« SE2a5 système/réseau 2023/2024 » : différence entre les versions
(172 versions intermédiaires par 11 utilisateurs non affichées) | |||
Ligne 4 : | Ligne 4 : | ||
{| class="wikitable" | {| class="wikitable" | ||
! Cahier !! Nom machine services | ! Cahier !! Nom machine services | ||
!IP machine services!! Nom de domaine !! Nom machine mandataire | ! IP machine services!! Nom de domaine !! Nom machine mandataire | ||
!IP machine mandataires!! Elève | ! IP machine mandataires!! Elève | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E1 | Cahier n°1]] | | [[Atelier SysRes SE2a5 2023/2024 E1 | Cahier n°1]] | ||
| Dublin | | Dublin | ||
| | | 10.0.42.2 | ||
| dublin.lol | | dublin.lol | ||
| rugby | | rugby (10.0.42.1) | ||
| 193.48.57.162 | | 193.48.57.162 | ||
| DELEPLANQUE Louis | | DELEPLANQUE Louis | ||
Ligne 17 : | Ligne 17 : | ||
| [[Atelier SysRes SE2a5 2023/2024 E2 | Cahier n°2]] | | [[Atelier SysRes SE2a5 2023/2024 E2 | Cahier n°2]] | ||
| berlin | | berlin | ||
| | | 192.168.165.3 | ||
| berlin2.lol | | berlin2.lol | ||
| judo | | judo | ||
|193.48.57.165 | | 193.48.57.165 | ||
| EL ABKARI Ahlam | | EL ABKARI Ahlam | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E3 | Cahier n°3]] | | [[Atelier SysRes SE2a5 2023/2024 E3 | Cahier n°3]] | ||
| alger | | alger | ||
| | | 192.168.10.11 | ||
|alger.lol | | alger.lol | ||
|badminton | | badminton | ||
|193.48.57.167 | | 193.48.57.167 | ||
| LAZOUACHE Farid | | LAZOUACHE Farid | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E4 | Cahier n°4]] | | [[Atelier SysRes SE2a5 2023/2024 E4 | Cahier n°4]] | ||
| Bruxelles | | Bruxelles | ||
| | | 192.168.10.13 | ||
|Bruxelles.lol | | Bruxelles.lol | ||
|badminton | | badminton | ||
|193.48.57.167 | | 193.48.57.167 | ||
| BECUE William | | BECUE William | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E5 | Cahier n°5]] | | [[Atelier SysRes SE2a5 2023/2024 E5 | Cahier n°5]] | ||
| paris | | paris | ||
| | | 192.168.165.2 | ||
| paris13.lol | | paris13.lol | ||
|judo | | judo | ||
|193.48.57.165 | | 193.48.57.165 | ||
| DESPLACES Baptiste | | DESPLACES Baptiste | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E6 | Cahier n°6]] | | [[Atelier SysRes SE2a5 2023/2024 E6 | Cahier n°6]] | ||
| Tokyo | | Tokyo | ||
| | | 192.168.13.12 | ||
| tokyoray.lol | | tokyoray.lol | ||
|muaythai | | muaythai | ||
|193.48.57.164 | | 193.48.57.164 | ||
| MOUSSAOUI Rayane | | MOUSSAOUI Rayane | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E7 | Cahier n°7]] | | [[Atelier SysRes SE2a5 2023/2024 E7 | Cahier n°7]] | ||
| Oslo | | Oslo | ||
| | |192.168.66.10 | ||
| oslo666.lol | | oslo666.lol | ||
|aquaponey | | aquaponey | ||
|193.48.57.166 | | 193.48.57.166 | ||
| FIRION Thomas | | FIRION Thomas | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E8 | Cahier n°8]] | | [[Atelier SysRes SE2a5 2023/2024 E8 | Cahier n°8]] | ||
| bogota | | bogota | ||
| | | 192.168.13.11 | ||
| bogota.lol | | bogota.lol | ||
|muaythai | | muaythai | ||
|193.48.57.164 | | 193.48.57.164 | ||
| MAROLLEAU Simon | | MAROLLEAU Simon | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E9 | Cahier n°9]] | | [[Atelier SysRes SE2a5 2023/2024 E9 | Cahier n°9]] | ||
| kiev | | kiev | ||
| | | 192.168.163.2 | ||
| | | kievjeje.lol | ||
| balltrap | | balltrap | ||
| 193.48.57.163 | | 193.48.57.163 | ||
Ligne 81 : | Ligne 81 : | ||
| [[Atelier SysRes SE2a5 2023/2024 E10 | Cahier n°10]] | | [[Atelier SysRes SE2a5 2023/2024 E10 | Cahier n°10]] | ||
| Riga | | Riga | ||
| | | 192.168.163.3 | ||
| riga1.lol | | riga1.lol | ||
| balltrap | | balltrap | ||
Ligne 88 : | Ligne 88 : | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E11 | Cahier n°11]] | | [[Atelier SysRes SE2a5 2023/2024 E11 | Cahier n°11]] | ||
| | | rio | ||
| | |192.168.162.3 | ||
| | | rio71.lol | ||
| | | padel | ||
| | | 193.48.57.168 | ||
| NAIMI Oussama | | NAIMI Oussama | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E12 | Cahier n°12]] | | [[Atelier SysRes SE2a5 2023/2024 E12 | Cahier n°12]] | ||
| | | stockholm | ||
| | |192.168.162.2 | ||
| | | stockholm.lol | ||
| | | padel | ||
| | | 193.48.57.168 | ||
| | | DUBOIS Lisa-Marie | ||
|- | |- | ||
| [[Atelier SysRes SE2a5 2023/2024 E13 | Cahier n°13]] | | [[Atelier SysRes SE2a5 2023/2024 E13 | Cahier n°13]] | ||
| douarnenez | | douarnenez | ||
| | | 10.0.42.3 | ||
| | | douarnenez.germond.org | ||
| rugby | | rugby (10.0.42.1) | ||
| 193.48.57.162 | | 193.48.57.162 | ||
| GERMOND Bastien | | GERMOND Bastien | ||
Ligne 113 : | Ligne 113 : | ||
|} | |} | ||
== Etat des machines de | == Contrôle continu == | ||
=== Etat initial des machines virtuelles === | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| alger || Démarrée, mot de passe non changé <code>/var/log/xen-tools/alger.log</code>, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible || 080 | |||
|- | |||
| berlin || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible || 080 | |||
|- | |||
| bogota || Démarrée, mot de passe changé sans modification du fichier de log, début de configuration réseau (mais manque le masque réseau), bridge OK, mot clef DHCP encore présent, mémoire faible || 085 | |||
|- | |||
| Bruxelles || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible || 080 | |||
|- | |||
| douarnenez || Démarrée, mot de passe OK, réseau OK, ping <code>www.polytech-lille.fr</code> OK, <code>ping google.fr</code> IPv6 OK, mémoire faible || 100 | |||
|- | |||
| Dublin || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, adresse IPv4 encore présente dans le <code>.cfg</code>, mémoire un peu exagérée || 085 | |||
|- | |||
| kiev || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible || 080 | |||
|- | |||
| Oslo || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible || 080 | |||
|- | |||
| paris || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible || 080 | |||
|- | |||
| rio || Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mémoire faible || 085 | |||
|- | |||
| Tokyo || Démarrée, mot de passe OK, bridge OK, adresse IPv4 encore présente dans le <code>.cfg</code> (@IPv4 OK), adresse IP hors du VLAN 50 (dans la machine), mémoire faible || 080 | |||
|- | |||
|stockholm || Démarrée, mot de passe OK, bridge OK, mémoire faible (commentaire de l'élève, après coup) || 000 | |||
|} | |||
=== Concernant l'installation de Devuan sur les stations de travail === | |||
{| class="wikitable" | {| class="wikitable" | ||
! Machine !! Machine annexe !! Elève !! Etat 02/10/2023 !! Etat 05/10/2023 | ! Machine !! Machine annexe !! Elève !! Etat 02/10/2023 !! Etat 05/10/2023 | ||
|- | |- | ||
| zabeth02 || zabeth13 / daedalus ok|| Ahlam EL ABKARI || <span style="color: orange;">xfce sans les applications</span>, <span style="color: red;"><code>root</code> ne peut pas se connecter à distance</span> || <span style="color: green;">OK</span> | | zabeth02 || zabeth13 / daedalus ok|| Ahlam EL ABKARI || 075 <span style="color: orange;">xfce sans les applications</span>, <span style="color: red;"><code>root</code> ne peut pas se connecter à distance</span> || 100 <span style="color: green;">OK</span> | ||
|- | |- | ||
| zabeth03 || zabeth16 / daedalus ok|| Rayane MOUSSAOUI || <span style="color: green;">OK</span> || <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | | zabeth03 || zabeth16 / daedalus ok|| Rayane MOUSSAOUI || 100 <span style="color: green;">OK</span> || 090 <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | ||
|- | |- | ||
| zabeth04 || zabeth14 / daedalus ok|| Baptiste DESPLACES|| <span style="color: green;">OK</span>, <span style="color: red;"><code>root</code> ne peut pas se connecter à distance</span> || <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | | zabeth04 || zabeth14 / daedalus ok|| Baptiste DESPLACES|| 080 <span style="color: green;">OK</span>, <span style="color: red;"><code>root</code> ne peut pas se connecter à distance</span> || 090 <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | ||
|- | |- | ||
| zabeth05 || || Jérôme BREUVART|| <span style="color: red;">Pas de propagation ansible</span>, <span style="color: red;"><code>/root/.ssh/authorized_keys</code> est un répertoire ...</span> || <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | | zabeth05 || || Jérôme BREUVART|| 000 <span style="color: red;">Pas de propagation ansible</span>, <span style="color: red;"><code>/root/.ssh/authorized_keys</code> est un répertoire ...</span> || 090 <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | ||
|- | |- | ||
| zabeth06 || zabeth21 / <code>daedalus</code> OK || Bastien GERMOND || <span style="color: green;">OK</span> || <span style="color: green;">OK</span> | | zabeth06 || zabeth21 / <code>daedalus</code> OK || Bastien GERMOND || 100 <span style="color: green;">OK</span> || 100 <span style="color: green;">OK</span> | ||
|- | |- | ||
| zabeth07 || zabeth17 / daedalus OK|| Simon MAROLLEAU|| <span style="color: green;">OK</span> || <span style="color: green;">OK</span> | | zabeth07 || zabeth17 / daedalus OK|| Simon MAROLLEAU|| 100 <span style="color: green;">OK</span> || 100 <span style="color: green;">OK</span> | ||
|- | |- | ||
| zabeth08 || zabeth20 / daedalus OK|| Thomas FIRION|| <span style="color: orange;">OK mais <code>firefox-esr</code> non installé ?</span> || <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | | zabeth08 || zabeth20 / daedalus OK|| Thomas FIRION|| 075 <span style="color: orange;">OK mais <code>firefox-esr</code> non installé ?</span> || 090 <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | ||
|- | |- | ||
