TP sysres IMA5sc 2018/2019 G2
Sommaire
- 1 TP GIS4 - Conteneur réalisation manuelle
- 2 Création des conteneurs via Docker
- 3 TP PRA - Mise en place du routeur Catalyst 3650
- 3.1 Déroulement des Séances
- 3.2 Les étapes
TP GIS4 - Conteneur réalisation manuelle
Création des systèmes fichier
Dans le répertoire /home/pifou/Documents/IMA5/JDQB/PRA/ (Zabeth09)
dd if=/dev/zero of=disk1 bs=1024k count=10240
mkfs disk1
Dans /tmp création de répertoires pour le stockage
mkdir JDQB_DISK1 mkdir JDQB_DISK2 mkdir JDQB_DISK3
mount -o loop disk1 /tmp/JDQB_DISK1
debootstrap --include=apache2,nano stable /tmp/JDQB_DISK1
echo "proc /proc defaults 0 0" >> /tmp/JDQB_DISK1/etc/fstab
umount -d /tmp/JDQB_DISK1
On clone le disk1 pour avoir disk2 et disk3 (cp)
On remonte les trois disques
mount -o loop diskX /tmp/JDQB_DISKX
Lancement des conteneurs
Ouverture de trois terminaux en root, puis utilisation de la commande dans chacun des terminaux
unshare -n -u -p -f -m chroot /tmp/JDQB_DISKX /bin/sh -c "mount /proc ; /bin/bash" ;
Dans chaque conteneur
ip l set eth0 up
Cette commande s'applique aussi à eth1 pour le conteneur 1
Mise en place commutateur virtuel
Création des interfaces liées
iface_virt_X (interface virtuelle X) <-> iface_ns_X (interface namespace X)
ip link add iface_virt_1 type veth peer name iface_ns_1 ip link add iface_virt_2 type veth peer name iface_ns_2 ip link add iface_virt_3 type veth peer name iface_ns_3
Création de notre propre pont
ip link add jdqb_bridge type bridge
Ajout des parties des interfaces dans le commutateur
ip link set iface_virt_1 master jdqb_bridge ip link set iface_virt_2 master jdqb_bridge ip link set iface_virt_3 master jdqb_bridge
Activation des interfaces
ip link set iface_virt_1 up ip link set iface_virt_2 up ip link set iface_virt_3 up
Activation du pont
ip address add dev jdqb_bridge 192.168.0.1/24
Montée du pont
ip link set jdqb_bridge up
Connexion des conteneurs à leur interface virtuelle respective
ip link set iface_ns_1 netns /proc/<PID1>/ns/net name eth0 ip link set iface_ns_2 netns /proc/<PID2>/ns/net name eth0 ip link set iface_ns_3 netns /proc/<PID3>/ns/net name eth0
Obtention des PIDs
ps aux | grep unshare
Quatrième interface, reliant le mandataire web inverse (conteneur 1) et le bridge de zabeth09
ip link add iface_virt_0 type veth peer name iface_ns_0 ip link set iface_virt_0 master bridge ip link set iface_virt_0 up ip link set iface_ns_0 netns /proc/<PID1>/ns/net name eth1
Modification de la table IP
iptables -F iptables -F -t nat iptables -P FORWARD ACCEPT
Attribution des adresses aux conteneurs
nsenter -t <PID1> -n ip address add dev eth0 192.168.0.91/24 nsenter -t <PID2> -n ip address add dev eth0 192.168.0.92/24 nsenter -t <PID3> -n ip address add dev eth0 192.168.0.93/24
nsenter -t <PID1> -n ip address add dev eth1 172.26.145.90/24
Mandataire inverse
Configuration Apache2
Afin de configurer notre premier conteneur en mandataire inverse, nous modifions le fichier : /etc/apache2/sites-available/000-default.conf
Nous ajoutons :
<VirtualHost *:80> ... ProxyPass /site1 http://192.168.0.92/ ProxyPassReverse /site1 http://192.168.0.92/ ProxyPass /site2 http://192.168.0.93/ ProxyPassReverse /site2 http://192.168.0.93/ ProxyRequests Off ... </VirtualHost>
Configuration réseau
Ajout de la route par défaut (Polytech) :
ip route add default via 172.26.145.254
Configuration eth1 :
ip add add dev eth1 172.26.145.90/24 ip link set eth1 up
11h25 => Serveurs Web unshare OK
Création des conteneurs via Docker
InstructionsTexte italique
docker run -i -t debian
export http
apt-get install apache nano vi
En dehors conteneur docker commit <image name> sur le conteneur
Creer réseau privé docker network create
(2X)docker run -i -t <image name> --net nom réseau
docker run -i -t <image name> --net nom réseau -p 80:80
DNS : vérifier les @IP des conteneurs LE mandataire inverse doit avoir @IP de zabeth
