« Atelier SysRes SE2a5 2023/2024 E1 » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
 
(43 versions intermédiaires par le même utilisateur non affichées)
Ligne 3 : Ligne 3 :
Name: Dublin
Name: Dublin


=== 13/09/23 ===
== Related Links ==
https://rex.plil.fr/Enseignement/Reseau/Reseau.SE5/index.html


== Installation de la VM: ==
[[SE2a5 système/réseau]]
'''Création du fichier de config:'''


<nowiki><code>xen-create-image --hostname=Dublin --ip=172.26.145.107 --netmask=255.255.255.0 --gateway 172.26.145.254 --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop<code></nowiki>
== 13/09/23: Installation de la VM ==
'''Création du fichier de config:'''<pre>
xen-create-image --hostname=Dublin --ip=172.26.145.107 --netmask=255.255.255.0 --gateway 172.26.145.254 --bridge=bridgeStudents --dir=/usr/local/xen --password=passwd
</pre>'''Lancer la VM:'''<pre>
xen create Dublin.cfg
</pre>'''Première connexion:'''<pre>
xen console Dublin
</pre>
On peut au préalable vérifier que la VM s'est lancée<pre>
xen list
</pre>'''Configuration de l'interface eth0:'''<pre>
auto eth0
iface eth0 inet static
  address 172.26.145.107/24
  gateway 172.26.145.254
</pre>
'''Configuartion du SSH:'''


=== 14/09/23 ===
Dans /etc/ssh/sshd_config, modifier:<pre>
Création de container sans et avec Docker
PermitRootLogin yes
</pre><pre>
service ssh restart
</pre>
 
== 14/09/23: Création de container sans et avec Docker ==
Création de container sans et avec Docker sur zabeth18.
 
=== Sans Docker ===
Créer la partition, rempli de 0:<pre>
dd if=/dev/zero of=sf bs=1024k count=10240
</pre>Au format file system:<pre>
mkfs sf
</pre>Monter la partition:<pre>
mount -oloop sf /tmp/mnt
</pre>Installation du system debian en version stable:<pre>
debootstrap stable /tmp/mnt
</pre>Préparation du montage du pseudo system de fichier:<pre>
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab
</pre>Finalement, création du processus isolé:<pre>
unshare -p -f -m chroot rootfs /bin/sh -c "mount /proc ; /bin/bash" ;
</pre>
 
=== Avec Docker ===
cf cours partie 2.6
 
=== Résultats ===
SécurisationAvec la commande ps, on observe bien uniquement les processus dans le container. Dans la machine hôte, on voit bien TOUT les processus
 
=== Suite du TP ===
Création de LVM:<pre>
lvcreate -L10G -nDublin-home virtual
</pre>Liste des LVM:<pre>
lvs
</pre>
 
== 02/10/23 ==
Création de la partition LVM /var.
 
Dans le fichier de configuration de la VM, dans la partie Disk Devices:<pre>
'phy:/dev/virtual/Dublin-home, xvdb1, w',
'phy:/dev/virtual/Dublin-var, xvdb2, w',
</pre>
 
Puis xen shut de la VM.
 
Avec lsblk, on peut vérifier la présence des disques dans la vm (xvdb).
 
Ensuite mkfs des disque puis mount dans /new_home et /new_var.
 
Pour le new_home, simple copie du home
 
IDEM pour le new_var
 
Configuration automatique de l'adresse ipv6 dans /etc/network/interfaces:<pre>
iface eth0 inet6 auto
</pre>
 
== 05/10/23: Un peu de réseau ==
 
=== Configuration du router avec B.GERMOND: ===
vlan42 = VLAN-XEN
 
Connecté au port Te1/1/1 en mode access
 
Cf Cours de l'année dernière
 
Gateway = 193.48.57.161
 
Netmask = 255.255.255.240
 
Création de la machine mandataire rugby avec le bridge SE2a5
 
Interface ether9
 
=== Création du réseau privé ===
Dans /etc/network/interfaces de capbreton
 
Dublin : 10.0.42.2
 
rugby : 10.0.42.1
 
douarneznez : 10.0.42.3
 
bridge: Leinster
 
=== Restriction d'accès ===
Sur rugby
 
Cf cours
 
Utilisation de iptables-persistent qui permet de conserver les règles en sauvegardant dans /etc/iptables/rule.v4
 
Pour se connecter en ssh sans utiliser de jump:<pre>
iptables -A PREROUTING -t nat -i eth0 -p tcp -m tcp --dport 2201 -j DNAT --to-destination 10.0.42.2:22
</pre>
 
== 06/10/23: Nameserver ==
 
=== Configuration de bind9 ===
Dans dublin:
 
https://www.installerunserveur.com/configuration-bind9
 
=== NS dans gandi.net: ===
[[Fichier:External_NS.png|sans_cadre|644x644px]]
 
