TP sysres IMA2a5 2019/2020 G3

De Wiki d'activités IMA
Révision datée du 8 novembre 2019 à 09:09 par Pcoint (discussion | contributions) (Modification du .cfg)
© Copyright Ginette

Accueil/Descriptif du groupe

Bienvenue sur la page du groupe 3. Le découpage en groupe par numéro permet de se repérer plus facielemnt dans l'adressage des différents réseaux nécessaire.Ce groupe est constitué de :

  • Pascal Coint
  • Quentin Weisbecker

Ce TP consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous avons à installer une machine virtuelle Xen avec l'OS Devian ainsi qu'implanter un auto-commutateur et un point d'accès. Nous effectuerons pas la suite des tests d'intrusion sur ces points d'accès afin de voir la vulnérabilité des différents protocoles de clé. Pour notre cas, nous nous étendrons sur les protocoles WEP et WPA-PSK.

Informations importantes

Description Détails
ID VLAN 4
Réseau IP V4 10.60.3.0/24
Réseau IP V6 2001.660.4401.60B3::/64
Nom de l'ordinateur portable Requin
Repérage à l'étiqueteuse IMA2A5 CW
Numéro de poste Zabeth03

Le Site Web

Achat d'un nom de domaine et association d'IP

Pour la réalisation de ce TP, nous avons dû acheter un nom de domaine via le site Gandi.net . On retiendra que notre nom de domaine est : rex4ever.site.

Paramétrage de notre provider

Glue Records

Puis, une fois ce nom de domaine acquis, il faudra le lier à notre machine virtuelle. Pour cela, il faut se servir de ce qu'on appelle un enregistrement GLUE ce qui permettra de lier directement l'IP de la machine virtuelle avec le domaine de chez Gandi.

DNS

Configuration du Certificat/Securisation du site internet sous HTTPS

Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web.

Génération du certificat

La première étape pour générer un certificat est de concevoir un jeu de 2 clefs qui sont un .key et un .csr Pour obtenir ces deux fichiers, nous utilisons l'utilitaire OpenSSL.

     openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-rex4ever.key -out ima2a5-rex4ever.csr 

Mais alors comment marche cette commande? Après avoir lu le descriptif que l'on peut obtenir via man openssl, il en ressort que les arguments sont :

Argument explication
req Gestion X.509 Certificate Signing Request (CSR).
-nodes Pas de chiffrage sur la clef privée (option arbitraire no des)
-newkey rsa:2048 demande de Génération d'une paire de clef RSA de 2048 bits et d'une demande de certificat.
-keyout ima2a5-rex4ever.key spécification du nom de notre .key
-out ima2a5-rex4ever.csr spécification du nom de notre demande de certificat .csr

Pour générer en bon éduforme notre demande,l'utilitaire a besoin des informations, voici ce que nous avons répondu:

     Country Name (2 letter code) [AU]:FR
     State or Province Name (full name) [Some-State]:Nord
     Locality Name (eg, city) []:Lille
     Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
     Organizational Unit Name (eg, section) []:IMA2A5
     Common Name (e.g. server FQDN or YOUR name) []:ima2a5-rex4ever.site
     Email Address []:pascal.coint@polytech-lille.net
     
     Please enter the following 'extra' attributes
     to be sent with your certificate request
     A challenge password []:glopglop!
     Optionnal informations :

Affectation du certificat sur Gandi.net

Après avoir répondu , il génère alors 2 fichiers. Le .key est notre clef privée elle restera donc en notre unique possession. On partage avec gandhi (qui est également un générateur de certificat) notre .csr. Il va donc étudier la validité de notre domaine et le certifier ou non.