Procédure
Modification des paramètres de docker dans /etc/default/docker, commenter la ligne DOCKER_EPTS="--iptables=false"
iptables-save service docker restart
docker run -i -t debian /bin/bash
Dans le conteneur
export http_proxy export https_proxy
apt-get update apt-get install apache2 nano vim
Récupération ID du docker
docker ps
Commit sur le docker
docker commit <ID> apache2
Création du network
docker network create jdqb_network
Lancement des conteneurs
docker run -i -t --net jdqb_network apache2 docker run -i -t --net jdqb_network apache2 docker run -i -t --net jdqb_network -p 80:80 apache2
Dans chaque conteneur
ip a
Dans le conteneur mandataire
nano /etc/apache2/sites-enabled/000-default.conf
Ajout des proxypass
ProxyPass /site1 http://<IP conteneur 1>/ ProxyPassReverse /site1 http://<IP conteneur 1>/ ProxyPass /site2 http://<IP conteneur 2>/ ProxyPassReverse /site2 http://<IP conteneur 2>/ ProxyRequests Off
Ajout d'un DNS dans GANDI @plil.space
Type A , TTL 1800, nom jdqb-docker, <ip bridge zabeth>
Sur les trois conteneurs
service apache2 restart
10h20 Serveurs Web (docker) OK
TP PRA - Mise en place du routeur Catalyst 3650
- Sujet : Lien - rex.plil.fr
Déroulement des Séances
Séance 1 : 26/11/2018
Nous avons à notre disposition l'adresse IPV4 routée 193.48.57.160/27.
Nous disposons également de l'adresse IPV4 non routée 10.60.0.0/16.
Découpage réseau IPV4 routé en deux sous réseaux
Nous divisons l'IPV4 routée en deux sous réseaux.
Pour réaliser leur TP, les IMA2A5 ont utilisés les adresses comprises entre 193.48.57.160/28 et 193.48.57.175/28.
Nous utiliserons donc le second sous réseau : 193.48.57.176/28 à 193.48.57.191/28.
Par conséquent l'adresse IP du routeur 1 est 193.48.57.188/28
Celle du routeur 2 est 193.48.57.189/28
Et enfin le routeur virtuel, pour la diffusion entre routeurs, est 193.48.57.190/28
Découpage du réseau IPV4 non routée en sous réseaux
Nous découpons notre réseau en 254 sous réseaux disponibles. Les IMA2A5 ont utilisés les 5 premiers 10.60.1.0/24 à 10.60.5.0/24 .
Nous prendrons donc les adresses entre 10.60.11.0/24 et 10.60.21.0/24 .
Ces adresses seront routées vers les adresses comprises entre 193.48.57.177/28 et 193.48.57.187/28 .
Séance 2 : 27/11/2018
Configuration du routeur Catalyst 3560
Mise en place du routeur et connexion à celui ci
La configuration du routeur se fera via minicom.
Vérification de l'interface à utiliser :
ls /dev/ | grep ttyUSB
Notre routeur est connecté sur ttyUSB0.
minicom -os
Les paramètres de configuration de minicom sont les suivants :
- port /dev/ttyUSB0
- baud 9600
- 8 bits
- pas de bit de parité
- 1 bit de stop
- pas de contrôle de flux
Configuration du routeur : Configuration des ports
Passage en administrateur :
Router>enable Router#
On liste les interfaces
Router#show interface status Port Name Status Vlan Duplex Speed Type Gi0/1 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/2 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/3 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/4 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/5 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/6 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/7 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/8 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/9 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/10 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 1 Gi0/11 connected Trunk a-full a-100 10/100/1000BaseTX // vers le commutateur 2 (en E306) // Non connecté [...interfaces Gi0/12-Gi0/48] // les fibres Te0/1 notconnect 1 full 10G 10GBase-SR // vers le local SR52 Te0/2 notconnect 1 full 10G 10GBase-SR // vers cordouan
Afin d'accélérer la communication entre le routeur et le commutateur, les ports 1 à 10 du routeur seront connectés au commutateur.