| zabeth09 || zabet15/ daedalus OK|| William BECUE|| <span style="color: red;">propagation ansible au mieux partielle (<code>/etc/network/interfaces</code> à la main ?)</span> || <span style="color: green;">OK</span> | | zabeth09 || zabet15/ daedalus OK|| William BECUE|| 025 <span style="color: red;">propagation ansible au mieux partielle (<code>/etc/network/interfaces</code> à la main ?)</span> || 100 <span style="color: green;">OK</span> | ||
|- | |- | ||
| zabeth10 || || Tom BIOT|| <span style="color: green;">OK</span>, <span style="color: red;"><code>root</code> ne peut pas se connecter à distance</span> || <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | | zabeth10 || || Tom BIOT|| 080 <span style="color: green;">OK</span>, <span style="color: red;"><code>root</code> ne peut pas se connecter à distance</span> || 090 <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | ||
|- | |- | ||
| zabeth11 || || Oussama NAIMI|| <span style="color: red;">pas de propagation ansible</span> || <span style="color: green;">OK</span> | | zabeth11 || || Oussama NAIMI|| 000 <span style="color: red;">pas de propagation ansible</span> || 100 <span style="color: green;">OK</span> | ||
|- | |- | ||
| zabeth12 || || Farid LAZOUACHE|| <span style="color: green;">OK</span> || <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | | zabeth12 || || Farid LAZOUACHE|| 100 <span style="color: green;">OK</span> || 090 <span style="color: orange;">7 paquetaques <code>xfce4</code> sur 35 d'installés, relancez <code>tasksel</code></span> | ||
|- | |- | ||
|zabeth28 || zabeth26, zabeth27 || Louis DELEPLANQUE ||<span style="color: orange;">xfce sans les applications</span> || <span style="color: green;">OK</span> | |zabeth28 || zabeth26, zabeth27 || Louis DELEPLANQUE || 090 <span style="color: orange;">xfce sans les applications</span> || 100 <span style="color: green;">OK</span> | ||
|} | |} | ||
Ligne 148 : | Ligne 180 : | ||
Veillez à ce que le paquetage <code>apparmor</code> soit désactivé sur toutes les machines. | Veillez à ce que le paquetage <code>apparmor</code> soit désactivé sur toutes les machines. | ||
=== MV de services au 6/10/2023 === | |||
A noter partie "Architecture réseau, première approche", totalement implantée par MM. DELEPLANQUE et GERMOND. | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| Dublin | |||
| Partitions OK, interfaces réseau configurées, ping IPv4 et IPv6 OK | |||
| 100 | |||
|- | |||
| berlin | |||
| Partitions OK, une seule interface réseau encore sur vlan50. | |||
| 050 | |||
|- | |||
| alger | |||
| Partitions OK, deux interfaces réseau, mauvaise configuration IPv4 sur les deux, ping IPv6 OK. | |||
| 066 | |||
|- | |||
| Bruxelles | |||
| Partitions OK, deux interfaces réseau, mauvaise configuration IPv4 sur VLAN Xen, ping IPv6 OK. | |||
| 075 | |||
|- | |||
| paris | |||
| Partitions OK, une seule interface réseau encore sur vlan50. | |||
| 050 | |||
|- | |||
| Tokyo | |||
| Partitions OK, une seule interface réseau encore sur vlan50. | |||
| 050 | |||
|- | |||
| Oslo | |||
| Pas de partitions <code>/var</code> ni <code>/home</code>, une seule interface réseau encore sur vlan50. | |||
| 025 | |||
|- | |||
| bogota | |||
| Mot de passe insuffisant, partitions OK, deux interfaces réseau, aucune configuration IPv4 correcte. | |||
| 025 | |||
|- | |||
| kiev | |||
| Pas de partitions <code>/var</code> ni <code>/home</code>, une seule interface réseau encore sur vlan50. | |||
| 025 | |||
|- | |||
| Riga | |||
| Partitions OK, une seule interface réseau encore sur vlan50. | |||
| 050 | |||
|- | |||
| Rio | |||
| Pas de partitions <code>/var</code> ni <code>/home</code>, une seule interface réseau encore sur vlan50. | |||
| 025 | |||
|- | |||
| douarnenez | |||
| Partitions OK, interfaces réseau configurées, ping IPv4 et IPv6 OK | |||
| 100 | |||
|- | |||
|} | |||
=== MV mandataires au 6/10/2023 === | |||
{| class="wikitable" | |||
! Machine virtuelle mandataire !! Etat !! Note | |||
|- | |||
| rugby | |||
| Les deux interfaces réseau, configurées correctement, <code>iptables</code> implantées. | |||
| 100 | |||
|- | |||
| judo | |||
| Une seule interface réseau, adresse IPv4 OK, pas de seconde interface réseau, pas d'<code>iptables</code>. | |||
| 033 | |||
|- | |||
| badminton | |||
| Les deux interfaces réseau, configurées correctement, pas d'<code>iptables</code>. | |||
| 075 | |||
|- | |||
| muaythai | |||
| Les deux interfaces réseau, seule l'interface du VLAN Xen est configurée, pas d'<code>iptables</code>. | |||
| 033 | |||
|- | |||
| aquaponey | |||
| Une seule interface réseau, adresse IPv4 OK, pas de seconde interface réseau, pas d'<code>iptables</code>. | |||
| 033 | |||
|- | |||
| balltrap | |||
| Les deux interfaces réseau, une passerelle sur le réseau local (erreur), pas d'<code>iptables</code>. | |||
| 033 | |||
|- | |||
|} | |||
=== MV de services au 8/10/2023 === | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| Dublin | |||
| Redirection OK, DNSSEC OK, HTTPS OK. || 100 | |||
|- | |||
| berlin | |||
| Redirection OK, serveur DNS non configuré, serveur HTTP. || 050 | |||
|- | |||
| alger | |||
| Redirection OK, serveur DNS non fonctionnel, serveur HTTP OK, non sécurisé. || 050 | |||
|- | |||
| Bruxelles | |||
| Redirection OK, serveur DNS configuré, non sécurisé, pas d'HTTP. || 066 | |||
|- | |||
| paris | |||
| Redirection OK, interface réseau du VLAN Xen non configurée, pas de serveur DNS, juste un serveur HTTP. || 033 | |||
|- | |||
| Tokyo | |||
| Redirection OK, DNS non configuré, HTTP mais pas d'HTTPS. || 050 | |||
|- | |||
| Oslo | |||
| Redirection totalement défaillante, rien d'installé sur la machine de services, ses interfaces réseau sont correctement configurées. || 010 | |||
|- | |||
| bogota | |||
| Redirection OK, DNS non installé, HTTP OK, non sécurisé. || 050 | |||
|- | |||
| kiev | |||
| Redirection défaillante (mauvaise passerelle sur les machines de services), pas de DNS, pas de serveur HTTP. || 010 | |||
|- | |||
| Riga | |||
| Redirection défaillante (mauvaise passerelle sur les machines de services), pas de DNS, un serveur HTTP non configuré. || 010 | |||
|- | |||
| Rio | |||
| Aucune tentative de redirection, impossible à atteindre par le mandataire (pas d'interface sur le réseau privé), pas de partitions <code>/var</code> ni <code>/home</code>, pas de DNS, pas de serveur HTTP. || 000 | |||
|- | |||
| stockholm | |||
| Pas de partitions <code>/var</code> ni <code>/home</code>, une seule interface réseau encore sur vlan50, pas de DNS, pas de serveur HTTP. || 000 | |||
|- | |||
| douarnenez | |||
| OK. || 100 | |||
|- | |||
|} | |||
=== MV mandataires au 8/10/2023 === | |||
{| class="wikitable" | |||
! Machine virtuelle mandataire !! Etat !! Note | |||
|- | |||
| rugby | |||
| Les deux interfaces réseau, configurées correctement, <code>iptables</code> implantées, serveur DNS secondaire. || 100 | |||
|- | |||
| judo | |||
| Les deux interfaces réseau, configurées correctement, <code>iptables</code> implantées, <code>bind9</code> et <code>apache2</code> installés mais non configurés. || 050 | |||
|- | |||
| badminton | |||
| Les deux interfaces réseau, configurées correctement, <code>iptables</code> implantées, pas de service mandataire. || 033 | |||
|- | |||
| muaythai | |||
| Les deux interfaces réseau, configurées correctement, <code>iptables</code> implantées, <code>bind9</code> et <code>apache2</code> installés mais non configurés. || 050 | |||
|- | |||
| aquaponey | |||
| Une seule interface réseau (celle du vlan Xen), adresse IPv4 OK, pas d'<code>iptables</code> valide, pas de service mandataire. || 010 | |||
|- | |||
| balltrap | |||
| Les deux interfaces réseau, configurées correctement, <code>iptables</code> implantées, <code>bind9</code> et <code>apache2</code> installés mais non configurés. || 050 | |||
|- | |||
| padel | |||
| Pas de connexion possible en <code>root</code>, une seule interface réseau (vlan Xen), pas d'iptables, pas de mandataire pour service. || 010 | |||
|- | |||
|} | |||
=== MV de services au 21/10/2023 === | |||
Au 21/10/2023 la plupart des DNS sont configurés avec uniquement un serveur DNS. Rajoutez le DNS secondaire <code>ns6.gandi.net</code>. | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| Dublin | |||
| Redirection OK, DNSSEC OK, HTTPS OK. || 100 | |||
|- | |||
| berlin | |||
| Redirection OK, serveur DNS non sécurisé, mandataire secondaire, IPv6 vers primaire, serveur HTTP mais seulement en IPv4, pas de mandataire inverse. || 050 | |||
|- | |||
| alger | |||
| Redirection OK, serveur DNS non sécurisé, mandataire secondaire, IPv6 vers secondaire ? serveur HTTPS. || 075 | |||
|- | |||
| Bruxelles | |||
| Redirection OK, serveur DNS configuré, mandataire secondaire, partiellement sécurisé (pas de KSK sur GANDI), IPv6 vers secondaire ? serveur HTTPS. || 080 | |||
|- | |||
| paris | |||
| Redirection OK, serveur DNS configuré, mandataire secondaire, partiellement sécurisé (pas de KSK sur GANDI), serveur HTTPS. || 090 | |||
|- | |||
| Tokyo | |||
| Redirection OK, serveur DNS configuré, mandataire secondaire, partiellement sécurisé (pas de KSK sur GANDI), HTTP mais pas d'HTTPS, pas de mandataire inverse. || 066 | |||
|- | |||
| Oslo | |||
| Redirection OK, pas de DNS sur le mandataire uniquement sur la machine de service, DNS absolument pas fonctionnel, pas de serveur HTTP que ce soit sur le mandataire ou la machine de service. || 010 | |||
|- | |||
| bogota | |||
| Redirection OK, serveur DNS non sécurisé, mandataire secondaire, IPv6 vers secondaire ? Tentative d'HTTPS sur la machine de service, pas de mandataire inverse. || 066 | |||
|- | |||
| kiev | |||
