« SE5 IdO sécurité des objets » : différence entre les versions
(11 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 7 : | Ligne 7 : | ||
== Serveur virtuel == | == Serveur virtuel == | ||
Créez un serveur virtuel sur <code>capbreton</code> par binôme. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>. | Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code>SE5_</code>. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>. | ||
Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade. | Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade. | ||
Par la suite ajoutez à votre serveur une | Par la suite ajoutez à votre serveur une interface dans le VLAN <code>400+X</code> numérotée dans le sous-réseau IPv4 <code>172.16.X.0/24</code>. Bien entendu <code>X</code> est différent d'un binôme à l'autre (et <code>X</code>>1</code>). | ||
== Point d'accès WiFi == | == Point d'accès WiFi == | ||
Installez un point d'accès WiFi Cisco sur le réseau des machines de projet. Ce point d'accès a donc une adresse d'administration en <code>172.26.145.Y</code>. | |||
== Sécurisation WiFi par WPA2-EAP == | == Sécurisation WiFi par WPA2-EAP == | ||
Ligne 20 : | Ligne 22 : | ||
En résumé vous effectuer les actions décrites ci-dessous. | En résumé vous effectuer les actions décrites ci-dessous. | ||
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre serveur virtuel, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section. | |||
* Le précédent SSID doit utiliser le VLAN <code>X</code> configuré sur votre serveur virtuel. | |||
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre | * Configurer, sur votre serveur virtuel, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur. | ||
* Le précédent SSID doit utiliser le VLAN | * Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VLAN privé, sur votre serveur virtuel. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS. | ||
* Configurer, sur votre | * Implanter un serveur DNS minimal sur votre serveur virtuel. | ||
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre | * Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets. | ||
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth. | Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth. | ||
Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour | Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour le binôme de VLAN <code>X</code> : | ||
... | ... | ||
aaa new-model | aaa new-model | ||
aaa authentication login | aaa authentication login eap_binome_X group radius_binome_X | ||
radius-server host < | radius-server host <IPv4_VM_binome_X> auth-port 1812 acct-port 1813 key secret_binome_X | ||
aaa group server radius | aaa group server radius radius_binome_X | ||
server < | server <IPv4_VM_binome_X> auth-port 1812 acct-port 1813 | ||
! | ! | ||
... | ... | ||
dot11 ssid | dot11 ssid VM_binome_X | ||
vlan | vlan 400+X | ||
authentication open eap | authentication open eap eap_binome_X | ||
authentication network-eap | authentication network-eap eap_binome_X | ||
authentication key-management wpa | authentication key-management wpa | ||
mbssid guest-mode | mbssid guest-mode | ||
Ligne 47 : | Ligne 49 : | ||
... | ... | ||
interface Dot11Radio0 | interface Dot11Radio0 | ||
encryption vlan | encryption vlan 400+X mode ciphers aes-ccm | ||
... | ... | ||
! | ! | ||
... | ... | ||
interface Dot11Radio0. | interface Dot11Radio0.X | ||
encapsulation dot1Q | encapsulation dot1Q 400+X | ||
bridge-group | bridge-group X | ||
! | ! | ||
interface GigabitEthernet0. | interface GigabitEthernet0.X | ||
encapsulation dot1Q | encapsulation dot1Q 400+X | ||
bridge-group | bridge-group X | ||
! | ! | ||
... | ... | ||
Ligne 64 : | Ligne 66 : | ||
= Construction et connexion d'objets = | = Construction et connexion d'objets = | ||
== Objet WiFi == | |||
Construisez un petit objet WiFi à base d'ESP32. | |||
== Objet LoRa == | |||
Construisez un petit objet LoRa à base de Nucléo. | |||
= Etude et intrusion dans des objets existants = | = Etude et intrusion dans des objets existants = | ||
Quelques sujets possibles : | |||
* Il existe probablement encore beaucoup de points d'accès WPA2, donc essai de cassage WPA2 via la faille KRACK. | |||
* Il existe probablement encore beaucoup de périphériques avec une puce WPA2, donc essai de cassage WPA2 via la faille Krook. | |||
* Configurer un point d'accès en WPA3-SAE, par exemple un TP-LINK EAP615 sous openWRT, essayer de trouver un logiciel d'exploitation de la faille DragonBlood. |
Version actuelle datée du 25 septembre 2024 à 06:15
Introduction
L'objectif de ce module est de tester la sécurité des objets connectés (WiFi, LoRa), voire de craquer certains objets.
Infrastructure WiFi
Serveur virtuel
Créez un serveur virtuel sur capbreton
par binôme. Préfixez le nom du serveur par SE5_
. Le serveur doit avoir une unique interface dans le commutateur virtuel bridgeStudents
.
Prenez une adresse IPv4 à partir de 172.26.145.100
et utilisez, comme routeur, l'adresse IPv4 172.26.145.251
. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.
Par la suite ajoutez à votre serveur une interface dans le VLAN 400+X
numérotée dans le sous-réseau IPv4 172.16.X.0/24
. Bien entendu X
est différent d'un binôme à l'autre (et X
>1).
Point d'accès WiFi
Installez un point d'accès WiFi Cisco sur le réseau des machines de projet. Ce point d'accès a donc une adresse d'administration en 172.26.145.Y
.
Sécurisation WiFi par WPA2-EAP
Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant un serveur FreeRadius
.
En résumé vous effectuer les actions décrites ci-dessous.
- Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre serveur virtuel, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
- Le précédent SSID doit utiliser le VLAN
X
configuré sur votre serveur virtuel. - Configurer, sur votre serveur virtuel, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.
- Implanter un serveur DHCP, pour les adresses d'octet de poids faible
100
à200
du réseau IPv4 de votre VLAN privé, sur votre serveur virtuel. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS. - Implanter un serveur DNS minimal sur votre serveur virtuel.
- Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.
Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour le binôme de VLAN X
:
... aaa new-model aaa authentication login eap_binome_X group radius_binome_X radius-server host <IPv4_VM_binome_X> auth-port 1812 acct-port 1813 key secret_binome_X aaa group server radius radius_binome_X server <IPv4_VM_binome_X> auth-port 1812 acct-port 1813 ! ... dot11 ssid VM_binome_X vlan 400+X authentication open eap eap_binome_X authentication network-eap eap_binome_X authentication key-management wpa mbssid guest-mode ! ... interface Dot11Radio0 encryption vlan 400+X mode ciphers aes-ccm ... ! ... interface Dot11Radio0.X encapsulation dot1Q 400+X bridge-group X ! interface GigabitEthernet0.X encapsulation dot1Q 400+X bridge-group X ! ...
Infrastructure LoRa
Construction et connexion d'objets
Objet WiFi
Construisez un petit objet WiFi à base d'ESP32.
Objet LoRa
Construisez un petit objet LoRa à base de Nucléo.
Etude et intrusion dans des objets existants
Quelques sujets possibles :
- Il existe probablement encore beaucoup de points d'accès WPA2, donc essai de cassage WPA2 via la faille KRACK.
- Il existe probablement encore beaucoup de périphériques avec une puce WPA2, donc essai de cassage WPA2 via la faille Krook.
- Configurer un point d'accès en WPA3-SAE, par exemple un TP-LINK EAP615 sous openWRT, essayer de trouver un logiciel d'exploitation de la faille DragonBlood.