« SE5 IdO sécurité des objets 2025/2026 » : différence entre les versions
Aller à la navigation
Aller à la recherche
Machine virtuelle
(Page créée avec « = Infrastructure WiFi pour 2024/2025 = == Serveur virtuel == Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code>SE5_</code>. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>. Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour f... ») |
|||
| (14 versions intermédiaires par 6 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
= Infrastructure | = Infrastructure réseau pour 2025/2026 = | ||
== Serveur virtuel == | == Serveur virtuel == | ||
Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code> | Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code>SE5-</code>. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>. | ||
Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade. | Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade. | ||
Par la suite ajoutez à votre serveur une interface dans le VLAN <code>400+X</code> numérotée dans le sous-réseau IPv4 <code>172.16.X.0/24</code>. Bien entendu <code>X</code> est différent d'un binôme à l'autre (et <code>X</code>>1 | Par la suite ajoutez à votre serveur une interface dans le VLAN <code>400+X</code> numérotée dans le sous-réseau IPv4 <code>172.16.X.0/24</code>. Bien entendu <code>X</code> est différent d'un binôme à l'autre (et <code>X</code>>1). | ||
== Point d'accès WiFi == | == Point d'accès WiFi == | ||
Installez un point d'accès WiFi Cisco sur | Installez un ou plusieurs point d'accès WiFi Cisco sur un port de commutateur en mode trunk. Tentez d'associer une adresse d'administration à ce point d'accès dans le VLAN 50 (adresse d'administration en <code>172.26.145.Y</code>). | ||
== Sécurisation WiFi par WPA2- | == Sécurisation WiFi par WPA2-PSK == | ||
Créez un SSID associé à votre VLAN et configuré pour une identification par WPA2-PSK. | |||
De plus implantez les services suivant sur votre serveur virtuel : | |||
* configuration par DHCP pour les clients WiFi, utilisez les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VLAN privé. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS ; | |||
* Implanter un serveur DNS minimal sur votre serveur virtuel (DNS transitaire ou DNS forwarder en patoi) ; | |||
* | |||
* Implanter un serveur DNS minimal sur votre serveur virtuel | |||
* Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets. | * Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets. | ||
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth. | Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth. | ||
= Interception de flux = | |||
L'étude d'applications mobiles peut passer par la redirection de flux TCP pour de la rétro-ingénierie. Deux voies sont possibles, une redirection par DNS ou une redirection de flux TCP vers un port local. | |||
== Redirection par DNS == | |||
Ajoutez une zone primaire à votre serveur DNS avec le nom Internet que vous souhaitez rediriger vers votre machine locale. | |||
== Redirection réseau == | |||
Ajoutez des règles <code>iptables</code>/<code>nftables</code> pour rediriger un flux TCP vers un port local. | |||
== Serveur apache sécurisé == | |||
En régle générale, c'est un flux HTTPS que vous souhaitez rediriger, vous avez donc besoin d'un serveur Web local en mode sécurisé (HTTPS). | |||
= Machine virtuelle <code>android</code> = | |||
La redirection de flux HTTPS est problématique à cause de la protection par certificat X509. Pour contourner cette protection, une solution consiste à ajouter des autorités de certification sur l'appareil où l'application mobile est installée. Pour ce faire il est probable qu'il faille un contrôle important sur l'OS de l'appareil. Comme vous pouvez rechigner à rooter votre mobile, une machine virtuelle <code>android</code> semble adaptée. | |||
Il vous est proposé de tester de créer une machine virtuelle <code>android</code> soit par émulation d'un ARM en utilisant <code>QEMU</code> sur un PC ordinaire soit en utilisant <code>KVM</code> sur une Raspberry Pi. | |||
= Répartition des binômes pour le module de sécurité des objets = | = Répartition des binômes pour le module de sécurité des objets = | ||
| Ligne 70 : | Ligne 53 : | ||