| Redirection OK, serveur DNS non sécurisé, IPv6 vers secondaire ? mandataire secondaire, serveur HTTP sur la machine de service et la machine mandataire, pas de mandataire inverse, pas de trace du certificat. || 033 | |||
|- | |||
| Riga | |||
| Redirection OK, serveur DNS non sécurisé, IPv6 vers secondaire ? mandataire secondaire, serveur HTTP sur la machine de service et la machine mandataire, pas de mandataire inverse, pas de trace du certificat. || 033 | |||
|- | |||
| Rio | |||
| Aucune tentative de redirection (pas d'<code>iptables</code>), pas de DNS ni d'HTTP sur le mandataire, pas de seconde interface sur le mandataire, pas de partition <code>/home</code> ou <code>/var</code> sur la machine de services, pas de DNS ou de serveur Web sur le mandataire, pas de bascule du DNS sur GANDI. || 000 | |||
|- | |||
| stockholm | |||
| Partitions montées, une seule interface réseau encore sur vlan50, pas de DNS, pas de serveur HTTP, rien non plus sur le mandataire (même que Rio). || 010 | |||
|- | |||
| douarnenez | |||
| OK. || 100 | |||
|- | |||
|} | |||
=== MV mandataire / services au 24/10/2023 === | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| Dublin | |||
| Redirection OK, DNSSEC OK, HTTPS OK. || 100 | |||
|- | |||
| berlin | |||
| Redirection OK, DNSSEC OK (incohérence sur les NS IPv6), HTTPS OK. || 090 | |||
|- | |||
| alger | |||
| Redirection OK, DNSSEC OK, HTTPS mais avec un certificat auto-signé. || 075 | |||
|- | |||
| Bruxelles | |||
| Redirection OK, DNSSEC OK, HTTPS mais avec un certificat auto-signé. || 075 | |||
|- | |||
| paris | |||
| Redirection OK, DNSSEC, mauvaise adresse IPv6 de NS, pas de serveur HTTPS. || 033 | |||
|- | |||
| Tokyo | |||
| Redirection OK, DNSSEC OK, HTTPS OK. || 100 | |||
|- | |||
| Oslo | |||
| Redirection OK, DNSSEC non finalisé (<code>ns6.gandi.net</code> non synchronisé, délégation non finalisée), HTTPS OK (page non personnalisée). || 050 | |||
|- | |||
| bogota | |||
| Redirection OK, DNSSEC OK, HTTPS OK. || 100 | |||
|- | |||
| kiev | |||
| Redirection OK, DNS avec des erreurs (mauvaise adresse IPv6 pour www), pas d'HTTP. || 025 | |||
|- | |||
| Riga | |||
| Redirection OK, DNSSEC OK (mauvaise adresse IPv6 pour NS et www), pas d'HTTPS. || 033 | |||
|- | |||
| Rio | |||
| Partitions <code>/home</code> et <code>/var</code> sur la machine de services, Redirection OK, DNS non fonctionnel et pas de DNSSEC mais un <code>bind9</code> non correctement configuré sur le mandataire, pas d'apache sur le mandataire, apache non fonctionnel même sur la machine de services. || 010 | |||
|- | |||
| stockholm | |||
| Partitions montées, Redirection OK, DNS non fonctionnel (pas de bascule de GANDI sur le DNS extérieur), serveur HTTP sur la machine de services mais pas de mandataire inverse sur le mandataire (même que Rio). || 010 | |||
|- | |||
| douarnenez | |||
| Redirection OK, DNS OK, pas de DNSSEC, HTTPS OK. || 075 | |||
|- | |||
|} | |||
=== MV de services au 27/10/2023 === | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| Dublin | |||
| partitions OK, partition chiffrée OK, <code>fail2ban</code> OK sur le mandataire, aucun sur la machine de service ?! || 090 | |||
|- | |||
| berlin | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| alger | |||
| Partitions OK, pas de partition chiffrée, <code>fail2ban</code> OK sur le mandataire, aucun sur la machine de service ?! || 050 | |||
|- | |||
| Bruxelles | |||
| partitions OK, partition chiffrée OK, <code>fail2ban</code> OK sur le mandataire, aucun sur la machine de service ?! || 090 | |||
|- | |||
| paris | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| Tokyo | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| Oslo | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|-|| 025 | |||
| bogota | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| kiev | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| Riga | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| Rio | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| stockholm | |||
| Partitions OK, pas de partition chiffrée, pas de <code>fail2ban</code>. || 025 | |||
|- | |||
| douarnenez | |||
| partitions OK, pas de partition chiffrée, <code>fail2ban</code> OK sur le mandataire et sur la machine de service. || 080 | |||
|- | |||
|} | |||
=== Pages Wiki au 27/10/2023 === | |||
{| class="wikitable" | |||
! Nom machine services !! Etat !! Note | |||
|- | |||
| Dublin | |||
| Wiki correct, Conteneur décrit, configuration réseau basique décrit, craquages WiFi WEP&WPA décrits || 100 | |||
|- | |||
| berlin | |||
| Wiki assez correct, Conteneur rapidement décrit, description DNSSEC OK, craquage WiFi WEP décrit || 066 | |||
|- | |||
| alger | |||
| Wiki rapide, description DNSSEC OK, craquage WiFi WEP décrit || 050 | |||
|- | |||
| Bruxelles | |||
| Wiki très correct, Conteneur décrit, craquage WiFi WEP décrit || 066 | |||
|- | |||
| paris | |||
| Wiki incomplet, Conteneur décrit, s'arrête sur le DNS || 025 | |||
|- | |||
| Tokyo | |||
| Wiki correct mais couverture incomplète, description DNSSEC OK || 033 | |||
|- | |||
| Oslo | |||
| Juste un brouillon, montre l'échec au niveau de DNSSEC || 010 | |||
|- | |||
| bogota | |||
| Wiki très correct, des fois trop rapide, Conteneur décrit bien trop rapidement, description DNSSEC OK, craquage WiFi WEP décrit || 050 | |||
|- | |||
| kiev | |||
| Wiki très correct, description DNSSEC montrant un échec de sécurisation || 033 | |||
|- | |||
| Riga | |||
| Wiki assez correct avec un formatage approximatif, Conteneur décrit très rapidement, description DNSSEC incomplète || 033 | |||
|- | |||
| Rio | |||
| Wiki plutôt correct mais avec aucune d'information autre que celles présentes sur les machines || 033 | |||
|- | |||
| stockholm | |||
| Wiki assez mal formaté, passage sur DNSSEC mais sans preuve de fonctionnement || 033 | |||
|- | |||
| douarnenez | |||
| Wiki minimal sur instruction de l'intervenant || 100 | |||
|- | |||
|} | |||
== Devoir surveillé == | |||
=== Synthèse === | |||
{| class="wikitable" | |||
! Cahier !! PA WiFi !! Routeur 1 !! Routeur 2 !! Serveur <code>capbreton</code> !! Machine mandataire !! Machine services | |||
|- | |||
| 2 || 025 Embryon EAP, SSID. || 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK || 000 Rien || 000 Rien || 050 2 règles sur 4. || 000 freeradius non configuré, pas d'iptables | |||
|- | |||
| 3 || 075 EAP (manque radius-server), SSID (manque invité multiple, duplica), Pontage, Radio OK. || 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK || 000 Rien || 000 Rien || 050 2 règles sur 4 || 000 freeradius non configuré, pas d'iptables | |||
|- | |||
| 4 || 050 EAP (mauvais radius-server), SSID, mauvais pontage, Radio (sans ssid). || 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK || 000 Rien || 000 Rien || 050 2 règles sur 4 || 025 freeradius non configuré, embryon d'iptables | |||
|- | |||
| 5 || 075 EAP (mauvais radius-server), SSID (duplica), Pontage OK, Radio (sans ssid). || 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK || 000 Rien || 000 Rien || 050 2 règles sur 4 || 025 clients.conf erroné, pas d'iptables | |||
|- | |||
| 6 || 025 Embryon EAP, SSID || 025 Pas de VLAN, IPv4 OK || 000 Rien || 000 Rien || 050 2 règles sur 4 || 000 freeradius non configuré, pas d'iptables | |||
|- | |||
| 7 || 010 Rien sur EAP, SSID (double duplica), Embryon DHCP (sur AP ...) || 050 VLAN (non ajouté sur Ten1/1/2), IPv4 OK || 050 VLAN OK (non ajouté sur Ten5/4), IPv4 (shutdown) || 000 Rien || 000 Rien || 000 Rien | |||
|- | |||
| 8 || 025 Embryon EAP, SSID || 050 VLAN (non ajouté sur Ten1/1/2), IPv4 OK || 025 VLAN (non ajouté sur Ten5/4) || 075 VLAN OK, CV OK, pas de nouvelle interface dans <code>bogota.cfg</code> || 100 Redirection OK || 000 freeradius non configuré, pas d'iptables | |||
|- | |||
| 9 || 085 EAP (manque radius-server, duplica), SSID (duplica), Pontage OK, Radio. SSID visible. || 055 VLAN (non ajouté sur Ten1/1/2, ajouté sur Te1/1/4 ?!), IPv4 OK || 000 Rien || 000 Rien || 075 4 règles mauvais ports de destination || 066 freeradius configuré (mauvaise @ AP), pas d'iptables | |||
|- | |||
| 10 || 075 EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID). || 080 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur) || 033 VLAN (nom à contresens, non ajouté sur Ten5/4), IPv4 (shutdown) || 000 Rien || 000 Rien || 050 freeradius installé, <code>eap</code> et <code>users</code> configurés, pas d'iptables | |||
|- | |||
| 11 || 000 Rien || 000 Rien || 000 Rien || 000 Rien || 025 Deux règles au lieu de 4, mauvaise adresse destination. || 000 freeradius non configuré, pas d'iptables | |||
|- | |||
| 12 || 075 EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID). || 075 VLAN (non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur, mauvais DNS). || 000 Rien || 025 VLAN (mauvais ID 112 au lieu de 212), CV (mauvais port du coup), <code>stockholm.cfg</code> erreur de syntaxe, VLAN en place du CV || 000 Rien || 205 freeradius embryon de configuration de clients.conf, pas d'iptables | |||
|} | |||
=== Cahier n°2 === | |||
==== Point d'accès WiFi ==== | |||
Embryon EAP, SSID. | |||
aaa authentication login eap_student2 group radius_student2 | |||
dot11 ssid VM_SERVICES_2 | |||
vlan 202 | |||
authentication open eap eap_student2 | |||
authentication network-eap eap_student2 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
==== Routeur principal ==== | |||
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | |||
202 VLAN0202 active | |||
interface Vlan202 | |||
ip address 10.0.202.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
