TP sysres IMA2a5 2016/2017 G4 : Différence entre versions
| Ligne 244 : | Ligne 244 : | ||
== Cassage clé == | == Cassage clé == | ||
| + | Pour le crackage de clé, nous allons utiliser le package aircrack-ng qui est un ensemble d'outils permettant de tester la sécurité d'un réseau | ||
=== Cassage de clé WEP === | === Cassage de clé WEP === | ||
| + | Commençons par detecter notre interface wifi par le biais d'un | ||
| + | <pre>ifconfig</pre> | ||
| + | ou | ||
| + | <pre>iwconfig</pre> | ||
| + | |||
| + | Notre interface est wlan2 qui correspond à la clé wifi ajoutée sur l'ordinateur. | ||
| + | |||
| + | Nous pouvons ainsi commencer à utiliser les outils de aircrack en debutant par | ||
| + | <pre>airmon-ng start wlan2 </pre> | ||
| + | Cette commande permet de mettre en mode moniteur notre interface wifi | ||
| + | Si tout se passe correctement, vous allez voir apparaitre | ||
| + | <pre>creation du mon0 | ||
| + | |||
| + | Interface Chipset Driver | ||
| + | |||
| + | mon0 Ralink RT2870/3070 rt2800usb - [phy1] | ||
| + | wlan0 Broadcom wl - [phy0] | ||
| + | wlan2 Ralink RT2870/3070 rt2800usb - [phy1] | ||
| + | (monitor mode enabled on mon1) | ||
| + | </pre> | ||
| + | Nous observons bien que le mode moniteur est activé pour notre wlan2. | ||
| + | |||
| + | Nous pouvons observer tous les réseaux grâce à la commande | ||
| + | <pre>airodump-ng wlan2</pre> | ||
| + | |||
=== Cassage de clé WPA-PSK === | === Cassage de clé WPA-PSK === | ||
Version du 6 décembre 2016 à 09:35
| N° VLAN | Prénom | Réseau local | Nom VM | @IP VM |
|---|---|---|---|---|
| VLAN20 | Dimitri | 10.60.20.0/24 | Vald | 193.48.57.182/28 |
| VLAN21 | Nabil | 10.60.21.0/24 | Pnl | 193.48.57.177/28 |
| VLAN22 | Otmane | 10.60.22.0/24 | Lartiste | 193.48.57.178/28 |
| VLAN23 | Hugo | 10.60.23.0/24 | Gradur | 193.48.57.179/28 |
| VLAN24 | Clement | 10.60.24.0/24 | Gringe | 193.48.57.180/28 |
| VLAN25 | Joan | 10.60.25.0/24 | Orelsan | 193.48.57.181/28 |
Sommaire
Configuration du point d'accés Cisco
Installation d'une machine virtuelle
L'installation s'effectuée à l'aide du logiciel de virtualisation Xen. Nous possédons qu'un seul serveur pour 6. C'est pour cela qu'on passe par la création d'une machine virtuel pour que chacun puisse réaliser une serveur DNS, Apache sur sa machine virtuel. Pour créer la machine virtuel, on tape la commande suivante :
xen-create-image --hostname Orelsan --ip 193.48.57.181 --netmask 255.255.255.240 --dir /usr/local/xen
Entre deux séances de TP, nous avons eu un changement de version du kernel Linux. De ce fait il a fallu modifier le fichier orelsan.cfg en remplaçant la version 3.14 en 3.16.0
kernel = '/boot/vmlinuz-3.16.0-4-amd64' extra = 'elevator=noop' ramdisk = '/boot/initrd.img-3.16.0-4-amd64'
Lancement de notre machine virtuelle
xl create Orelsan.cvg
Connection à notre machine virtuelle
xl console Orelsan
On peut également voir la liste de toutes les machines virtuelles ouvertes avec :
xl list
Une fois la connexion sur notre machine établie, nous devons changer le fichier interfaces pour permettre une connexion à internet:
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 193.48.57.181
netmask 255.255.255.240
gateway 193.48.57.190
Puis pour prendre en compte ses modifications nous utilisons :
ifdown ifup
Après un reboot de notre machine virtuelle, nous pouvons ainsi installer différents packages comme :
apt-get install vim
Configuration du service internet
Pour cela, il nous faut réaliser un serveur DNS qui permet de lier un nom de domaine à une adresse IP. Ainsi qu'un serveur Apache qui est un serveur HTTP
Installation du serveur HTTP
apt-get install apache2
Installation du serveur DNS
apt-get install bind9
Si cette installation vous indique une erreur, il faut modifier le fichier /etc/apt/apt.conf.d/01proxy et remplacer
Acquire::http::Proxy "http://proxy.polytech-lille.fr:3128";
par
Acquire::http::Proxy "http://helfaut.escaut.net:3128";
Cette modification est du a la modification du proxy de l'école.