Router(config)#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface range Gi0/1 - 11 Switch(config-if)#switchport mode access Switch(config-if)#switchport access access trunk Switch(config-if)#exit
Configuration de l'interface 10G vers le local SR52
Router(config)#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface Te0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access access vlan 131 // vlan 131 (interconnexion IMA5) Switch(config-if)#exit
Configuration de l'interface 10G vers Cordouan
Router(config)#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface Te0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access access vlan 43 // vlan 43 (XEN IMA5) Switch(config-if)#exit
PROBLEME :
*Mar 1 01:42:30.518: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on TenGigabitEthernet0/2 (43), with Switch GigabitEthernet3/2 (42).
A FAIRE :
- configurer les interfaces / BDI
Mise en place de la machine virtuelle
Notre machine virtuelle a les paramètres suivants :
-Hostname = Dionysos
-@IP = 193.48.57.178
-Netmask = 255.255.255.240
-dossier = /usr/local/xen
xen-create-image --hostname=Dionysos --ip=193.48.57.178 --netmask=255.255.255.240 --dir=/usr/local/xen
Dans le répertoire /etc/xen, nous modifions le fichier Dionysos.cfg.
Nous adaptons le bridge StudentsInfo, qui devient IMA5sc.
Connexion à la VM, avec le login root, mot de passe fourni a la fin de l'installation
Dans le fichier /etc/ssh/sshd_config nous décommentons la ligne :
PermitRootLogin yes
Ainsi nous pouvons nous connecter en ssh sur notre VM
Puis nous lançons une instance de la VM
xl create Dionysos.cfg xl console Dionysos
Pour que le système soit connecté dans /etc/network/interfaces nous ajoutons la gateway.
gateway 193.48.57.190
Dans /root/.profile
http_proxy="http://proxy.polytech-lille.fr:3128" https_proxy="https://proxy.polytech-lille.fr:3128"
ip route add default via 193.48.57.190 dev eth0 onlink
Nous avons modifié le mot de passe initial.
Pour éteindre une VM
xl shutdown Dionysos
Séance 3 : 10/12/2018
Config Routeur 3560
- Commande pour save la configuration
write
Correction sur la config du routeur
- Vers le commutateur 4006 - 10 cables 1G (Notre Salle)
enable conf t interface range Gi0/1 - 10 switchport switchport trunk encapsulation dot1q switchport mode trunk exit
- Vers le commutateur 6000 - 1 cable 1G (Autre Salle)
enable conf t interface gi0/11 switchport switchport trunk encapsulation dot1q switchport mode trunk exit
- Vers Cordouan - cable 10G (Fibre)
conf t interface Te0/2 switchport trunk encapsulation dot1q switchport mode access switchport access vlan 43 // vlan 43 (XEN IMA5) exit
- Vers le local SR52
conf t interface Te0/1 switchport trunk encapsulation dot1q switchport mode access switchport access vlan 131 // vlan 131 (interconnexion IMA5) exit
- Le vlan M = 10 + N (Groupe N)
conf t int vlanM ip address 10.60.M.252 255.255.255.0 standby version 2 standby M ip 10.60.M.254 standby M preempt ipv6 enable ipv6 address 2001:660:4401:60CN eui-64 ipv6 nd prefix 2001:660:4401:60CN::/64 1000 9000 ipv6 nd router-preference High exit
- Le vlan 43 (IM5sc)
int vlan43 ip address 193.48.57.188 255.255.255.240 standby version 2 standby 22 ip 193.48.57.190 standby 22 preempt ipv6 enable ipv6 address 2001:660:4401:60C0 eui-64 ipv6 nd prefix 2001:660:4401:60C0::/64 1000 900 ipv6 nd router-preference High exit
- Le vlan 131 (Interconnexion)
int vlan 131 ip address 192.168.222.9 255.255.255.248 ipv6 address fe80::2 link-local ipv6 enable ipv6 rip tpima2a5 enable exit
- Nommer un VLANs
vlan M name groupeN exit
vlan 43 name Xen exit
vlan 131 name interconnexion exit
conf t
ip routing
exit
show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
193.48.57.0/28 is subnetted, 1 subnets