Contenu de notre CSR

     -----BEGIN CERTIFICATE REQUEST-----
     MIIDBTCCAe0CAQAwgaUxCzAJBgNVBAYTAkZSMQ0wCwYDVQQIDAROb3JkMQ4wDAYD
     VQQHDAVMaWxsZTEXMBUGA1UECgwOUG9seXRlY2ggTGlsbGUxDzANBgNVBAsMBklN
     QTJBNTEdMBsGA1UEAwwUaW1hMmE1LXJleDRldmVyLnNpdGUxLjAsBgkqhkiG9w0B
     CQEWH3Bhc2NhbC5jb2ludEBwb2x5dGVjaC1saWxsZS5uZXQwggEiMA0GCSqGSIb3 
     DQEBAQUAA4IBDwAwggEKAoIBAQDBKS9p8572UiXo2W1dAiKEKLq+B6ge/si0AhMH
     fLtovMz7Xvy/9oQnq25SvkWaNRuAJrvzROGS2mzkG9IEhnEpWSTNvspTO60PgNPo
     EUYcgKAeEuVVJyom3K3ioBOvllucQfiOIB/ykvP80s+9Wjo2vf2PkESPTjfM0zKP
     2JMT9cGQV6auD7NU+Ygz7w5dW/NKkU2KZA9HQ7i95+/ST3r2T0D8xP/ltEBC0Q7i
     U/OVkAKn6CPJ6KtkbQYvgKVG95IM5SQb/WxRVNnHKS4f+erNFYpx5iNiHhv6larV
     G0oR9uNsg7tOhdhcVVnooGSAsoxtgmDLwzuuho+3fS4t1K83AgMBAAGgGjAYBgkq
     hkiG9w0BCQcxCwwJZ2xvcGdsb3AhMA0GCSqGSIb3DQEBCwUAA4IBAQB7jtWizvBQ
     dNEyyVRhS563mKFo34RWW4g5tpnPC6wepQ7tvHo6gZZtzljobsWF55lRK7/Pi8eh
     ANyQxb1Lo9FcHJcUOEMc8heeutSZQoCslTdRNMe+uBhQ/qCLXjy+fgdptqPi9cXP
     zi8gBbrAQ9sHqJPK/RwhzuhCkBSzYgoNbYLjrHf8lCe60+7+0HBKM3jpTUDmzrzg
     Kmb8GmkgcrzKSNhlOFZpiQqBJUfK5zJEucdhJ0j7Tupwf+J2oO+TccnCNH7o1Ykc
     7ANKYKpf8AoCcZenLutCXt3YGjT8INuh5SnpsyR3BZUK9hNzZGK9Ilv9hwiEnmaS
     PQWRkLUGQdh+
     -----END CERTIFICATE REQUEST-----

Paramétrage du certificat

Machine virtuelle

Note importante

Comme indiqué dans le sujet, nous allons créer une machine virtuelle via l'utilitaire Xen Linux sur le dom0 cordouan.insecserv.deule.net via la commande ssh et le compte administrateur usuel.Sur notre machine virtuelle nous créerons par la suite un compte pifou et un compte root identique au Zabeth.

La commande xen-create-image

Après s'être connecté, il faut maintenant

     xen-create-image --hostname=ima2a5-rex4ever --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

L'installation se lance alors :

     root@cordouan:~# xen-create-image --hostname=ima2a5-rex4ever --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force
     Use of uninitialized value within %DIST in pattern match (m//) at /usr/bin/xen-create-image line 1803.
     
     General Information
     --------------------
     Hostname       :  ima2a5-rex4ever
     Distribution   :  ascii
     Mirror         :  http://fr.deb.devuan.org/merged/
     Partitions     :  swap            512M  (swap)
                       /               4G    (ext4)
     Image type     :  sparse
     Memory size    :  256M
     Kernel path    :  /boot/vmlinuz-4.9.0-6-amd64
     Initrd path    :  /boot/initrd.img-4.9.0-6-amd64
     
     Networking Information
     ----------------------
     IP Address     : DHCP [MAC: xxxxxxx]
     
     
     Creating partition image: /usr/local/xen/domains/ima2a5-rex4ever/swap.img
     Done
     
     Creating swap on /usr/local/xen/domains/ima2a5-rex4ever/swap.img
     Done
     
     Creating partition image: /usr/local/xen/domains/ima2a5-rex4ever/disk.img
     Done
     
     Creating ext4 filesystem on /usr/local/xen/domains/ima2a5-rex4ever/disk.img
     Done
     Installation method: debootstrap

L'installation peut sembler bloquer sur cette dernière ligne mais il est possible de voir ce qui se passe en arrière plan via un second terminal en SSH et la commande SSH

     tail -f /var/xen-tools/ima2a5-rex4ever.log

Modification du .cfg

Dans un premier lieu, on regarde l'existence du brige sur l'hote distant via :

     brctl show

Ce qui nous retourne :

     bridge name	bridge id		STP enabled	interfaces
     IMA2a5		8000.000af75e3dc0	no		eth1
     eth2
     if3.0
     IMA5sc		8000.000af75e3dc2	no		eth3
     eth5
     Insecure		8000.c81f66c22b83	no		vlan6
     L3MRIT		8000.000af763ae2d	no		eth4
     StudentsInfo		8000.c81f66c22b83	no		vlan50

On voit bien l'existence du bridge IMA2a5, il faut donc l'ajouter à notre .cfg qui est le fichier de configuration de la VM (/etc/xen/ima2a5-rex4ever.cfg) et on modifie la ligne commençant par vif = et on ajoute le bridge de la manière suivante :

     vif = ['MAC:xxxxx,bridge = IMA2a5']

Client Wifi

Description

Notre Client Wi-fi est un ordinateur portable fourni par Monsieur Redon. Il ne nécessite pas nécessairement de configuration. Cependant, la clef Wi-Fi fournie avec elle doit être paramétrée (la datasheet peut se trouver à l'adresse suivant ; Datasheet).

Paramétrage du réseau Wifi

Pour pouvoir utiliser correctement notre petit ordinateur bleu, nous allons retirer l'option secure boot afin de pouvoir choisir notre système d'exploitation au démarrage et ne plus booter sur le système par défaut.Cela permet alors de pouvoir utiliser le système Linux.