Cahier groupe n°2 : Différence entre versions
(→Suivi de l'avancement du TP) |
(→Semaine 8 (03/12/2015)) |
||
Ligne 262 : | Ligne 262 : | ||
- Configuration du serveur FreeRadius en PEAP-MSCHAPv2 | - Configuration du serveur FreeRadius en PEAP-MSCHAPv2 | ||
+ | |||
+ | On modifie le fichier /etc/freeradius/eap.conf : | ||
+ | default_eap_type = peap | ||
+ | |||
+ | Puis le fichier /etc/freeradius/clients.conf : | ||
+ | client E304 { | ||
+ | ipaddr = 10.10.10.1 | ||
+ | secret = password | ||
+ | } | ||
+ | client E306 { | ||
+ | ipaddr = 10.10.10.2 | ||
+ | secret = password | ||
+ | } | ||
+ | |||
+ | Enfin, le fichier /etc/freeradius/users : | ||
+ | username Cleartext-Password := "password" |
Version du 3 décembre 2015 à 11:06
Cahier des charges de la tâche particulière
Présentation de la tâche particulière
La tâche particulière que nous devons effectuer lors de ce projet est la configuration d'un des deux routeurs nécessaires à l'établissement d'un réseau redondant.
Matériel utilisé pour la tâche particulière
- Routeur 3560E
Suivi de l'avancement du TP
Semaine 1 (01/10/2015)
En collaboration avec le groupe n°1 :
- Établissement d'un tableau regroupant les informations nécessaires au routage.
- Attribution des adresses IPv4 pour chaque VLAN, l'interconnexion des réseaux ainsi que les machines virtuelles.
Semaine 2 (08/10/2015)
Configuration du routeur de la salle E304 en IPv4 :
- Configuration des VLAN :
- VLAN 11 à 20 pour chaque binôme IMA5 SC.
- VLAN 110 pour les machines virtuelles des binômes.
- VLAN 130 pour l'interconnexion avec le routeur de l'école.
- Configuration entre le routeur et le commutateur de la salle E304.
- Configuration avec le commutateur de la salle E306.
- Configuration avec le routeur de l'école.
- Réalisation de la redondance entre les deux routeurs en IPv4.
Semaine 3 (15/10/2015)
- Configuration du routeur de la salle E304 en IPv6.
- Réalisation de la redondance entre les deux routeurs en IPv6.
- Nous avons choisi le nom de domaine : tissothage.lol
- Nous avons créé notre machine virtuelle sur le dom0 cordouan.insecserv.deule.net :
ssh root@cordouan.insecserv.deule.net
xen-create-image --hostname=PANACHE --dist=jessie --dir=/usr/local/xen --gateway=193.48.57.174 --ip=193.48.57.162
tail -f /var/log/xen-tools/PANACHE.log
- Modification du fichier de configuration : PANACHE.cfg (ajout du bridge=IMA5sc et taille mémoire à 512)
- Suite aux modifications :
xl create /etc/xen/PANACHE.cfg
- Lancement de la machine virtuelle :
xl console PANACHE
- Installation des paquets suivants sur la machine virtuelle : ssh, apache2, bind9
Semaine 4 (22/10/2015)
- Création du certificat SSL
openssl req -new -newkey rsa:2048 -sha256 -nodes -out tissothage.lol.csr -keyout tissothage.lol.key -subj '/C=FR/CN=tissothage.lol'
- Intrusion par changement d'adresse MAC : configuration de la connexion sans fil "baguette" de notre eeePC pour la salle E304 (en donnant notre adresse MAC).
# dans le fichier /etc/network/interfaces auto wlan0 inet static wireless-essid baguette address 172.26.79.59 netmask 255.255.240.0 gateway 172.26.79.254
# dans le fichier /etc/resolv.conf nameserver 193.48.57.48
- Nous avons réussi à se connecter sur le site de TF1 (site en ipv4).
- Pour pouvoir se connecter au réseau wifi "troubadour" de la salle E306 :
Nous avons changé l'adresse MAC du wlan0 par une reconnue par la borne wifi.
ifconfig wlan0 hw ether ADRESSE_MAC
Pour réinitialiser la configuration
/etc/init.d/networking restart
Nous avons modifié le fichier /etc/network/interfaces pour changer le nom "baguette" en "troubadour"
- Nous avons réussi à se connecter sur le site de TF1 (site en ipv4).
Semaine 5 (12/11/2015)
- Cassage de clef WEP d'un point d'accès Wifi
- Activation du mode monitor de la carte réseau :
airmon-ng start wlan0
- Pour voir tous les points d'accès :
airodump-ng wlan0
- Pour voir seulement les points d'accès sur le canal 7 (canal regroupant les points d'accès "cracotte") :
airodump-ng -w out -c 7 --bssid 00:23:5E:1E:05:41 wlan0
L'adresse MAC du bssid est celle du point d'accès "cracotte2". - Enfin, pour trouver la clé, on lance :
aircrack-ng out-02.cap
- Pour le routeur de la salle E304 : nous avons rajouté le vlan1 qui correspond au réseau privé et qui a pour adresse MAC 10.10.10.253.