2 règles sur 4. | |||
-A PREROUTING -p tcp -m tcp --dport 18131 -j DNAT --to-destination 192.168.165.3:1813 | |||
-A PREROUTING -p udp -m udp --dport 18121 -j DNAT --to-destination 192.168.165.3:1812 | |||
==== Machine de services ==== | |||
freeradius installé mais non configuré. | |||
Pas de règle iptables. | |||
=== Cahier n°3 === | |||
==== Point d'accès WiFi ==== | |||
EAP (manque radius-server), SSID (manque invité multiple, duplica), Pontage, Radio OK. | |||
aaa authentication login eap_alger group radius_alger | |||
aaa group server radius radius_alger | |||
server 193.48.57.167 auth-port 18121 acct-port 18131 | |||
! | |||
dot11 ssid alger | |||
vlan 203 | |||
authentication open eap eap_alger | |||
authentication network-eap eap_alger | |||
authentication key-management wpa | |||
! | |||
dot11 ssid 123VivaLAlgerie | |||
! | |||
interface Dot11Radio0.203 | |||
encapsulation dot1Q 203 | |||
bridge-group 203 | |||
! | |||
interface GigabitEthernet0.203 | |||
no ip route-cache | |||
! | |||
encryption vlan 203 mode ciphers aes-ccm tkip | |||
ssid 123VivaLAlgerie | |||
ssid alger | |||
==== Routeur principal ==== | |||
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | |||
203 vlan203 active | |||
interface Vlan203 | |||
ip address 10.0.203.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Deux règles sur quatre. | |||
-A PREROUTING -i eth0 -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.10.11:1812 | |||
-A PREROUTING -i eth0 -p udp -m udp --dport 18132 -j DNAT --to-destination 192.168.10.11:1813 | |||
==== Machine de services ==== | |||
freeradius installé mais non configuré. | |||
Aucune règles iptables. | |||
=== Cahier n°4 === | |||
==== Point d'accès WiFi ==== | |||
EAP (mauvais radius-server), SSID, mauvais pontage, Radio (sans ssid). | |||
aaa authentication login eap_student4 group radius_student4 | |||
aaa group server radius radius_student4 | |||
server 193.48.57.167 auth-port 18122 acct-port 18132 | |||
! | |||
radius-server host 193.48.57.167 auth-port 1812 acct-port 1813 key 7 120A0014000E183B393F312C363B3647 | |||
dot11 ssid VM_SERVICES_4 | |||
vlan 204 | |||
authentication open eap eap_student4 | |||
authentication network-eap eap_student4 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
interface Dot11Radio0.204 | |||
no ip route-cache | |||
! | |||
interface GigabitEthernet0.204 | |||
no ip route-cache | |||
! | |||
encryption vlan 204 mode ciphers aes-ccm | |||
==== Routeur principal ==== | |||
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | |||
204 Pincipal active | |||
interface Vlan204 | |||
ip address 10.0.204.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Deux règles sur quatre. | |||
-A PREROUTING -i eth0 -p udp -m udp --dport 18132 -j DNAT --to-destination 192.168.10.13:1813 | |||
-A PREROUTING -i eth0 -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.10.13:1812 | |||
==== Machine de services ==== | |||
freeradius installé mais non configuré. | |||
Un embryon de règles iptables : | |||
:OUTPUT ACCEPT [0:0] | |||
-A FORWARD -s 10.0.204.0/24 -j ACCEPT | |||
-A FORWARD -d 10.0.204.0/24 -j ACCEPT | |||
-A FORWARD -s 10.0.204.0/24 | |||
=== Cahier n°5 === | |||
==== Point d'accès WiFi ==== | |||
EAP (mauvais radius-server), SSID (duplica), Pontage OK, Radio (sans ssid). | |||
aaa authentication login eap_student05 group radius_student05 | |||
aaa group server radius radius_student05 | |||
server 193.48.57.165 auth-port 18122 acct-port 18132 | |||
! | |||
radius-server host 193.48.57.165 auth-port 1812 acct-port 1813 key 7 06150A225E4B1D261603070F090A3E7B71 | |||
dot11 ssid VM_SERVICES_05 | |||
vlan 205 | |||
authentication open eap eap_student05 | |||
authentication network-eap eap_student05 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
dot11 ssid paris13 | |||
! | |||
interface Dot11Radio0.205 | |||
encapsulation dot1Q 205 | |||
bridge-group 205 | |||
! | |||
interface GigabitEthernet0.205 | |||
encapsulation dot1Q 205 | |||
bridge-group 205 | |||
! | |||
encryption vlan 205 mode ciphers aes-ccm | |||
==== Routeur principal ==== | |||
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | |||
205 VLAN0205 active | |||
interface Vlan205 | |||
ip address 10.0.205.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
2 règles sur 4 | |||
-A PREROUTING -p tcp -m tcp --dport 18132 -j DNAT --to-destination 192.168.165.2:1813 | |||
-A PREROUTING -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.165.2:1812 | |||
==== Machine de services ==== | |||
freeradius installé, fichier <code>clients.conf</code> modifié mais la configuration n'a pas de sens. | |||
client wifi05 { | |||
type = auth | |||
ipaddr = ??? | |||
port = 18122 | |||
secret = | |||
shortname = paris13 | |||
nastype = other | |||
virtual_server = eduroam | |||
} | |||
Aucune règles iptables. | |||
=== Cahier n°6 === | |||
==== Point d'accès WiFi ==== | |||
Embryon EAP, SSID | |||
aaa authentication login eap_student6 group radius_student6 | |||
dot11 ssid VM_TOKYO_6 | |||
vlan 206 | |||
authentication open eap eap_student6 | |||
authentication network-eap eap_student6 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
==== Routeur principal ==== | |||
Pas de VLAN, IPv4 OK | |||
interface Vlan206 | |||
ip address 10.0.206.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Deux règles sur 4. | |||
-A PREROUTING -p tcp -m tcp --dport 18121 -j DNAT --to-destination 192.168.13.12:1812 | |||
-A PREROUTING -p tcp -m tcp --dport 18131 -j DNAT --to-destination 192.168.13.12:1813 | |||
==== Machine de services ==== | |||
freeradius non installé. | |||
Pas de règle iptables. | |||
=== Cahier n°7 === | |||
==== Point d'accès WiFi ==== | |||
Rien sur EAP, SSID (double duplica), Embryon DHCP (sur AP ...) | |||
dot11 ssid Oslo | |||
vlan 207 | |||
authentication open eap eap_student207 | |||
authentication network-eap eap_student207 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
dot11 ssid VM_SERVICES_7 | |||
! | |||
dot11 ssid WiFi-207-a | |||
authentication open | |||
! | |||
ip dhcp excluded-address 10.0.207.1 10.0.207.200 | |||
! | |||
ip dhcp pool Oslo | |||
network 10.0.207.0 255.255.255.0 | |||
! | |||
ip dhcp pool riga | |||
! | |||
==== Routeur principal ==== | |||
VLAN (non ajouté sur Ten1/1/2), IPv4 OK | |||
207 Oslo active | |||
interface Vlan207 | |||
ip address 10.0.207.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
VLAN OK (non ajouté sur Ten5/4), IPv4 (shutdown) | |||
207 Oslo active | |||
interface Vlan207 | |||
ip address 10.0.207.2 255.255.255.0 | |||
shutdown | |||
! | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Rien | |||
==== Machine de services ==== | |||
Rien | |||
=== Cahier n°8 === | |||
==== Point d'accès WiFi ==== | |||
Embryon EAP, SSID | |||
aaa group server radius radius_bogota | |||
server 193.48.57.164 auth-port 18122 acct-port 18132 | |||
! | |||
dot11 ssid bogota8 | |||
vlan 208 | |||
authentication open eap eap_bogota | |||
authentication network-eap eap_bogota | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
==== Routeur principal ==== | |||
VLAN (non ajouté sur Ten1/1/2), IPv4 OK | |||
208 bogota active | |||
interface Vlan208 | |||
ip address 10.0.208.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
VLAN (non ajouté sur Ten5/4) | |||
208 VLAN_BOGOTA active | |||
==== Serveur <code>capbreton</code> ==== | |||
VLAN OK, CV OK, pas de nouvelle interface dans <code>bogota.cfg</code> | |||
auto vlan208 | |||
iface vlan208 inet manual | |||
vlan-raw-device ether0 | |||
post-up ip link set $IFACE up | |||
post-down ip link set $IFACE down | |||
auto bridge208 | |||
iface bridge208 inet manual | |||
bridge_ports vlan208 | |||
post-up ip link set $IFACE up | |||
post-down ip link set $IFACE down | |||
==== Machine mandataire ==== | |||
Redirection OK. | |||
-A PREROUTING -p tcp -m tcp --dport 18132 -j DNAT --to-destination 192.168.13.11:1813 | |||
-A PREROUTING -p udp -m udp --dport 18132 -j DNAT --to-destination 192.168.13.11:1813 | |||
-A PREROUTING -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.13.11:1812 | |||
-A PREROUTING -p tcp -m tcp --dport 18122 -j DNAT --to-destination 192.168.13.11:1812 | |||
==== Machine de services ==== | |||
freeradius installé mais non configuré. | |||
Pas de règle iptables. | |||
=== Cahier n°9 === | |||
==== Point d'accès WiFi ==== | |||
EAP (manque radius-server, duplica), SSID (duplica), Pontage OK, Radio. SSID visible. | |||
aaa authentication login eap_student9 group radius_student9 | |||
aaa group server radius radius_student9 | |||
server 193.48.57.167 auth-port 18121 acct-port 18131 | |||
! | |||
aaa authentication login eap_kiev group radius_kiev | |||
aaa group server radius radius_kiev | |||
server 193.48.57.163 auth-port 18121 acct-port 18131 | |||
! | |||
radius-server host 193.48.57.163 auth-port 18121 acct-port 18131 key 7 0303570416082D435E | |||
dot11 ssid kiev | |||
vlan 209 | |||
authentication open eap eap_kiev | |||
authentication network-eap eap_kiev | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
dot11 ssid VM_SERVICE_9 | |||
vlan 209 | |||
! | |||
interface Dot11Radio0.209 | |||
encapsulation dot1Q 209 | |||
bridge-group 209 | |||
! | |||
interface GigabitEthernet0.209 | |||
encapsulation dot1Q 209 | |||
bridge-group 209 | |||
! | |||
encryption vlan 209 mode ciphers aes-ccm tkip | |||
ssid kiev | |||
==== Routeur principal ==== | |||
VLAN (non ajouté sur Ten1/1/2, ajouté sur Te1/1/4 ?!), IPv4 OK | |||
209 kiev active Te1/1/4 | |||
interface Vlan209 | |||
ip address 10.0.209.1 255.255.255.0 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Redirection avec de mauvais ports destination. | |||