C 193.48.57.176 is directly connected, Vlan43
10.0.0.0/24 is subnetted, 11 subnets
C 10.60.20.0 is directly connected, Vlan20
C 10.60.21.0 is directly connected, Vlan21
C 10.60.18.0 is directly connected, Vlan18
C 10.60.19.0 is directly connected, Vlan19
C 10.60.16.0 is directly connected, Vlan16
C 10.60.17.0 is directly connected, Vlan17
C 10.60.14.0 is directly connected, Vlan14
C 10.60.15.0 is directly connected, Vlan15
C 10.60.12.0 is directly connected, Vlan12
C 10.60.13.0 is directly connected, Vlan13
C 10.60.11.0 is directly connected, Vlan11
192.168.222.0/29 is subnetted, 1 subnets
C 192.168.222.8 is directly connected, Vlan131
- OSPF
Switch(config)#router ospf 1 Switch(config-router)#router-id 10.60.11.252 Switch(config-router)#summary-address 193.48.57.176 255.255.255.240 Switch(config-router)#redistribute connected subnets Switch(config-router)#summary-address 192.168.0.0 255.255.255.0 not-advertise Switch(config-router)#summary-address 10.60.0.0 255.255.0.0 not-advertise Switch(config-router)#network 192.168.222.8 0.0.0.7 area 2 Switch(config-router)#exit
Mise en place des partitions pour la VM
Sur cordouan
lvcreate -L10G -nIMA5_Dionysos_var virtual lvcreate -L10G -nIMA5_Dionysos_home virtual mke2fs /dev/virtual/IMA5_Dionysos_var mke2fs /dev/virtual/IMA5_Dionysos_home
Dans le fichier /etc/xen/Dionysos.cfg
disk = [
'file:/usr/local/xen/domains/Dionysos/disk.img,xvda2,w',
'file:/usr/local/xen/domains/Dionysos/swap.img,xvda1,w
'phy:/dev/virtual/IMA5_Dionysos_var,xvdb2,w',
'phy:/dev/virtual/IMA5_Dionysos_home,xvdb1,w',
]
Sur la VM, dans le fichier /etc/fstab
/dev/xvdb1 /home ext4 defaults 0 3
Le cas du répertoire /var est plus complexe.
Si nous utilisons la même méthode que pour /home, nous perdrons le /var. Nous ne pourrions donc plus utiliser apt-get, par exemple.
Dans la VM, dans le fichier /etc/fstab
/dev/xvdb2 /mnt ext4 defaults 0 2
Puis dans le terminal de la VM
mount /dev/xvdb2 /mnt mv /var/* /mnt/ unmount /mnt mount -a
Via la commande df nous contrôlons le résultat.
Filesystem 1K-blocks Used Available Use% Mounted on ... ... ... ... ... ... /dev/xvdb1 10255636 36888 9678076 1% /home /dev/xvdb2 10321208 23028 9773892 1% /var
Mise en place serveur DNS
Utilisation de la méthode bind
Dans le répertoire /etc/bind, nous modifirons les trois fichiers suivants :
named.conf.options
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
//Mise en place du DNSSEC
dnssec-enable yes;
dnssec-validation auto;
auth-nxdomain no;
listen-on-v6 { any; };
allow-recursion{localhost;};
};
named.conf.local
zone "dionysos.space"{
type master;
file "/etc/bind/db.dionysos.space";
allow-transfer{217.70.177.40;}; //Autorisation transfert vers ns6.gandi.net
};
Puis nous créons le fichier /etc/bind/db.dionysos.space
cp db.local db.dionysos.space
Dans ce fichier nous entrons les paramètres suivants
;
; BIND data file for local loopback interface
;
$TTL 604800
$include /root/SSL_certif/dionysos-ksk.key
$include /root/SSL_certif/dionysos-zsk.key
@ IN SOA ns.dionysos.space. root.dionysos.space (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
IN NS ns.dionysos.space. ;dns principal
IN NS ns6.gandi.net. ;dns secondaire
@ IN A 193.48.57.178 ;acces sans le "www."
ns IN NS 193.48.57.178 ;acces avec http https
www IN A 193.48.57.178; ;acces avec le "www.
Certificat SSL
openssl req -nodes -newkey rsa:2048 -sha1 -keyout dionysos.space.key -out dionysos.space.csr ... Common Name (e.g. server FQDN or YOUR name) []:dionysos.space et dionysos.space.key Email Address []:qboens@polytech-lille.net
Cette opération génére deux fichiers : dionysos.space.crt et dionysos.space.key
Une fois cette étape faite on récupére sur gandi GandiStandardSSLCA2.pem, dans l'onglet du certificat.
