Hostname        :  mirage
    Distribution    :  ascii
    MAC Address     :  xxxxxxxxxxx
    IP Address(es)  :  dynamic
    SSH Fingerprint :  SHA256:xxxxxxx (DSA)
    SSH Fingerprint :  SHA256:xxxxxxx (ECDSA)
    SSH Fingerprint :  SHA256:xxxxxxx (ED25519)
    SSH Fingerprint :  SHA256:xxxxxxx (RSA)
    Root Password   :  DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :

xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :

xl list

Pour fonctionner l'état de la VM doit être r ou -b

LancementVm.PNG

On accède pour la premier fois a nottre Vm avec la commande :

xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée). Après nous être logué, on change le mot de passe qui devient : glopglopglop.

Configuration de la machine virtuelle Xen

Il faut maintenant installer les packages que nous avons besoins :

apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :

vim /etc/network/interfaces

Dans interfaces on tajoute

auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :

vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :

Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure. Pour cela on configure ces interfacte avec la commande :

vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :

# The loopback network interface
auto lo
iface lo inet loopback
# Physical Network Interfaces
#
auto eth
iface eth inet static
  address 192.168.0.29
  netmask 255.255.255.0
  gateway 192.168.0.1
auto eth0
iface eth0 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto eth1
iface eth1 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto eth2
iface eth2 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto eth4
iface eth4 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto eth5
iface eth5 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto eth6
iface eth6 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto eth7
iface eth7 inet manual
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
 bridge_ports eth4 eth5
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
# Virtual Network Interfaces
#
auto vlan48
iface vlan48 inet static
 vlan-raw-device Trunk
 address 172.26.191.21
 netmask 255.255.252.0
 gateway 172.26.191.254
iface vlan48 inet6 auto
auto vlan500
iface vlan500 inet manual
 vlan-raw-device Trunk
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
auto vlan502
iface vlan502 inet manual
 vlan-raw-device Trunk
 post-up ip link set $IFACE up
 post-down ip link set $IFACE down
# Bridge for IMA5sc group
#
auto IMA5sc
iface IMA5sc inet manual
 bridge_ports eth0 eth6
# Bridge for IMA2a5
#
auto IMA2a5
iface IMA2a5 inet manual
 bridge_ports eth1 eth7
# Bridge for L3MRIT group
#
auto L3MRIT
iface L3MRIT inet manual
 bridge_ports eth2
# Bridge for GIS group
#
auto bridgeGIS
iface bridgeGIS inet manual
 bridge_ports vlan502

Architecture réseau

L’architecture générale

Les réseaux virtuels

Le routage de site (IPv4)

Le routage de site (IPv6)

Interconnexion avec Internet (IPv4)

Interconnexion avec Internet (IPv6)

Interconnexion Internet de secours (IPv4)

Interconnexion Internet de secours (IPv6)

Sécurisation du réseau

Services Internet

Serveur SSH

Serveur DNS

Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : apt-get install bind9

Création et configuration named.conf.local

Le named.conf.local permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier /etc/bind/named.conf.local qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone. Mirage-named.conf.local.PNG

Puis créé le fichier de configuration appelé db.ima2a5-glopglop.site.

Configuration gandi.net

Grâce au registrar gandi.net, nous avons réservé le nom de domaine glopglop.site. L'extension .site

Gandi-glopglop-VueGeneral.PNG

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre. Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

Mirage-Ajoue-GlueRecord.PNG

Configuration du nom de serveur

Sécurisation de site web par certificat

Sécurisation de serveur DNS par DNSSEC

Tests d’intrusion

Exploitation de failles du système

Cassage de clef WEP d’un point d’accès WiFi

Cassage de mot de passe WPA-PSK par force brute

Attaque de type "homme au milieu" par usurpation ARP

Intrusion sur un serveur d’application Web

Réalisations

Sécurisation de données

Chiffrement de données

Inspection ARP par un élément réseau

Sécurisation WiFi par WPA2-EAP