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18121 -j DNAT --to-destination 192.168.163.2:18121 | |||
-A PREROUTING -i eth0 -p udp -m udp --dport 18121 -j DNAT --to-destination 192.168.163.2:18121 | |||
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18121 -j DNAT --to-destination 192.168.163.2:18131 | |||
-A PREROUTING -i eth0 -p udp -m udp --dport 18131 -j DNAT --to-destination 192.168.163.2:18131 | |||
==== Machine de services ==== | |||
freeradius installé et configuré (mauvaise adresse d'AP WiFi) | |||
Pas de règle iptables | |||
=== Cahier n°10 === | |||
EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID). | |||
==== Point d'accès WiFi ==== | |||
aaa authentication login eap_student10 group radius_student10 | |||
aaa group server radius radius_student10 | |||
server 193.48.57.163 auth-port 18121 acct-port 18131 | |||
! | |||
radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key 7 04480E051D2458711A0D1013170518557A | |||
dot11 ssid riga | |||
vlan 210 | |||
authentication open eap eap_student10 | |||
authentication network-eap eap_student10 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
interface Dot11Radio0.210 | |||
encapsulation dot1Q 210 | |||
bridge-group 210 | |||
! | |||
interface GigabitEthernet0.210 | |||
encapsulation dot1Q 210 | |||
bridge-group 210 | |||
! | |||
encryption vlan 210 mode ciphers aes-ccm | |||
==== Routeur principal ==== | |||
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur). | |||
210 Principal active | |||
interface Vlan210 | |||
ip address 10.0.210.1 255.255.255.0 | |||
! | |||
ip dhcp pool riga | |||
network 10.0.210.0 255.255.255.0 | |||
dns-server 8.8.8.8 | |||
default-router 10.0.210.1 | |||
! | |||
==== Routeur secondaire ==== | |||
VLAN (nom à contresens, non ajouté sur Ten5/4), IPv4 (shutdown) | |||
210 Secondaire active | |||
interface Vlan210 | |||
ip address 10.0.210.2 255.255.255.0 | |||
shutdown | |||
! | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Rien | |||
==== Machine de services ==== | |||
freeradius installé, <code>eap</code> et <code>users</code> configurés. | |||
Pas de règle iptables. | |||
=== Cahier n°11 === | |||
==== Point d'accès WiFi ==== | |||
Rien | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Routeur principal ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
Rien | |||
==== Machine mandataire ==== | |||
Deux règles au lieu de 4, mauvaise adresse destination. | |||
-A PREROUTING -i eht2 -p udp -m udp --dport 18122 -j DNAT --to-destination 10.0.211.2:1812 | |||
-A PREROUTING -i eht2 -p tcp -m tcp --dport 18132 -j DNAT --to-destination 10.0.211.2:1813 | |||
==== Machine de services ==== | |||
freeradius installé mais non configuré. | |||
Pas de règles iptables. | |||
=== Cahier n°12 === | |||
==== Point d'accès WiFi ==== | |||
EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID). | |||
aaa authentication login eap_student12 group radius_student12 | |||
aaa group server radius radius_student12 | |||
server 192.168.162.1 auth-port 18121 acct-port 18131 | |||
! | |||
radius-server host 192.168.162.1 auth-port 1812 acct-port 1813 key 7 15010E0F162F3F1B3B2720261609022D | |||
dot11 ssid VM_SERVICE_12 | |||
vlan 212 | |||
authentication open eap eap_student12 | |||
authentication network-eap eap_student12 | |||
authentication key-management wpa | |||
mbssid guest-mode | |||
! | |||
interface Dot11Radio0.212 | |||
encapsulation dot1Q 212 | |||
bridge-group 212 | |||
! | |||
interface GigabitEthernet0.212 | |||
encapsulation dot1Q 212 | |||
bridge-group 212 | |||
! | |||
encryption vlan 212 mode ciphers aes-ccm | |||
==== Routeur principal ==== | |||
VLAN (non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur, mauvais DNS). | |||
212 Lisa active | |||
interface Vlan212 | |||
ip address 10.0.212.1 255.255.255.0 | |||
! | |||
ip dhcp pool Lisa | |||
network 10.0.212.0 255.255.255.0 | |||
default-router 10.0.212.1 | |||
dns-server 10.0.212.1 | |||
! | |||
==== Routeur secondaire ==== | |||
Rien | |||
==== Serveur <code>capbreton</code> ==== | |||
VLAN (mauvais ID 112 au lieu de 212), CV (mauvais port du coup), <code>stockholm.cfg</code> erreur de syntaxe, VLAN en place du CV | |||
auto vlan112 | |||
iface vlan112 inet manual | |||
vlan-raw-device ether0 | |||
post-up ip link set $IFACE up | |||
post-down ip link set $IFACE down | |||
auto bridge112 | |||
iface bridge112 inet manual | |||
bridge_ports vlan112 | |||
post-up ip link set $IFACE up | |||
post-down ip link set $IFACE down | |||
'ip=10.0.212.2,bridge=vlan112' | |||
==== Machine mandataire ==== | |||
Rien. | |||
==== Machine de services ==== | |||
freeradius installé, pas configuré (juste un embryon dans <code>clients.conf</code>). | |||
client 192.168.162.1{ | |||
secret = glopglop | |||
} | |||
Pas de règle iptables. |
Version actuelle datée du 30 novembre 2023 à 13:04
ASR SE2a5
Répartition des binômes
Cahier | Nom machine services | IP machine services | Nom de domaine | Nom machine mandataire | IP machine mandataires | Elève |
---|---|---|---|---|---|---|
Cahier n°1 | Dublin | 10.0.42.2 | dublin.lol | rugby (10.0.42.1) | 193.48.57.162 | DELEPLANQUE Louis |
Cahier n°2 | berlin | 192.168.165.3 | berlin2.lol | judo | 193.48.57.165 | EL ABKARI Ahlam |
Cahier n°3 | alger | 192.168.10.11 | alger.lol | badminton | 193.48.57.167 | LAZOUACHE Farid |
Cahier n°4 | Bruxelles | 192.168.10.13 | Bruxelles.lol | badminton | 193.48.57.167 | BECUE William |
Cahier n°5 | paris | 192.168.165.2 | paris13.lol | judo | 193.48.57.165 | DESPLACES Baptiste |
Cahier n°6 | Tokyo | 192.168.13.12 | tokyoray.lol | muaythai | 193.48.57.164 | MOUSSAOUI Rayane |
Cahier n°7 | Oslo | 192.168.66.10 | oslo666.lol | aquaponey | 193.48.57.166 | FIRION Thomas |
Cahier n°8 | bogota | 192.168.13.11 | bogota.lol | muaythai | 193.48.57.164 | MAROLLEAU Simon |
Cahier n°9 | kiev | 192.168.163.2 | kievjeje.lol | balltrap | 193.48.57.163 | BREUVART Jérôme |
Cahier n°10 | Riga | 192.168.163.3 | riga1.lol | balltrap | 193.48.57.163 | BIOT Tom |
Cahier n°11 | rio | 192.168.162.3 | rio71.lol | padel | 193.48.57.168 | NAIMI Oussama |
Cahier n°12 | stockholm | 192.168.162.2 | stockholm.lol | padel | 193.48.57.168 | DUBOIS Lisa-Marie |
Cahier n°13 | douarnenez | 10.0.42.3 | douarnenez.germond.org | rugby (10.0.42.1) | 193.48.57.162 | GERMOND Bastien |
Contrôle continu
Etat initial des machines virtuelles
Nom machine services | Etat | Note |
---|---|---|
alger | Démarrée, mot de passe non changé /var/log/xen-tools/alger.log , adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible |
080 |
berlin | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible | 080 |
bogota | Démarrée, mot de passe changé sans modification du fichier de log, début de configuration réseau (mais manque le masque réseau), bridge OK, mot clef DHCP encore présent, mémoire faible | 085 |
Bruxelles | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible | 080 |
douarnenez | Démarrée, mot de passe OK, réseau OK, ping www.polytech-lille.fr OK, ping google.fr IPv6 OK, mémoire faible |
100 |
Dublin | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, adresse IPv4 encore présente dans le .cfg , mémoire un peu exagérée |
085 |
kiev | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible | 080 |
Oslo | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible | 080 |
paris | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mot clef DHCP encore présent, mémoire faible | 080 |
rio | Démarrée, mot de passe OK, adresse IP hors du VLAN 50, bridge OK, mémoire faible | 085 |
Tokyo | Démarrée, mot de passe OK, bridge OK, adresse IPv4 encore présente dans le .cfg (@IPv4 OK), adresse IP hors du VLAN 50 (dans la machine), mémoire faible |
080 |
stockholm | Démarrée, mot de passe OK, bridge OK, mémoire faible (commentaire de l'élève, après coup) | 000 |
Concernant l'installation de Devuan sur les stations de travail
Machine | Machine annexe | Elève | Etat 02/10/2023 | Etat 05/10/2023 |
---|---|---|---|---|
zabeth02 | zabeth13 / daedalus ok | Ahlam EL ABKARI | 075 xfce sans les applications, root ne peut pas se connecter à distance |
100 OK |
zabeth03 | zabeth16 / daedalus ok | Rayane MOUSSAOUI | 100 OK | 090 7 paquetaques xfce4 sur 35 d'installés, relancez tasksel
|
zabeth04 | zabeth14 / daedalus ok | Baptiste DESPLACES | 080 OK, root ne peut pas se connecter à distance |
090 7 paquetaques xfce4 sur 35 d'installés, relancez tasksel
|
zabeth05 | Jérôme BREUVART | 000 Pas de propagation ansible, /root/.ssh/authorized_keys est un répertoire ... |
090 7 paquetaques xfce4 sur 35 d'installés, relancez tasksel
| |
zabeth06 | zabeth21 / daedalus OK |
Bastien GERMOND | 100 OK | 100 OK |
zabeth07 | zabeth17 / daedalus OK | Simon MAROLLEAU | 100 OK | 100 OK |
zabeth08 | zabeth20 / daedalus OK | Thomas FIRION | 075 OK mais firefox-esr non installé ? |
090 7 paquetaques xfce4 sur 35 d'installés, relancez tasksel
|
zabeth09 | zabet15/ daedalus OK | William BECUE | 025 propagation ansible au mieux partielle (/etc/network/interfaces à la main ?) |
100 OK |
zabeth10 | Tom BIOT | 080 OK, root ne peut pas se connecter à distance |
090 7 paquetaques xfce4 sur 35 d'installés, relancez tasksel
| |
zabeth11 | Oussama NAIMI | 000 pas de propagation ansible | 100 OK | |
zabeth12 | Farid LAZOUACHE | 100 OK | 090 7 paquetaques xfce4 sur 35 d'installés, relancez tasksel
| |
zabeth28 | zabeth26, zabeth27 | Louis DELEPLANQUE | 090 xfce sans les applications | 100 OK |
Machines annexes avec mise à jour daedalus
au 02/10/2023 : zabeth13, zabeth14, zabeth15, zabeth16, zabeth17, zabeth20, zabeth21, zabeth26, zabeth27.