Tous les fichiers sont placés dans le répertoire SSL_certif
mv dionysos.space.csr SSL_certif mv dionysos.space.key SSL_certif mv GandiStandardSSLCA2.pem SSL_certif
Installation de DNSSEC
Création de la clef KSK
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE dionysos.space
Création de la clef ZSK
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE dionysos.space
Ces clefs ont été crées dans le dossier SSL_certif
Création d'un fichier signé à partir de db.dionysos.space
dnssec-signzone -o dionysos.space -k dionysos-ksk.key /etc/bind/db.dionysos.space dionysos-zsk.key
Dans named.conf.local nous changons le fichier cible, pour que bind9 prenne en compte db.dionysos.space.signed, qui est le fichier signé
zone "dionysos.space"{
type master;
file "/etc/bind/db.dionysos.space.signed";
allow-transfer{217.70.177.40;}; //Autorisation transfert vers ns6.gandi.net
};
Puis nous relançons bind9
service bind9 restart
Sur le site gandi nous ajoutons les deux clefs, dans l'onglet DNSSEC
Séance 3.5 : 14/12/2018
Craquage WPA/PSK par dictionnaire
Materiel utilisé :
- un PC portable
- une clé Wi-Pi (nécessaire pour le PC portable que nous avons utilisé pour la partie handshake)
- Zabeth13 pour le craquage
Récupération du handshake
Premièrement sur le PC portable SOLE,
#ip a
pour vérifier que nous disposons bien d'une interface wifi wlx40a5ef0f68ce, puis nous l'utilisons pour écouter sur le wifi :
#airmon-ng start <nom_de_l'interface>
On récupère l'interface retournée, dans notre cas wlan0mon
#airodump-ng wlan0mon
On note l'ESSID de cracotte02 et son channel pour ensuite renvoyer dans des fichiers
#airodump-ng --bssid <ESSID cracotte02> wlan0mon --channel 9 --write FILENAME
On dispose ensuite de 4 fichiers FILENAME.cap FILENAME.csv FILENAME.kismet.csv FILENAME.kismet.netxml
On peut à présent transférer ces fichiers sur ZABETH13 via clé usb:
Rappel montage USB
#fdisk -l //avant de brancher la clé USB #fdisk -l //on récupère l'emplacement de la clé (ex: /dev/sdb -> /dev/sdb1) #mkdir /media/MA_CLE_USB #mount /dev/sdb1 /media/MA_CLE_USB #mv /home/pifou/Mon_FICHIER /media/MA_CLE_USB //répéter autant que nécessaire #umount /media/MA_CLE_USB
Crack WPA/PSK
On crée un petit programme main.c pour lister tous les codes possibles, on sait qu'il s'agit d'un code de 8 chiffres
#include <stdio.h>
#include <stdlib.h>
int main(){
int i;
// key is 8 numeric digits
for(i=0;i<99999999;i++){
printf("%d\n",i);
}
return 0;
}
On compile et on stock dans un txt
#gcc main.c -o main -Wall #./main > dictionnaire.txt
On peut à présent lancer le crack
#aircrack-ng FILENAME.cap -w dictionnaire.txt
Après un certains temps d'execution, on obtient la clé
Clé : 42429902
Séance 4 : 17/12/2018
Correction IPV6 routeur
Vlan 43 - XEN
conf t no int vlan43 int vlan43 ip address 193.48.57.188 255.255.255.240 standby version 2 standby 22 ip 193.48.57.190 standby 22 preempt ipv6 enable ipv6 address 2001:660:4401:60C0::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C0::/64 1000 900 ipv6 nd router-preference High exit
Vlan 131 - Interconnexion
conf t no int vlan 131 int vlan 131 ip address 192.168.222.9 255.255.255.248 ipv6 address fe80::2 link-local ipv6 enable ipv6 rip tpima2a5 enable exit
Vlan 10+N - Groupe N
IPv4
- Notre Routeur :
10.60.10+N.252 - Routeur Virtuel :
10.60.10+N.254
IPv6
2001:660:4401:60XX
- VLAN 11 à 21 :
C1àCB - VLAN 43 :
C0
- Groupe 1
conf t no int vlan11 int vlan11 ip address 10.60.11.252 255.255.255.0 standby version 2 standby 11 ip 10.60.11.254 standby 11 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C1::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C1::/64 1000 900 ipv6 nd router-preference High exit vlan 11 name groupe1 exit
- Groupe 2
conf t no int vlan12 int vlan12 ip address 10.60.12.252 255.255.255.0 standby version 2 standby 12 ip 10.60.12.254 standby 12 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C2::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C2::/64 1000 900 ipv6 nd router-preference High exit vlan 12 name groupe2 exit
- Groupe 3
conf t no int vlan13 int vlan13 ip address 10.60.13.252 255.255.255.0 standby version 2 standby 13 ip 10.60.13.254 standby 13 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C3::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C3::/64 1000 900 ipv6 nd router-preference High exit vlan 13 name groupe3 exit
- Groupe 4
conf t no int vlan14 int vlan14 ip address 10.60.14.252 255.255.255.0 standby version 2 standby 14 ip 10.60.14.254 standby 14 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C4::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C4::/64 1000 900 ipv6 nd router-preference High exit vlan 14 name groupe4 exit