Glue Records:
 
[[Fichier:GLUE_RECORDS.png|sans_cadre|649x649px]]
 
DNS Checker: https://dnschecker.org/#NS/ns1.dublin.lol
 
DNS secondaire sur rugby: https://serverspace.io/fr/support/help/bind9-as-a-secondary-dns-server-on-ubuntu/
 
[[Fichier:DNS SEC.png|sans_cadre|652x652px]]
 
Passage sur CHIMAERA
 
Générer la CSR: https://docs.gandi.net/fr/ssl/operations_courantes/csr.html
 
=== Conf apache2 pour HTTPS ===
Sur le port 443: https://www.vincentliefooghe.net/content/activer-un-acc%C3%A8s-https-sur-apache
 
(virtual host dans /etc/apache2/sites-available)
 
Achat de certificat SSL sur Gandi avec la clef CSR pour obtenir le crt
 
Attente de la propagation, pour obtention du certificat
 
Securisation du DNS par DNSSEC en mode automatique: Cf TP attention avec l'utilisation de auto-dnssec : https://shaunc.com/blog/article/migrating-from-autodnssec-to-dnssecpolicy-in-bind~aEpnuMVvmPF7
 
Verif: [https://dnsviz.net/d/dublin.lol/dnssec/ https://dnsviz.net]
 
== 10/11/23 ==
'''<big>TA DAAAAA</big>''' : http://www.dublin.lol/
 
=== Filtrage de service: ===
Dans /var/log/auth.log de rugby on peut trouver:
 
[[Fichier:Attaque ssh.png|sans_cadre|743x743px]]
 
On voit jusqu'à 4 attaques ssh par minutes
 
Installation de fail2ban sur rugby:
https://doc.ubuntu-fr.org/fail2ban
On voit les ip bannis:
 
[[Fichier:Fail2ban.png|sans_cadre|744x744px]]
 
=== Effraction WIFI ===
 
==== Cassage de clef WEP d'un point d'accès Wifi ====
Sur cracotte13 depuis zabeth04 sans le dongle
 
https://www.aircrack-ng.org/doku.php?id=simple_wep_crack
 
===== Airodump: =====
[[Fichier:Airodump.png|sans_cadre|746x746px]]
 
===== Aircrack: =====
[[Fichier:Aircrack.png|sans_cadre|748x748px]]
 
==== Cassage de clef WP d'un point d'accès Wifi ====
Sur Krakotte01
 
Génération d'un dictionnaire en se basant sur le fait que le mdp fait 8 chiffre
 
Airodump pour avoir le handshake WPA2
 
Puis aircrack WPA2 avec la bibliothèques et le handshake
 
[[Fichier:Aircrack2.png|sans_cadre|486x486px]]
 
[[Fichier:Key found.png|sans_cadre]]
 
=== Sécurisation ===
 
==== Chiffrement ====
Création d'une LVM Dublin-crypt à chiffrer
 
Installation de cryptsetup pour chiffre la partition
 
https://wiki.archlinux.org/title/dm-crypt/Device_encryption
 
== 23/11/23: Sécurisation WiFi par WPA2-EAP ==
 
=== Configuration du PA ===
[[SE4 construction de réseau]]
 
=== Configuration Routeur ===
[[SE4 construction de réseau]]
 
== 24/11/23: Accès vers l'extérieur ==
Mascarade:
 
[[SE4 construction de réseau#Troisième méthode]]

Version actuelle datée du 24 novembre 2023 à 09:29

IP: 172.26.145.107

Name: Dublin

Related Links

https://rex.plil.fr/Enseignement/Reseau/Reseau.SE5/index.html

SE2a5 système/réseau

13/09/23: Installation de la VM

Création du fichier de config:

xen-create-image --hostname=Dublin --ip=172.26.145.107 --netmask=255.255.255.0 --gateway 172.26.145.254 --bridge=bridgeStudents --dir=/usr/local/xen --password=passwd

Lancer la VM:

xen create Dublin.cfg

Première connexion:

xen console Dublin

On peut au préalable vérifier que la VM s'est lancée

xen list

Configuration de l'interface eth0:

auto eth0 iface eth0 inet static

  address 172.26.145.107/24
  gateway 172.26.145.254

Configuartion du SSH:

Dans /etc/ssh/sshd_config, modifier:

PermitRootLogin yes

service ssh restart

14/09/23: Création de container sans et avec Docker

Création de container sans et avec Docker sur zabeth18.

