TP sysres IMA2a5 2016/2017 G1 : Différence entre versions
(→Xen) |
(→Sécurité) |
||
Ligne 281 : | Ligne 281 : | ||
=== Sécurité === | === Sécurité === | ||
− | On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban | + | On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban |
# apt-get install fail2ban | # apt-get install fail2ban |
Version du 21 novembre 2016 à 20:59
\ \ \\ \\ >\/7 _.-(6' \ (=___._/` \ ) \ | / / | / > / j < _\ _.-' : ``. \ r=._\ `. <`\\_ \ .`-. \ r-7 `-. ._ ' . `\ \`, `-.`7 7) ) \/ \| \' / `-._ || .' \\ ( unic0rn.pw >\ > ,.-' >.' <.'_. <'
Sommaire
Plages d'IP
VLAN | Réseau | Prénom | Xen | IP Xen -------------------------------------------------------------- VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28 VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28 VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28 VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28 VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28 VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28 VLAN26 193.48.57.176/28 Xen
Routeur de Dimitri:
- 10.60.2?.1
- 193.48.57.190
- 192.168.222.9
Routeur de Nabil:
- 10.60.2?.2
- 193.48.57.189
- 192.168.222.10
Configuration du routeur
Version
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)
Ports
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.
interface GigabitEthernet0/0/0 no ip address media-type sfp negotiation auto service instance 20 ethernet encapsulation dot1q 20 rewrite ingress tag pop 1 symmetric bridge-domain 20 ! service instance 21 ethernet encapsulation dot1q 21 rewrite ingress tag pop 1 symmetric bridge-domain 21 ! service instance 22 ethernet encapsulation dot1q 22 rewrite ingress tag pop 1 symmetric bridge-domain 22 ! service instance 23 ethernet encapsulation dot1q 23 rewrite ingress tag pop 1 symmetric bridge-domain 23 ! service instance 24 ethernet encapsulation dot1q 24 rewrite ingress tag pop 1 symmetric bridge-domain 24 ! service instance 25 ethernet encapsulation dot1q 25 rewrite ingress tag pop 1 symmetric bridge-domain 25 ! service instance 26 ethernet encapsulation dot1q 26 rewrite ingress tag pop 1 symmetric bridge-domain 26 ! service instance 131 ethernet encapsulation dot1q 131 rewrite ingress tag pop 1 symmetric bridge-domain 131 ! ! interface GigabitEthernet0/0/1 no ip address negotiation auto service instance 20 ethernet encapsulation dot1q 20 rewrite ingress tag pop 1 symmetric bridge-domain 20 ! service instance 21 ethernet encapsulation dot1q 21 rewrite ingress tag pop 1 symmetric bridge-domain 21 ! service instance 22 ethernet encapsulation dot1q 22 rewrite ingress tag pop 1 symmetric bridge-domain 22 ! service instance 23 ethernet encapsulation dot1q 23 rewrite ingress tag pop 1 symmetric bridge-domain 23 ! service instance 24 ethernet encapsulation dot1q 24 rewrite ingress tag pop 1 symmetric bridge-domain 24 ! service instance 25 ethernet encapsulation dot1q 25 rewrite ingress tag pop 1 symmetric bridge-domain 25 ! service instance 26 ethernet encapsulation dot1q 26 rewrite ingress tag pop 1 symmetric bridge-domain 26 ! service instance 131 ethernet encapsulation dot1q 131 rewrite ingress tag pop 1 symmetric bridge-domain 131 ! !
Ils sont configurés pour utiliser les bridges-domains suivant:
interface BDI20 ip address 10.60.20.1 255.255.255.240 ! interface BDI21 ip address 10.60.21.1 255.255.255.240 ! interface BDI22 ip address 10.60.22.1 255.255.255.240 ! interface BDI23 ip address 10.60.23.1 255.255.255.240 ! interface BDI24 ip address 10.60.24.1 255.255.255.240 ! interface BDI25 ip address 10.60.25.1 255.255.255.240 ! interface BDI26 ip address 193.48.57.190 255.255.255.240 ! interface BDI131 ip address 192.168.222.9 255.255.255.248 !
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.
OSPF
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).
router ospf 1 router-id 10.60.20.1 summary-address 10.60.20.0 255.255.255.0 summary-address 10.60.21.0 255.255.255.0 summary-address 10.60.22.0 255.255.255.0 summary-address 10.60.23.0 255.255.255.0 summary-address 10.60.24.0 255.255.255.0 summary-address 10.60.25.0 255.255.255.0 summary-address 10.60.26.0 255.255.255.0 summary-address 193.48.57.176 255.255.255.240 redistribute connected subnets redistribute static subnets route-map ospf network 192.168.222.8 0.0.0.7 area 2 !
Xen
Proxy
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy
Apache2
$ apt-get install apache2
On peut ensuite accéder à [1] pour visualiser "Apache2 Debian Default Page...".
Bind9
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.
$ apt-get install bind9
On commence par ajouter le DNS secondaire ns6.gandi.net:
$ cat /etc/bind/named.conf.options ... allow-transfer { "allowed_to_transfer"; }; }; acl "allowed_to_transfer" { 217.70.177.40/32 ; };
Ensuite il faut définir notre nom de domaine comme une zone:
$ cat /etc/bind/named.conf.local zone "unic0rn.pw" { type master; file "/etc/bind/unic0rn.pw"; };
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:
# cat unic0rn.pw $TTL 259200 @ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. ( 10 ; Version 7200 ; Refresh (2h) 3600 ; Retry (1h) 1209600 ; Expire (14j) 259200 ) ; Minimum TTL (3j) IN NS dns.unic0rn.pw. IN NS ns6.gandi.net. IN MX 100 dns.unic0rn.pw. IN A 193.48.57.182 www IN A 193.48.57.182 dns IN A 193.48.57.182
On peut alors vérifier que tout fonctionne:
# service bind9 restart $ host unic0rn.pw Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: unic0rn.pw has address 193.48.57.182 unic0rn.pw mail is handled by 100 dns.unic0rn.pw. $ curl unic0rn.pw | less % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k <!DOCTYPE html>...
Sécurité
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban
# apt-get install fail2ban