Configuration de notre nom de domaine
Après l'achat de notre nom de domaine orelsan.website sur www.gandi.net on vient modifier le glue records pour lier notre adresse IP au nom de domaine dns.orelsan.webiste -> 193.48.57.181 Ensuite on se rend dans l'onglet modifier les DNS et on change le DNS indiquer par celui vu juste précédemment. Puis nous allons modifier 3 fichiers :
/etc/bind/named.conf.options
options {
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32 ; //passerelle de gandi par defaut
};
/etc/bind/named.conf.local
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "orelsan.website" {
type master;
file "/etc/bind/orelsan.website/orelsan";
};
/etc/bind/orelsan.website/orelsan
$TTL 259200
@ IN SOA dns postmaster.orelsan.website. (
20 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
259200 ) ; Minimum TTL (3j)
IN NS dns
IN NS ns6.gandi.net.
IN A 193.48.57.181
IN MX 100 dns
dns IN A 193.48.57.181
Pour prendre en compte les paramètres changés dans les fichiers ci-dessous, il suffit d'effectuer les commandes:
service bind9 stop service bind9 start
Pour observer le bon fonctionnement de notre serveur, on peut visualiser les informations sur
cat /var/log/daemon.log
Puis un ping de notre page internet peut nous montrer également son bon fonctionnement Si tout cela fonctionne on peut se rendre sur notre page. Pour modifier les informations visible sur la page, il suffit d'aller dans /var/www/html/index.html. Toutes les informations écrites dans ce fichier seront visible sur notre page.
Installation boite mail
On commence par un installer postfix qui est un serveur de messagerie électronique.
apt-get install postfix
Une fois postfix installé, on indique le nom de domaine (orelsan.website) dans la configuration
Dans /etc/aliases on ajoute:
admin:root
Puis on utilise la commande
newaliases
On installe également bsd-mailx qui est un agent de courriel utilisateur simple.
apt-get install bsd-mailx
Et pour observer nos mail, on tape la commande mail dans la console. L'adresse mail est admin@orelsan.website.
Générer une demande de certificat en SHA 2
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr Country Name (2 letter code) [AU]:fr State or Province Name (full name) [Some-State]:North Locality Name (eg, city) []:Lille Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Organizational Unit Name (eg, section) []:IMA Common Name (e.g. server FQDN or YOUR name) []:orelsan.website Email Address []:admin@orelsan.website Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Cette fonction nous crée 2 fichiers : monserveur.key serveur.csr
-monserveur.key contient la clé privée.
-serveur.csr contient la clé public.
On va maintenant ajouter la clé public sur gandi pour qu'il nous génère un certificat. On crée 2 fichier avec :
-inter.crt qui contient le certificat intermédiaire.
-gandi.crt qui qui contient le certificat .
root@Orelsan:~# ls gandi.crt inter.crt mbox monserveur.key serveur.csr
Dans le fichier /etc/apache2/sites-enabled/000-default.conf on écrit:
<VirtualHost *:443>
ServerName www.orelsan.website
ServerAlias orelsan.website
DocumentRoot /var/www/html
CustomLog /var/log/apache2/secure_access.log combined
SSLEngine on
SLCertificateFile /root/gandi.crt
SSLCertificateKeyFile /root/monserveur.key
SSLCertificateChainFile /root/inter.crt
SSLVerifyClient None
</VirtualHost>
DNSSEC
Dans un premier temps, nous ajoutons l'option ci dessous dans le fichier named.conf.options
dnssec-enable yes
Dans un répertoire, nous créons d'abord la clé asymétrique de signature puis celle de zone :
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE orelsan.website dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE orelsan.website
Après avoir renommé les noms de nos clé, nous ajoutons dans notre fichier de zone
$include /etc/bind/orelsan.website.dnssec/orelsan.website-ksk.key $include /etc/bind/orelsan.website.dnssec/orelsan.website-zsk.key
et pour signez les enregistrements de la zone, nous utilisons la commande :
dnssec-signzone -o orelsan.website -k orelsan.website-ksk ../orelsan.website/orelsan orelsan.website-zsk
Cassage clé
Pour le crackage de clé, nous allons utiliser le package aircrack-ng qui est un ensemble d'outils permettant de tester la sécurité d'un réseau
Cassage de clé WEP
Commençons par detecter notre interface wifi par le biais d'un
ifconfig
ou
iwconfig
Notre interface est wlan2 qui correspond à la clé wifi ajoutée sur l'ordinateur.
Nous pouvons ainsi commencer à utiliser les outils de aircrack en debutant par
airmon-ng start wlan2
Cette commande permet de mettre en mode moniteur notre interface wifi Si tout se passe correctement, vous allez voir apparaitre
creation du mon0 Interface Chipset Driver mon0 Ralink RT2870/3070 rt2800usb - [phy1] wlan0 Broadcom wl - [phy0] wlan2 Ralink RT2870/3070 rt2800usb - [phy1] (monitor mode enabled on mon1)
Nous observons bien que le mode moniteur est activé pour notre wlan2.
Nous pouvons observer tous les réseaux grâce à la commande
airodump-ng wlan2
