SE5 IdO sécurité des objets 2025/2026
Infrastructure réseau pour 2025/2026
Serveur virtuel
Créez un serveur virtuel sur capbreton par binôme. Préfixez le nom du serveur par SE5-. Le serveur doit avoir une unique interface dans le commutateur virtuel bridgeStudents.
Prenez une adresse IPv4 à partir de 172.26.145.100 et utilisez, comme routeur, l'adresse IPv4 172.26.145.251. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.
Par la suite ajoutez à votre serveur une interface dans le VLAN 400+X numérotée dans le sous-réseau IPv4 172.16.X.0/24. Bien entendu X est différent d'un binôme à l'autre (et X>1).
Point d'accès WiFi
Installez un ou plusieurs point d'accès WiFi Cisco sur un port de commutateur en mode trunk. Tentez d'associer une adresse d'administration à ce point d'accès dans le VLAN 50 (adresse d'administration en 172.26.145.Y).
Sécurisation WiFi par WPA2-PSK
Créez un SSID associé à votre VLAN et configuré pour une identification par WPA2-PSK.
De plus implantez les services suivant sur votre serveur virtuel :
- configuration par DHCP pour les clients WiFi, utilisez les adresses d'octet de poids faible
100à200du réseau IPv4 de votre VLAN privé. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS ; - Implanter un serveur DNS minimal sur votre serveur virtuel (DNS transitaire ou DNS forwarder en patoi) ;
- Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.
Interception de flux
L'étude d'applications mobiles peut passer par la redirection de flux TCP pour de la rétro-ingénierie. Deux voies sont possibles, une redirection par DNS ou une redirection de flux TCP vers un port local.
Redirection par DNS
Ajoutez une zone primaire à votre serveur DNS avec le nom Internet que vous souhaitez rediriger vers votre machine locale.
Redirection réseau
Ajoutez des règles iptables/nftables pour rediriger un flux TCP vers un port local.
Serveur apache sécurisé
En régle générale, c'est un flux HTTPS que vous souhaitez rediriger, vous avez donc besoin d'un serveur Web local en mode sécurisé (HTTPS).
Machine virtuelle android
La redirection de flux HTTPS est problématique à cause de la protection par certificat X509. Pour contourner cette protection, une solution consiste à ajouter des autorités de certification sur l'appareil où l'application mobile est installée. Pour ce faire il est probable qu'il faille un contrôle important sur l'OS de l'appareil. Comme vous pouvez rechigner à rooter votre mobile, une machine virtuelle android semble adaptée.
Il vous est proposé de tester de créer une machine virtuelle android soit par émulation d'un ARM en utilisant QEMU sur un PC ordinaire soit en utilisant KVM sur une Raspberry Pi.
Répartition des binômes pour le module de sécurité des objets
Donnez les élèves dans chaque binôme.
| Binôme | Elèves | Nom du serveur virtuel | N° du VLAN |
|---|---|---|---|
| Cahier b1 | Victorien Détrez | SE5-serveur | n°410 |
| Cahier b2 | Kaoutar El Bachiri | SE5-kelbachi | n°409 |
| Cahier b3 | Heriniaina Raissa Andrianirintsoa | SE5-serveur | n°411 |
| Cahier b4 | Abdel Zongo | SE5-serveur | n°404 |
| Cahier b5 | Chaymae Rhanim | SE5-serveur | n°408 |