- Groupe 5
conf t no int vlan15 int vlan15 ip address 10.60.15.252 255.255.255.0 standby version 2 standby 15 ip 10.60.15.254 standby 15 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C5::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C5::/64 1000 900 ipv6 nd router-preference High exit vlan 15 name groupe5 exit
- Groupe 6
conf t no int vlan16 int vlan16 ip address 10.60.16.252 255.255.255.0 standby version 2 standby 16 ip 10.60.16.254 standby 16 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C6::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C6::/64 1000 900 ipv6 nd router-preference High exit vlan 16 name groupe6 exit
- Groupe 7
conf t no int vlan17 int vlan17 ip address 10.60.17.252 255.255.255.0 standby version 2 standby 17 ip 10.60.17.254 standby 17 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C7::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C7::/64 1000 900 ipv6 nd router-preference High exit vlan 17 name groupe7 exit
- Groupe 8
conf t no int vlan18 int vlan18 ip address 10.60.18.252 255.255.255.0 standby version 2 standby 18 ip 10.60.18.254 standby 18 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C8::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C8::/64 1000 900 ipv6 nd router-preference High exit vlan 18 name groupe8 exit
- Groupe 9
conf t no int vlan19 int vlan19 ip address 10.60.19.252 255.255.255.0 standby version 2 standby 19 ip 10.60.19.254 standby 19 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60C9::/64 eui-64 ipv6 nd prefix 2001:660:4401:60C9::/64 1000 900 ipv6 nd router-preference High exit vlan 19 name groupe9 exit
- Groupe 10
conf t no int vlan20 int vlan20 ip address 10.60.20.252 255.255.255.0 standby version 2 standby 20 ip 10.60.20.254 standby 20 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60CA::/64 eui-64 ipv6 nd prefix 2001:660:4401:60CA::/64 1000 900 ipv6 nd router-preference High exit vlan 20 name groupe10 exit
- Groupe 11
conf t no int vlan21 int vlan21 ip address 10.60.21.252 255.255.255.0 standby version 2 standby 21 ip 10.60.21.254 standby 21 preempt ipv6 enable ipv6 address prefix 2001:660:4401:60CB::/64 eui-64 ipv6 nd prefix 2001:660:4401:60CB::/64 1000 900 ipv6 nd router-preference High exit vlan 21 name groupe11 exit
Vérifications du fonctionnement
show running-config
-
show run
[...] ipv6 unicast-routing ! [...] spanning-tree mode pvst spanning-tree loopguard default spanning-tree etherchannel guard misconfig spanning-tree extend system-id ! [...] interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/5 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/6 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/7 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/8 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/9 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/10 switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet0/11 switchport trunk encapsulation dot1q switchport mode trunk ! [...] interface TenGigabitEthernet0/1 switchport access vlan 131 switchport trunk encapsulation dot1q switchport mode access ! interface TenGigabitEthernet0/2 switchport access vlan 43 switchport trunk encapsulation dot1q switchport mode access ! interface Vlan1 ip address 10.60.1.252 255.255.255.0 ! interface Vlan11 ip address 10.60.11.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C1::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C1::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 11 ip 10.60.11.254 standby 11 preempt ! interface Vlan12 ip address 10.60.12.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C2::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C2::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 12 ip 10.60.12.254 standby 12 preempt ! interface Vlan13 ip address 10.60.13.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C3::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C3::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 13 ip 10.60.13.254 standby 13 preempt ! interface Vlan14 ip address 10.60.14.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C4::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C4::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 14 ip 10.60.14.254 standby 14 preempt ! interface Vlan15 ip address 10.60.15.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C5::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C5::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 15 ip 10.60.15.254 standby 15 preempt ! interface Vlan16 ip address 10.60.16.