Sans Docker

Créer la partition, rempli de 0:

dd if=/dev/zero of=sf bs=1024k count=10240

Au format file system:

mkfs sf

Monter la partition:

mount -oloop sf /tmp/mnt

Installation du system debian en version stable:

debootstrap stable /tmp/mnt

Préparation du montage du pseudo system de fichier:

echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab

Finalement, création du processus isolé:

unshare -p -f -m chroot rootfs /bin/sh -c "mount /proc ; /bin/bash" ;

Avec Docker

cf cours partie 2.6

Résultats

SécurisationAvec la commande ps, on observe bien uniquement les processus dans le container. Dans la machine hôte, on voit bien TOUT les processus

Suite du TP

Création de LVM:

lvcreate -L10G -nDublin-home virtual

Liste des LVM:

lvs

02/10/23

Création de la partition LVM /var.

Dans le fichier de configuration de la VM, dans la partie Disk Devices:

'phy:/dev/virtual/Dublin-home, xvdb1, w',
'phy:/dev/virtual/Dublin-var, xvdb2, w',

Puis xen shut de la VM.

Avec lsblk, on peut vérifier la présence des disques dans la vm (xvdb).

Ensuite mkfs des disque puis mount dans /new_home et /new_var.

Pour le new_home, simple copie du home

IDEM pour le new_var

Configuration automatique de l'adresse ipv6 dans /etc/network/interfaces:

iface eth0 inet6 auto

05/10/23: Un peu de réseau

Configuration du router avec B.GERMOND:

vlan42 = VLAN-XEN

Connecté au port Te1/1/1 en mode access

Cf Cours de l'année dernière

Gateway = 193.48.57.161

Netmask = 255.255.255.240

Création de la machine mandataire rugby avec le bridge SE2a5

Interface ether9

Création du réseau privé

Dans /etc/network/interfaces de capbreton

Dublin : 10.0.42.2

rugby : 10.0.42.1

douarneznez : 10.0.42.3

bridge: Leinster

Restriction d'accès

Sur rugby

Cf cours

Utilisation de iptables-persistent qui permet de conserver les règles en sauvegardant dans /etc/iptables/rule.v4

Pour se connecter en ssh sans utiliser de jump:

iptables -A PREROUTING -t nat -i eth0 -p tcp -m tcp --dport 2201 -j DNAT --to-destination 10.0.42.2:22

06/10/23: Nameserver

Configuration de bind9

Dans dublin:

https://www.installerunserveur.com/configuration-bind9

NS dans gandi.net:

External NS.png

Glue Records:

GLUE RECORDS.png

DNS Checker: https://dnschecker.org/#NS/ns1.dublin.lol

DNS secondaire sur rugby: https://serverspace.io/fr/support/help/bind9-as-a-secondary-dns-server-on-ubuntu/

DNS SEC.png

Passage sur CHIMAERA

Générer la CSR: https://docs.gandi.net/fr/ssl/operations_courantes/csr.html

Conf apache2 pour HTTPS

Sur le port 443: https://www.vincentliefooghe.net/content/activer-un-acc%C3%A8s-https-sur-apache

(virtual host dans /etc/apache2/sites-available)

Achat de certificat SSL sur Gandi avec la clef CSR pour obtenir le crt

Attente de la propagation, pour obtention du certificat

Securisation du DNS par DNSSEC en mode automatique: Cf TP attention avec l'utilisation de auto-dnssec : https://shaunc.com/blog/article/migrating-from-autodnssec-to-dnssecpolicy-in-bind~aEpnuMVvmPF7

Verif: https://dnsviz.net

10/11/23

TA DAAAAA : http://www.dublin.lol/

Filtrage de service:

Dans /var/log/auth.log de rugby on peut trouver:

Attaque ssh.png

On voit jusqu'à 4 attaques ssh par minutes

Installation de fail2ban sur rugby: https://doc.ubuntu-fr.org/fail2ban On voit les ip bannis:

Fail2ban.png

Effraction WIFI

Cassage de clef WEP d'un point d'accès Wifi

Sur cracotte13 depuis zabeth04 sans le dongle

https://www.aircrack-ng.org/doku.php?id=simple_wep_crack

Airodump:

Airodump.png

Aircrack:

Aircrack.png

Cassage de clef WP d'un point d'accès Wifi

Sur Krakotte01

Génération d'un dictionnaire en se basant sur le fait que le mdp fait 8 chiffre

Airodump pour avoir le handshake WPA2

Puis aircrack WPA2 avec la bibliothèques et le handshake

Aircrack2.png

Key found.png

Sécurisation

Chiffrement

Création d'une LVM Dublin-crypt à chiffrer

Installation de cryptsetup pour chiffre la partition

https://wiki.archlinux.org/title/dm-crypt/Device_encryption

23/11/23: Sécurisation WiFi par WPA2-EAP

Configuration du PA

SE4 construction de réseau

Configuration Routeur

SE4 construction de réseau

24/11/23: Accès vers l'extérieur

Mascarade:

SE4 construction de réseau#Troisième méthode