Machines annexes non mises à jour au 02/10/2023 : zabeth18 (/etc/apt/sources.list
OK mais pas de commande apt dist-upgrade
lancée), zabeth19 (idem).
Veillez à ce que le paquetage apparmor
soit désactivé sur toutes les machines.
MV de services au 6/10/2023
A noter partie "Architecture réseau, première approche", totalement implantée par MM. DELEPLANQUE et GERMOND.
Nom machine services | Etat | Note |
---|---|---|
Dublin | Partitions OK, interfaces réseau configurées, ping IPv4 et IPv6 OK | 100 |
berlin | Partitions OK, une seule interface réseau encore sur vlan50. | 050 |
alger | Partitions OK, deux interfaces réseau, mauvaise configuration IPv4 sur les deux, ping IPv6 OK. | 066 |
Bruxelles | Partitions OK, deux interfaces réseau, mauvaise configuration IPv4 sur VLAN Xen, ping IPv6 OK. | 075 |
paris | Partitions OK, une seule interface réseau encore sur vlan50. | 050 |
Tokyo | Partitions OK, une seule interface réseau encore sur vlan50. | 050 |
Oslo | Pas de partitions /var ni /home , une seule interface réseau encore sur vlan50.
|
025 |
bogota | Mot de passe insuffisant, partitions OK, deux interfaces réseau, aucune configuration IPv4 correcte. | 025 |
kiev | Pas de partitions /var ni /home , une seule interface réseau encore sur vlan50.
|
025 |
Riga | Partitions OK, une seule interface réseau encore sur vlan50. | 050 |
Rio | Pas de partitions /var ni /home , une seule interface réseau encore sur vlan50.
|
025 |
douarnenez | Partitions OK, interfaces réseau configurées, ping IPv4 et IPv6 OK | 100 |
MV mandataires au 6/10/2023
Machine virtuelle mandataire | Etat | Note |
---|---|---|
rugby | Les deux interfaces réseau, configurées correctement, iptables implantées.
|
100 |
judo | Une seule interface réseau, adresse IPv4 OK, pas de seconde interface réseau, pas d'iptables .
|
033 |
badminton | Les deux interfaces réseau, configurées correctement, pas d'iptables .
|
075 |
muaythai | Les deux interfaces réseau, seule l'interface du VLAN Xen est configurée, pas d'iptables .
|
033 |
aquaponey | Une seule interface réseau, adresse IPv4 OK, pas de seconde interface réseau, pas d'iptables .
|
033 |
balltrap | Les deux interfaces réseau, une passerelle sur le réseau local (erreur), pas d'iptables .
|
033 |
MV de services au 8/10/2023
Nom machine services | Etat | Note |
---|---|---|
Dublin | Redirection OK, DNSSEC OK, HTTPS OK. | 100 |
berlin | Redirection OK, serveur DNS non configuré, serveur HTTP. | 050 |
alger | Redirection OK, serveur DNS non fonctionnel, serveur HTTP OK, non sécurisé. | 050 |
Bruxelles | Redirection OK, serveur DNS configuré, non sécurisé, pas d'HTTP. | 066 |
paris | Redirection OK, interface réseau du VLAN Xen non configurée, pas de serveur DNS, juste un serveur HTTP. | 033 |
Tokyo | Redirection OK, DNS non configuré, HTTP mais pas d'HTTPS. | 050 |
Oslo | Redirection totalement défaillante, rien d'installé sur la machine de services, ses interfaces réseau sont correctement configurées. | 010 |
bogota | Redirection OK, DNS non installé, HTTP OK, non sécurisé. | 050 |
kiev | Redirection défaillante (mauvaise passerelle sur les machines de services), pas de DNS, pas de serveur HTTP. | 010 |
Riga | Redirection défaillante (mauvaise passerelle sur les machines de services), pas de DNS, un serveur HTTP non configuré. | 010 |
Rio | Aucune tentative de redirection, impossible à atteindre par le mandataire (pas d'interface sur le réseau privé), pas de partitions /var ni /home , pas de DNS, pas de serveur HTTP. |
000 |
stockholm | Pas de partitions /var ni /home , une seule interface réseau encore sur vlan50, pas de DNS, pas de serveur HTTP. |
000 |
douarnenez | OK. | 100 |
MV mandataires au 8/10/2023
Machine virtuelle mandataire | Etat | Note |
---|---|---|
rugby | Les deux interfaces réseau, configurées correctement, iptables implantées, serveur DNS secondaire. |
100 |
judo | Les deux interfaces réseau, configurées correctement, iptables implantées, bind9 et apache2 installés mais non configurés. |
050 |
badminton | Les deux interfaces réseau, configurées correctement, iptables implantées, pas de service mandataire. |
033 |
muaythai | Les deux interfaces réseau, configurées correctement, iptables implantées, bind9 et apache2 installés mais non configurés. |
050 |
aquaponey | Une seule interface réseau (celle du vlan Xen), adresse IPv4 OK, pas d'iptables valide, pas de service mandataire. |
010 |
balltrap | Les deux interfaces réseau, configurées correctement, iptables implantées, bind9 et apache2 installés mais non configurés. |
050 |
padel | Pas de connexion possible en root , une seule interface réseau (vlan Xen), pas d'iptables, pas de mandataire pour service. |
010 |
MV de services au 21/10/2023
Au 21/10/2023 la plupart des DNS sont configurés avec uniquement un serveur DNS. Rajoutez le DNS secondaire ns6.gandi.net
.
Nom machine services | Etat | Note |
---|---|---|
Dublin | Redirection OK, DNSSEC OK, HTTPS OK. | 100 |
berlin | Redirection OK, serveur DNS non sécurisé, mandataire secondaire, IPv6 vers primaire, serveur HTTP mais seulement en IPv4, pas de mandataire inverse. | 050 |
alger | Redirection OK, serveur DNS non sécurisé, mandataire secondaire, IPv6 vers secondaire ? serveur HTTPS. | 075 |
Bruxelles | Redirection OK, serveur DNS configuré, mandataire secondaire, partiellement sécurisé (pas de KSK sur GANDI), IPv6 vers secondaire ? serveur HTTPS. | 080 |
paris | Redirection OK, serveur DNS configuré, mandataire secondaire, partiellement sécurisé (pas de KSK sur GANDI), serveur HTTPS. | 090 |
Tokyo | Redirection OK, serveur DNS configuré, mandataire secondaire, partiellement sécurisé (pas de KSK sur GANDI), HTTP mais pas d'HTTPS, pas de mandataire inverse. | 066 |
Oslo | Redirection OK, pas de DNS sur le mandataire uniquement sur la machine de service, DNS absolument pas fonctionnel, pas de serveur HTTP que ce soit sur le mandataire ou la machine de service. | 010 |
bogota | Redirection OK, serveur DNS non sécurisé, mandataire secondaire, IPv6 vers secondaire ? Tentative d'HTTPS sur la machine de service, pas de mandataire inverse. | 066 |
kiev | Redirection OK, serveur DNS non sécurisé, IPv6 vers secondaire ? mandataire secondaire, serveur HTTP sur la machine de service et la machine mandataire, pas de mandataire inverse, pas de trace du certificat. | 033 |
Riga | Redirection OK, serveur DNS non sécurisé, IPv6 vers secondaire ? mandataire secondaire, serveur HTTP sur la machine de service et la machine mandataire, pas de mandataire inverse, pas de trace du certificat. | 033 |
Rio | Aucune tentative de redirection (pas d'iptables ), pas de DNS ni d'HTTP sur le mandataire, pas de seconde interface sur le mandataire, pas de partition /home ou /var sur la machine de services, pas de DNS ou de serveur Web sur le mandataire, pas de bascule du DNS sur GANDI. |
000 |
stockholm | Partitions montées, une seule interface réseau encore sur vlan50, pas de DNS, pas de serveur HTTP, rien non plus sur le mandataire (même que Rio). | 010 |
douarnenez | OK. | 100 |
MV mandataire / services au 24/10/2023
Nom machine services | Etat | Note |
---|---|---|
Dublin | Redirection OK, DNSSEC OK, HTTPS OK. | 100 |
berlin | Redirection OK, DNSSEC OK (incohérence sur les NS IPv6), HTTPS OK. | 090 |
alger | Redirection OK, DNSSEC OK, HTTPS mais avec un certificat auto-signé. | 075 |
Bruxelles | Redirection OK, DNSSEC OK, HTTPS mais avec un certificat auto-signé. | 075 |
paris | Redirection OK, DNSSEC, mauvaise adresse IPv6 de NS, pas de serveur HTTPS. | 033 |
Tokyo | Redirection OK, DNSSEC OK, HTTPS OK. | 100 |
Oslo | Redirection OK, DNSSEC non finalisé (ns6.gandi.net non synchronisé, délégation non finalisée), HTTPS OK (page non personnalisée). |
050 |
bogota | Redirection OK, DNSSEC OK, HTTPS OK. | 100 |
kiev | Redirection OK, DNS avec des erreurs (mauvaise adresse IPv6 pour www), pas d'HTTP. | 025 |
Riga | Redirection OK, DNSSEC OK (mauvaise adresse IPv6 pour NS et www), pas d'HTTPS. | 033 |
Rio | Partitions /home et /var sur la machine de services, Redirection OK, DNS non fonctionnel et pas de DNSSEC mais un bind9 non correctement configuré sur le mandataire, pas d'apache sur le mandataire, apache non fonctionnel même sur la machine de services. |
010 |
stockholm | Partitions montées, Redirection OK, DNS non fonctionnel (pas de bascule de GANDI sur le DNS extérieur), serveur HTTP sur la machine de services mais pas de mandataire inverse sur le mandataire (même que Rio). | 010 |