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C6::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C6::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 16 ip 10.60.16.254 standby 16 preempt ! interface Vlan17 ip address 10.60.17.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C7::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C7::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 17 ip 10.60.17.254 standby 17 preempt ! interface Vlan18 ip address 10.60.18.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C8::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C8::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 18 ip 10.60.18.254 standby 18 preempt ! interface Vlan19 ip address 10.60.19.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60C9::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C9::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 19 ip 10.60.19.254 standby 19 preempt ! interface Vlan20 ip address 10.60.20.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60CA::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60CA::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 20 ip 10.60.20.254 standby 20 preempt ! interface Vlan21 ip address 10.60.21.252 255.255.255.0 ipv6 address prefix 2001:660:4401:60CB::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60CB::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 21 ip 10.60.21.254 standby 21 preempt ! interface Vlan43 ip address 193.48.57.188 255.255.255.240 ipv6 address 2001:660:4401:60C0::/64 eui-64 ipv6 enable ipv6 nd prefix 2001:660:4401:60C0::/64 1000 900 ipv6 nd router-preference High standby version 2 standby 22 ip 193.48.57.190 standby 22 preempt ! interface Vlan131 ip address 192.168.222.9 255.255.255.248 ipv6 address FE80::2 link-local ipv6 enable ipv6 rip tpima2a5 enable ! router ospf 1 router-id 10.60.11.252 log-adjacency-changes summary-address 193.48.57.176 255.255.255.240 summary-address 192.168.0.0 255.255.255.0 not-advertise summary-address 10.60.0.0 255.255.0.0 not-advertise redistribute connected subnets network 192.168.222.8 0.0.0.7 area 2 ! [...] ipv6 router rip tpima5sc redistribute connected metric 1 redistribute static metric 1 ! [...] end
Show Interface status
-
show int status
Port Name Status Vlan Duplex Speed Type
Gi0/1 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/2 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/3 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/4 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/5 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/6 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/7 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/8 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/9 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/10 connected trunk a-full a-100 10/100/1000BaseTX // Vers C1
Gi0/11 connected trunk a-full a-1000 10/100/1000BaseTX // Vers C2
Gi0/12 notconnect 1 auto auto 10/100/1000BaseTX // Borne Wi-Fi du groupe 1
Gi0/13 notconnect 1 auto auto 10/100/1000BaseTX
Gi0/14 notconnect 1 auto auto 10/100/1000BaseTX
[...] // // // // //
Gi0/47 notconnect 1 auto auto 10/100/1000BaseTX
Gi0/48 notconnect 1 auto auto 10/100/1000BaseTX
Te0/1 connected 131 full 10G 10GBase-SR // Vers SR52
Te0/2 connected 43 full 10G 10GBase-SR // Vers Cordouan
IPv6
-
show ipv6 route
Switch#show ipv6 route
IPv6 Routing Table - Default - 53 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, D - EIGRP, EX - EIGRP external
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
R ::/0 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:60::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6000::/56 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6002::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6003::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6004::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6005::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6006::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6007::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6008::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6009::/64 [120/2]
via FE80::42:1, Vlan131
R 2001:660:4401:6011::/64 [120/2]
IPv4
-
show ip route
Nous avons bien de l'OSPF (O) et OSPF NSSA external type 2 (E2)
Switch#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 192.168.222.14 to network 0.0.0.0
193.51.182.0/30 is subnetted, 1 subnets