Semaine 6 (19/11/2015)
- Création des partitions LVM :
lvcreate -L 10G -n /dev/virtual/ima5-panache-home -v lvcreate -L 10G -n /dev/virtual/ima5-panache-var -v
Puis on modifie le fichier /etc/xen/PANACHE.cfg afin d'y rajouter les partitions nouvellement créées :
disk = [ 'phy:/dev/virtual/ima5-panache-var,xvdb,w' 'phy:/dev/virtual/ima5-panache-home,xvdb,w' ]
Ensuite, on configure Apache afin d'écouter sur le port 443 :
<IfModule mod_ssl.c> Listen 443 NameVirtualHost 193.48.57.162:443 </IfModule>
Enfin, on ajoute un VirtualHost /etc/apache2/sites-available/000-tissothage.lol-ssl.conf :
<VirtualHost *:443> ServerName www.tissothage.lol ServerAlias tissothage.lol DocumentRoot /var/www/www.tissothage.lol/ CustomLog /var/log/apache2/secure_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/www.tissothage.lol.crt SSLCertificateKeyFile /etc/ssl/private/www.tissothage.lol.key SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem SSLVerifyClient None </VirtualHost>
Malheureusement, nous nous sommes rendues compte que suite à une erreur de notre part (noms de domaine et de certificat différents), il était évident que ça ne fonctionnerait pas.
- Cassage de mot de passe WPA-PSK par force brute
Nous avons commencé par créer un dictionnaire qui est composé de tous les nombres à 8 chiffres. Voici le code en c qui permet de générer ce fichier :
#include<stdio.h> #include<stdlib.h> #define MAX_I 99999999 int main(){ int i=0; FILE* fp = fopen("Dictionnaire.txt","w"); if( fp == NULL ) printf("ERROR\n"); else{ for(i=0 ; i <= MAX_I ; i++){ fprintf(fp,"%08d\n",i); } } fclose(fp); return 0; } Nous avons réussi à trouver la clée :
Semaine 7 (26/11/2015)
- Rachat d'un nom de domaine "panache.lol" et installation du certificat ssl :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout panache.lol.key -out panache.lol.csr
Après récupération des fichiers .key et .csr, on fournit ce dernier à Gandi et on obtient le fichier .crt.
On place www.panache.lol.key dans /etc/ssl/private et www.panache.lol.crt dans /etc/ssl/certs.
Ensuite, on récupère le certificat intermédiaire que l'on place dans le fichier /etc/ssl/certs/GandiStandardSSLCA2.pem.
Puis, on ajoute le Virtual Host dans le fichier /etc/apache2/sites-available/000-panache.lol-ssl.conf :
<VirtualHost *:443> ServerName www.panache.lol ServerAlias panache.lol DocumentRoot /var/www/www.panache.lol/ CustomLog /var/log/apache2/secure_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/www.panache.lol.crt SSLCertificateKeyFile /etc/ssl/private/www.panache.lol.key SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem SSLVerifyClient None </VirtualHost>
- Sécurisation des données
Création de 3 partitions de 1G
lvcreate -L 1G -n /dev/virtual/ima5-panache-raid1 -v lvcreate -L 1G -n /dev/virtual/ima5-panache-raid2 -v lvcreate -L 1G -n /dev/virtual/ima5-panache-raid3 -v
Nous avons ensuite modifié le fichier de config /etc/xen/PANACHE.cfg
disk = [ ... 'phy:/dev/virtual/ima5-panache-raidA,xvdd,w', 'phy:/dev/virtual/ima5-panache-raidB,xvde,w', 'phy:/dev/virtual/ima5-panache-raidC,xvdf,w', ]
Afin de pouvoir créer un RAID5 avec les trois partitions, nous avons d'abord redémarré notre VM, ensuite :
mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdd /dev/xvde /dev/xvdf
Pour vérifier la création de notre md0:
cat /proc/mdstat
On obtient :
Personalities : [raid6] [raid5] [raid4] md0 : active raid5 xvdf[2] xvde[1] xvdd[0] 2095104 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/3] [UUU] unused devices: <none>
Pour vérifier qu'on a créé un RAID5 logiciel avec nos trois partitions
mdadm --detail /dev/md0
Après avoir redémarré la VM, on remarque que le volume nouvellement créé nommé md0 a été remplacé par md127.
Après suppression d'une partition, on effectue la commande précédente de nouveau :
mdadm --detail /dev/md127
Et on obtient :
Version : 1.2 Raid Level : raid0 Total Devices : 2 Persistence : Superblock is persistent State : inactive Name : PANACHE:0 (local to host PANACHE) UUID : a5a2ac63:89713b63:57d0149e:da7e1d76 Events : 0 Number Major Minor RaidDevice - 202 48 - /dev/xvdd - 202 64 - /dev/xvde
On vérifie le volume md127 :
cat /proc/mdstat
On a :
Personalities : md127 : inactive xvde[1](S) xvdd[0](S) 2095104 blocks super 1.2 unused devices: <none>
Semaine 8 (03/12/2015)
- Cryptage des données
Nous avons commencé par supprimer les autres partitions sur la carte SD afin d'en avoir qu'une seule en utilisant la commande
fdisk /dev/sdb
Nous avons ensuite sécurisé la partition en mettant une clé :
cryptsetup create key /dev/sdb
Ainsi, on peut vérifier que dans le répértoire /dev/mapper on a un répértoir /key
Pour formater la carte :
mkfs /dev/manager/key
- Sécurisation wifi par WPA2-EAP
- Configuration du serveur FreeRadius en PEAP-MSCHAPv2
On modifie le fichier /etc/freeradius/eap.conf :
default_eap_type = peap
Puis le fichier /etc/freeradius/clients.conf :
client E304 { ipaddr = 10.10.10.1 secret = password } client E306 { ipaddr = 10.10.10.2 secret = password }
Enfin, le fichier /etc/freeradius/users :
username Cleartext-Password := "password"