douarnenez | Redirection OK, DNS OK, pas de DNSSEC, HTTPS OK. | 075 |
MV de services au 27/10/2023
Nom machine services | Etat | Note |
---|---|---|
Dublin | partitions OK, partition chiffrée OK, fail2ban OK sur le mandataire, aucun sur la machine de service ?! |
090 |
berlin | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
alger | Partitions OK, pas de partition chiffrée, fail2ban OK sur le mandataire, aucun sur la machine de service ?! |
050 |
Bruxelles | partitions OK, partition chiffrée OK, fail2ban OK sur le mandataire, aucun sur la machine de service ?! |
090 |
paris | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
Tokyo | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
Oslo | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
bogota | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
kiev | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
Riga | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
Rio | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
stockholm | Partitions OK, pas de partition chiffrée, pas de fail2ban . |
025 |
douarnenez | partitions OK, pas de partition chiffrée, fail2ban OK sur le mandataire et sur la machine de service. |
080 |
Pages Wiki au 27/10/2023
Nom machine services | Etat | Note |
---|---|---|
Dublin | Wiki correct, Conteneur décrit, configuration réseau basique décrit, craquages WiFi WEP&WPA décrits | 100 |
berlin | Wiki assez correct, Conteneur rapidement décrit, description DNSSEC OK, craquage WiFi WEP décrit | 066 |
alger | Wiki rapide, description DNSSEC OK, craquage WiFi WEP décrit | 050 |
Bruxelles | Wiki très correct, Conteneur décrit, craquage WiFi WEP décrit | 066 |
paris | Wiki incomplet, Conteneur décrit, s'arrête sur le DNS | 025 |
Tokyo | Wiki correct mais couverture incomplète, description DNSSEC OK | 033 |
Oslo | Juste un brouillon, montre l'échec au niveau de DNSSEC | 010 |
bogota | Wiki très correct, des fois trop rapide, Conteneur décrit bien trop rapidement, description DNSSEC OK, craquage WiFi WEP décrit | 050 |
kiev | Wiki très correct, description DNSSEC montrant un échec de sécurisation | 033 |
Riga | Wiki assez correct avec un formatage approximatif, Conteneur décrit très rapidement, description DNSSEC incomplète | 033 |
Rio | Wiki plutôt correct mais avec aucune d'information autre que celles présentes sur les machines | 033 |
stockholm | Wiki assez mal formaté, passage sur DNSSEC mais sans preuve de fonctionnement | 033 |
douarnenez | Wiki minimal sur instruction de l'intervenant | 100 |
Devoir surveillé
Synthèse
Cahier | PA WiFi | Routeur 1 | Routeur 2 | Serveur capbreton |
Machine mandataire | Machine services |
---|---|---|---|---|---|---|
2 | 025 Embryon EAP, SSID. | 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | 000 Rien | 000 Rien | 050 2 règles sur 4. | 000 freeradius non configuré, pas d'iptables |
3 | 075 EAP (manque radius-server), SSID (manque invité multiple, duplica), Pontage, Radio OK. | 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | 000 Rien | 000 Rien | 050 2 règles sur 4 | 000 freeradius non configuré, pas d'iptables |
4 | 050 EAP (mauvais radius-server), SSID, mauvais pontage, Radio (sans ssid). | 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | 000 Rien | 000 Rien | 050 2 règles sur 4 | 025 freeradius non configuré, embryon d'iptables |
5 | 075 EAP (mauvais radius-server), SSID (duplica), Pontage OK, Radio (sans ssid). | 033 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK | 000 Rien | 000 Rien | 050 2 règles sur 4 | 025 clients.conf erroné, pas d'iptables |
6 | 025 Embryon EAP, SSID | 025 Pas de VLAN, IPv4 OK | 000 Rien | 000 Rien | 050 2 règles sur 4 | 000 freeradius non configuré, pas d'iptables |
7 | 010 Rien sur EAP, SSID (double duplica), Embryon DHCP (sur AP ...) | 050 VLAN (non ajouté sur Ten1/1/2), IPv4 OK | 050 VLAN OK (non ajouté sur Ten5/4), IPv4 (shutdown) | 000 Rien | 000 Rien | 000 Rien |
8 | 025 Embryon EAP, SSID | 050 VLAN (non ajouté sur Ten1/1/2), IPv4 OK | 025 VLAN (non ajouté sur Ten5/4) | 075 VLAN OK, CV OK, pas de nouvelle interface dans bogota.cfg |
100 Redirection OK | 000 freeradius non configuré, pas d'iptables |
9 | 085 EAP (manque radius-server, duplica), SSID (duplica), Pontage OK, Radio. SSID visible. | 055 VLAN (non ajouté sur Ten1/1/2, ajouté sur Te1/1/4 ?!), IPv4 OK | 000 Rien | 000 Rien | 075 4 règles mauvais ports de destination | 066 freeradius configuré (mauvaise @ AP), pas d'iptables |
10 | 075 EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID). | 080 VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur) | 033 VLAN (nom à contresens, non ajouté sur Ten5/4), IPv4 (shutdown) | 000 Rien | 000 Rien | 050 freeradius installé, eap et users configurés, pas d'iptables
|
11 | 000 Rien | 000 Rien | 000 Rien | 000 Rien | 025 Deux règles au lieu de 4, mauvaise adresse destination. | 000 freeradius non configuré, pas d'iptables |
12 | 075 EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID). | 075 VLAN (non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur, mauvais DNS). | 000 Rien | 025 VLAN (mauvais ID 112 au lieu de 212), CV (mauvais port du coup), stockholm.cfg erreur de syntaxe, VLAN en place du CV |
000 Rien | 205 freeradius embryon de configuration de clients.conf, pas d'iptables |
Cahier n°2
Point d'accès WiFi
Embryon EAP, SSID.
aaa authentication login eap_student2 group radius_student2 dot11 ssid VM_SERVICES_2 vlan 202 authentication open eap eap_student2 authentication network-eap eap_student2 authentication key-management wpa mbssid guest-mode !
Routeur principal
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK
202 VLAN0202 active
interface Vlan202 ip address 10.0.202.1 255.255.255.0 !
Routeur secondaire
Rien
Serveur capbreton
Rien
Machine mandataire
2 règles sur 4.
-A PREROUTING -p tcp -m tcp --dport 18131 -j DNAT --to-destination 192.168.165.3:1813 -A PREROUTING -p udp -m udp --dport 18121 -j DNAT --to-destination 192.168.165.3:1812
Machine de services
freeradius installé mais non configuré.
Pas de règle iptables.
Cahier n°3
Point d'accès WiFi
EAP (manque radius-server), SSID (manque invité multiple, duplica), Pontage, Radio OK.
aaa authentication login eap_alger group radius_alger aaa group server radius radius_alger server 193.48.57.167 auth-port 18121 acct-port 18131 ! dot11 ssid alger vlan 203 authentication open eap eap_alger authentication network-eap eap_alger authentication key-management wpa ! dot11 ssid 123VivaLAlgerie ! interface Dot11Radio0.203 encapsulation dot1Q 203 bridge-group 203 ! interface GigabitEthernet0.203 no ip route-cache !
encryption vlan 203 mode ciphers aes-ccm tkip ssid 123VivaLAlgerie ssid alger
Routeur principal
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK
203 vlan203 active
interface Vlan203 ip address 10.0.203.1 255.255.255.0 !
Routeur secondaire
Rien
Serveur capbreton
Rien
Machine mandataire
Deux règles sur quatre.
-A PREROUTING -i eth0 -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.10.11:1812 -A PREROUTING -i eth0 -p udp -m udp --dport 18132 -j DNAT --to-destination 192.168.10.11:1813
Machine de services
freeradius installé mais non configuré.
Aucune règles iptables.
Cahier n°4
Point d'accès WiFi
EAP (mauvais radius-server), SSID, mauvais pontage, Radio (sans ssid).
aaa authentication login eap_student4 group radius_student4 aaa group server radius radius_student4 server 193.48.57.167 auth-port 18122 acct-port 18132 ! radius-server host 193.48.57.167 auth-port 1812 acct-port 1813 key 7 120A0014000E183B393F312C363B3647 dot11 ssid VM_SERVICES_4 vlan 204 authentication open eap eap_student4 authentication network-eap eap_student4 authentication key-management wpa mbssid guest-mode ! interface Dot11Radio0.204 no ip route-cache ! interface GigabitEthernet0.204 no ip route-cache ! encryption vlan 204 mode ciphers aes-ccm
Routeur principal
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK
204 Pincipal active
interface Vlan204 ip address 10.0.204.1 255.255.255.0 !
Routeur secondaire
Rien
Serveur capbreton
Rien
Machine mandataire
Deux règles sur quatre.
-A PREROUTING -i eth0 -p udp -m udp --dport 18132 -j DNAT --to-destination 192.168.10.13:1813 -A PREROUTING -i eth0 -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.10.13:1812
Machine de services
freeradius installé mais non configuré.