! Binôme !! Elèves !! Nom du serveur virtuel !! N° du VLAN | ! Binôme !! Elèves !! Nom du serveur virtuel !! N° du VLAN | ||
|- | |- | ||
| [[SE5 IdO sécurité des objets 2025/2026 b1 | Cahier b1]] || | | [[SE5 IdO sécurité des objets 2025/2026 b1 | Cahier b1]] || Victorien Détrez || SE5-serveur || n°410 | ||
|- | |- | ||
| [[SE5 IdO sécurité des objets 2025/2026 b2 | Cahier b2]] || | | [[SE5 IdO sécurité des objets 2025/2026 b2 | Cahier b2]] || Kaoutar El Bachiri || SE5-kelbachi || n°409 | ||
|- | |- | ||
| [[SE5 IdO sécurité des objets 2025/2026 b3 | Cahier b3]] || | | [[SE5 IdO sécurité des objets 2025/2026 b3 | Cahier b3]] || Heriniaina Raissa Andrianirintsoa || SE5-serveur || n°411 | ||
|- | |- | ||
| [[SE5 IdO sécurité des objets 2025/2026 b4 | Cahier b4]] || | | [[SE5 IdO sécurité des objets 2025/2026 b4 | Cahier b4]] || Abdel Zongo || SE5-serveur || n°404 | ||
|- | |- | ||
| [[SE5 IdO sécurité des objets 2025/2026 b5 | Cahier b5]] || | | [[SE5 IdO sécurité des objets 2025/2026 b5 | Cahier b5]] || Chaymae Rhanim || SE5-serveur || n°408 | ||
|- | |- | ||
|} | |} | ||
Version actuelle datée du 3 novembre 2025 à 14:35
Infrastructure réseau pour 2025/2026
Serveur virtuel
Créez un serveur virtuel sur capbreton par binôme. Préfixez le nom du serveur par SE5-. Le serveur doit avoir une unique interface dans le commutateur virtuel bridgeStudents.
Prenez une adresse IPv4 à partir de 172.26.145.100 et utilisez, comme routeur, l'adresse IPv4 172.26.145.251. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.
Par la suite ajoutez à votre serveur une interface dans le VLAN 400+X numérotée dans le sous-réseau IPv4 172.16.X.0/24. Bien entendu X est différent d'un binôme à l'autre (et X>1).
Point d'accès WiFi
Installez un ou plusieurs point d'accès WiFi Cisco sur un port de commutateur en mode trunk. Tentez d'associer une adresse d'administration à ce point d'accès dans le VLAN 50 (adresse d'administration en 172.26.145.Y).
Sécurisation WiFi par WPA2-PSK
Créez un SSID associé à votre VLAN et configuré pour une identification par WPA2-PSK.
De plus implantez les services suivant sur votre serveur virtuel :
- configuration par DHCP pour les clients WiFi, utilisez les adresses d'octet de poids faible
100à200du réseau IPv4 de votre VLAN privé. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS ; - Implanter un serveur DNS minimal sur votre serveur virtuel (DNS transitaire ou DNS forwarder en patoi) ;
- Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.
Interception de flux
L'étude d'applications mobiles peut passer par la redirection de flux TCP pour de la rétro-ingénierie. Deux voies sont possibles, une redirection par DNS ou une redirection de flux TCP vers un port local.
Redirection par DNS
Ajoutez une zone primaire à votre serveur DNS avec le nom Internet que vous souhaitez rediriger vers votre machine locale.
Redirection réseau
Ajoutez des règles iptables/nftables pour rediriger un flux TCP vers un port local.
Serveur apache sécurisé
En régle générale, c'est un flux HTTPS que vous souhaitez rediriger, vous avez donc besoin d'un serveur Web local en mode sécurisé (HTTPS).
Machine virtuelle android
La redirection de flux HTTPS est problématique à cause de la protection par certificat X509. Pour contourner cette protection, une solution consiste à ajouter des autorités de certification sur l'appareil où l'application mobile est installée. Pour ce faire il est probable qu'il faille un contrôle important sur l'OS de l'appareil. Comme vous pouvez rechigner à rooter votre mobile, une machine virtuelle android semble adaptée.
Il vous est proposé de tester de créer une machine virtuelle android soit par émulation d'un ARM en utilisant QEMU sur un PC ordinaire soit en utilisant KVM sur une Raspberry Pi.
Répartition des binômes pour le module de sécurité des objets
Donnez les élèves dans chaque binôme.
| Binôme | Elèves | Nom du serveur virtuel | N° du VLAN |
|---|---|---|---|
| Cahier b1 | Victorien Détrez | SE5-serveur | n°410 |
| Cahier b2 | Kaoutar El Bachiri | SE5-kelbachi | n°409 |
| Cahier b3 | Heriniaina Raissa Andrianirintsoa | SE5-serveur | n°411 |
| Cahier b4 | Abdel Zongo | SE5-serveur | n°404 |
| Cahier b5 | Chaymae Rhanim | SE5-serveur | n°408 |