O E2 193.51.182.108 [110/20] via 192.168.222.14, 00:29:30, Vlan131
O E2 192.168.12.0/24 [110/10] via 192.168.222.14, 00:29:30, Vlan131
O E2 192.168.29.0/24 [110/10] via 192.168.222.14, 00:29:30, Vlan131
O E2 192.168.28.0/24 [110/10] via 192.168.222.14, 00:29:30, Vlan131
193.48.63.0/24 is variably subnetted, 2 subnets, 2 masks
O E2 193.48.63.0/26 [110/10] via 192.168.222.14, 00:29:30, Vlan131
O IA 193.48.63.1/32 [110/13] via 192.168.222.14, 00:29:31, Vlan131
O IA 193.49.225.0/24 [110/3] via 192.168.222.14, 00:29:31, Vlan131
192.168.44.0/29 is subnetted, 4 subnets
O E2 192.168.44.0 [110/10] via 192.168.222.14, 00:29:31, Vlan131
O E2 192.168.44.8 [110/10] via 192.168.222.14, 00:29:31, Vlan131
O E2 192.168.44.32 [110/10] via 192.168.222.14, 00:29:31, Vlan131
Sécurisation des données via RAID5
Les partitions
Création des trois partitions 1G,
lvcreate -L1G -n IMA5_Dionysos_part1 virtual lvcreate -L1G -n IMA5_Dionysos_part2 virtual lvcreate -L1G -n IMA5_Dionysos_part3 virtual
Ajout de ces partitions lors de la création de la VM, dans le fichier Dionysos.cfg:
disk = [
'file:/usr/local/xen/domains/Dionysos/disk.img,xvda2,w',
'file:/usr/local/xen/domains/Dionysos/swap.img,xvda1,w',
'phy:/dev/virtual/IMA5_Dionysos_var,xvdb2,w'
'phy:/dev/virtual/IMA5_Dionysos_part1,xvdf1,w',
'phy:/dev/virtual/IMA5_Dionysos_part2,xvdg1,w',
'phy:/dev/virtual/IMA5_Dionysos_part3,xvdh1,w',
]
Création du RAID
Création du RAID5 à l'aide de mdadm
sudo mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=4 /dev/sdb1 /dev/sdc1 /dev/sdd1 /dev/sde1
Lors du premier essai l'erreur suivante est apparue
mdadm: cannot open /dev/xvdf1: Device or resource busy
Après quelques recherches, j'ai consulté le fichier /proc/mdstat
root@Dionysos:~# cat /proc/mdstat
Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10]
md127 : active (auto-read-only) raid5 xvdg1[0] xvdf1[2]
2093056 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/2] [U_U]
unused devices: <none>
J'ai donc arrêté md127 grâce à
mdadm --stop /dev/md127
Puis j'ai relancé la commande de création du RAID
En relisant /proc/mdstat, j'ai obtenu
Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10]
md0 : active raid5 xvdh1[2] xvdg1[1] xvdf1[0]
2093056 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/3] [UUU]
Daemonisation du volume RAID, pour que la VM le charge à chaque redémarrage
mdadm --monitor --daemonise /dev/md0
On formate le RAID
root@Dionysos:~#mkfs.ext4 /dev/md0 mke2fs 1.44.4 (18-Aug-2018) Creating filesystem with 523264 4k blocks and 130816 inodes Filesystem UUID: e7b32d68-7297-4957-9104-574fff233b93 Superblock backups stored on blocks: 32768, 98304, 163840, 229376, 294912 Allocating group tables: done Writing inode tables: done Creating journal (8192 blocks): done Writing superblocks and filesystem accounting information: done
Dans le fichier /etc/fstab, nous demandons à notre VM de monter le volume à chaque redémarrage
/dev/md0 /media/raid ext4 defaults 0 1
Puis nous créons un dossier
mkdir /media/raid
Dans ce fichier, nous créons un simple fichier texte blabla.txt
Comme demandé dans le sujet, j'ai arrêté ma VM. Puis je l'ai relancée, en désactivant une des partitions : xvdh1
Résultat, dans le dossier /media/raid
root@Dionysos:/media/raid# ls lost+found
Sécurisation Wifi par WPA2-EAP
Suite à une erreur de manipulation le /var est mort
Pour réaliser la suite du TP j'ai recrée une VM Dionysos2, même addresse IP.
Il faut donc éteindre la VM Dionysos pour éviter tout problème
Crack WEP
- récuperer l'interface wifi
ip a
- mettre l'interface en écoute et récupérer le nouveau nom de l'interface (<interface2>)
airmon-ng start <interface>
- récupérer le Channel et le BSSID
airodump <interface2>
- récupérer des
#Data
airodump-ng -c <CHANNEL> --bssid <BSSID> -w crack_wep <interface2>
- lancer un spam de paquets ARP
aireplay-ng --fakeauth 30 -a <BSSID> <interface>
- lancer le crack
aircrack-ng crack_wep01.cap
- resultat si assez de #Data
Les étapes
Introduction
Installation des systèmes d'exploitation
Installation dans la machine virtuelle Xen
Architecture réseau
L'architecture générale
Les réseaux virtuels
Le routage de sites (IPv4)
Le routage de site (IPv6)
Sécurisation du réseau
Services Internet
Serveur SSH
Serveur DNS
Sécurisation de site web par certificat
Sécurisation de serveur DNS par DNSSEC
Tests d'intrusion
Intrusion par changement d'adresse MAC
Cassage de clef WEP d'un point d'accès wifi
Cassage de mot de passe WPA-PSK par force brute
Réalisation
- REMARQUE Nous n'avons pas eu à nous occuper des points 6.3, 6.4 et 6.5 du sujet