Un embryon de règles iptables :
:OUTPUT ACCEPT [0:0] -A FORWARD -s 10.0.204.0/24 -j ACCEPT -A FORWARD -d 10.0.204.0/24 -j ACCEPT -A FORWARD -s 10.0.204.0/24
Cahier n°5
Point d'accès WiFi
EAP (mauvais radius-server), SSID (duplica), Pontage OK, Radio (sans ssid).
aaa authentication login eap_student05 group radius_student05 aaa group server radius radius_student05 server 193.48.57.165 auth-port 18122 acct-port 18132 ! radius-server host 193.48.57.165 auth-port 1812 acct-port 1813 key 7 06150A225E4B1D261603070F090A3E7B71 dot11 ssid VM_SERVICES_05 vlan 205 authentication open eap eap_student05 authentication network-eap eap_student05 authentication key-management wpa mbssid guest-mode ! dot11 ssid paris13 ! interface Dot11Radio0.205 encapsulation dot1Q 205 bridge-group 205 ! interface GigabitEthernet0.205 encapsulation dot1Q 205 bridge-group 205 !
encryption vlan 205 mode ciphers aes-ccm
Routeur principal
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK
205 VLAN0205 active
interface Vlan205 ip address 10.0.205.1 255.255.255.0 !
Routeur secondaire
Rien
Serveur capbreton
Rien
Machine mandataire
2 règles sur 4
-A PREROUTING -p tcp -m tcp --dport 18132 -j DNAT --to-destination 192.168.165.2:1813 -A PREROUTING -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.165.2:1812
Machine de services
freeradius installé, fichier clients.conf
modifié mais la configuration n'a pas de sens.
client wifi05 { type = auth ipaddr = ??? port = 18122 secret = shortname = paris13 nastype = other virtual_server = eduroam }
Aucune règles iptables.
Cahier n°6
Point d'accès WiFi
Embryon EAP, SSID
aaa authentication login eap_student6 group radius_student6 dot11 ssid VM_TOKYO_6 vlan 206 authentication open eap eap_student6 authentication network-eap eap_student6 authentication key-management wpa mbssid guest-mode !
Routeur principal
Pas de VLAN, IPv4 OK
interface Vlan206 ip address 10.0.206.1 255.255.255.0 !
Routeur secondaire
Rien
Serveur capbreton
Rien
Machine mandataire
Deux règles sur 4.
-A PREROUTING -p tcp -m tcp --dport 18121 -j DNAT --to-destination 192.168.13.12:1812 -A PREROUTING -p tcp -m tcp --dport 18131 -j DNAT --to-destination 192.168.13.12:1813
Machine de services
freeradius non installé.
Pas de règle iptables.
Cahier n°7
Point d'accès WiFi
Rien sur EAP, SSID (double duplica), Embryon DHCP (sur AP ...)
dot11 ssid Oslo vlan 207 authentication open eap eap_student207 authentication network-eap eap_student207 authentication key-management wpa mbssid guest-mode ! dot11 ssid VM_SERVICES_7 ! dot11 ssid WiFi-207-a authentication open !
ip dhcp excluded-address 10.0.207.1 10.0.207.200 ! ip dhcp pool Oslo network 10.0.207.0 255.255.255.0 ! ip dhcp pool riga !
Routeur principal
VLAN (non ajouté sur Ten1/1/2), IPv4 OK
207 Oslo active
interface Vlan207 ip address 10.0.207.1 255.255.255.0 !
Routeur secondaire
VLAN OK (non ajouté sur Ten5/4), IPv4 (shutdown)
207 Oslo active
interface Vlan207 ip address 10.0.207.2 255.255.255.0 shutdown !
Serveur capbreton
Rien
Machine mandataire
Rien
Machine de services
Rien
Cahier n°8
Point d'accès WiFi
Embryon EAP, SSID
aaa group server radius radius_bogota server 193.48.57.164 auth-port 18122 acct-port 18132 ! dot11 ssid bogota8 vlan 208 authentication open eap eap_bogota authentication network-eap eap_bogota authentication key-management wpa mbssid guest-mode !
Routeur principal
VLAN (non ajouté sur Ten1/1/2), IPv4 OK
208 bogota active
interface Vlan208 ip address 10.0.208.1 255.255.255.0 !
Routeur secondaire
VLAN (non ajouté sur Ten5/4)
208 VLAN_BOGOTA active
Serveur capbreton
VLAN OK, CV OK, pas de nouvelle interface dans bogota.cfg
auto vlan208 iface vlan208 inet manual vlan-raw-device ether0 post-up ip link set $IFACE up post-down ip link set $IFACE down
auto bridge208 iface bridge208 inet manual bridge_ports vlan208 post-up ip link set $IFACE up post-down ip link set $IFACE down
Machine mandataire
Redirection OK.
-A PREROUTING -p tcp -m tcp --dport 18132 -j DNAT --to-destination 192.168.13.11:1813 -A PREROUTING -p udp -m udp --dport 18132 -j DNAT --to-destination 192.168.13.11:1813 -A PREROUTING -p udp -m udp --dport 18122 -j DNAT --to-destination 192.168.13.11:1812 -A PREROUTING -p tcp -m tcp --dport 18122 -j DNAT --to-destination 192.168.13.11:1812
Machine de services
freeradius installé mais non configuré.
Pas de règle iptables.
Cahier n°9
Point d'accès WiFi
EAP (manque radius-server, duplica), SSID (duplica), Pontage OK, Radio. SSID visible.
aaa authentication login eap_student9 group radius_student9 aaa group server radius radius_student9 server 193.48.57.167 auth-port 18121 acct-port 18131 ! aaa authentication login eap_kiev group radius_kiev aaa group server radius radius_kiev server 193.48.57.163 auth-port 18121 acct-port 18131 ! radius-server host 193.48.57.163 auth-port 18121 acct-port 18131 key 7 0303570416082D435E
dot11 ssid kiev vlan 209 authentication open eap eap_kiev authentication network-eap eap_kiev authentication key-management wpa mbssid guest-mode ! dot11 ssid VM_SERVICE_9 vlan 209 ! interface Dot11Radio0.209 encapsulation dot1Q 209 bridge-group 209 ! interface GigabitEthernet0.209 encapsulation dot1Q 209 bridge-group 209 !
encryption vlan 209 mode ciphers aes-ccm tkip ssid kiev
Routeur principal
VLAN (non ajouté sur Ten1/1/2, ajouté sur Te1/1/4 ?!), IPv4 OK
209 kiev active Te1/1/4
interface Vlan209 ip address 10.0.209.1 255.255.255.0 !
Routeur secondaire
Rien
Serveur capbreton
Rien
Machine mandataire
Redirection avec de mauvais ports destination.
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18121 -j DNAT --to-destination 192.168.163.2:18121 -A PREROUTING -i eth0 -p udp -m udp --dport 18121 -j DNAT --to-destination 192.168.163.2:18121 -A PREROUTING -i eth0 -p tcp -m tcp --dport 18121 -j DNAT --to-destination 192.168.163.2:18131 -A PREROUTING -i eth0 -p udp -m udp --dport 18131 -j DNAT --to-destination 192.168.163.2:18131
Machine de services
freeradius installé et configuré (mauvaise adresse d'AP WiFi)
Pas de règle iptables
Cahier n°10
EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID).
Point d'accès WiFi
aaa authentication login eap_student10 group radius_student10 aaa group server radius radius_student10 server 193.48.57.163 auth-port 18121 acct-port 18131 ! radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key 7 04480E051D2458711A0D1013170518557A dot11 ssid riga vlan 210 authentication open eap eap_student10 authentication network-eap eap_student10 authentication key-management wpa mbssid guest-mode ! interface Dot11Radio0.210 encapsulation dot1Q 210 bridge-group 210 ! interface GigabitEthernet0.210 encapsulation dot1Q 210 bridge-group 210 !
encryption vlan 210 mode ciphers aes-ccm
Routeur principal
VLAN (mauvais nom, non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur).
210 Principal active
interface Vlan210 ip address 10.0.210.1 255.255.255.0 !
ip dhcp pool riga network 10.0.210.0 255.255.255.0 dns-server 8.8.8.8 default-router 10.0.210.1 !
Routeur secondaire
VLAN (nom à contresens, non ajouté sur Ten5/4), IPv4 (shutdown)
210 Secondaire active
interface Vlan210 ip address 10.0.210.2 255.255.255.0 shutdown !
Serveur capbreton
Rien
Machine mandataire
Rien
Machine de services
freeradius installé, eap
et users
configurés.
Pas de règle iptables.
Cahier n°11
Point d'accès WiFi
Rien
Routeur secondaire
Rien
Routeur principal
Rien
Serveur capbreton
Rien
Machine mandataire
Deux règles au lieu de 4, mauvaise adresse destination.
-A PREROUTING -i eht2 -p udp -m udp --dport 18122 -j DNAT --to-destination 10.0.211.2:1812 -A PREROUTING -i eht2 -p tcp -m tcp --dport 18132 -j DNAT --to-destination 10.0.211.2:1813
Machine de services
freeradius installé mais non configuré.
Pas de règles iptables.
Cahier n°12
Point d'accès WiFi
EAP (mauvais radius-server), SSID, Pontage OK, Radio (manque SSID).
aaa authentication login eap_student12 group radius_student12 aaa group server radius radius_student12 server 192.168.162.1 auth-port 18121 acct-port 18131 ! radius-server host 192.168.162.1 auth-port 1812 acct-port 1813 key 7 15010E0F162F3F1B3B2720261609022D dot11 ssid VM_SERVICE_12 vlan 212 authentication open eap eap_student12 authentication network-eap eap_student12 authentication key-management wpa mbssid guest-mode ! interface Dot11Radio0.212 encapsulation dot1Q 212 bridge-group 212 ! interface GigabitEthernet0.212 encapsulation dot1Q 212 bridge-group 212 !
encryption vlan 212 mode ciphers aes-ccm
Routeur principal
VLAN (non ajouté sur Ten1/1/2), IPv4 OK, DHCP (mauvais routeur, mauvais DNS).
212 Lisa active
interface Vlan212 ip address 10.0.212.1 255.255.255.0 !
ip dhcp pool Lisa network 10.0.212.0 255.255.255.0 default-router 10.0.212.1 dns-server 10.0.212.1 !
Routeur secondaire
Rien
Serveur capbreton
VLAN (mauvais ID 112 au lieu de 212), CV (mauvais port du coup), stockholm.cfg
erreur de syntaxe, VLAN en place du CV
auto vlan112 iface vlan112 inet manual vlan-raw-device ether0 post-up ip link set $IFACE up post-down ip link set $IFACE down
auto bridge112 iface bridge112 inet manual bridge_ports vlan112 post-up ip link set $IFACE up post-down ip link set $IFACE down
'ip=10.0.212.2,bridge=vlan112'
Machine mandataire
Rien.
Machine de services
freeradius installé, pas configuré (juste un embryon dans clients.conf
).
client 192.168.162.1{ secret = glopglop }
Pas de règle iptables.