« Modèle:SESecurisationsSystemeReseau » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
(Page créée avec « = Sécurisations = Dans cette dernière section vous devez sécuriser, au sens sécurité contre les instrusions, des mécanismes système ou réseau. == Chiffrement de données == Sur votre machine virtuelle ajoutez une partition de quelques Go. Sécurisez la partition en utilisant l’utilitaire <code>cryptsetup</code> (choisissez le type <code>plain</code>), créez un système de fichiers au dessus de la partition sécurisée (faite un tour dans le réperto... »)
 
 
Ligne 12 : Ligne 12 :


En résumé vous effectuer les actions décrites ci-dessous.
En résumé vous effectuer les actions décrites ci-dessous.
* Ajouter un VLAN par élève de numéro <code>200+N</code> sur votre réseau de promotion, <code>N</code> étant votre numéro de cahier dans le TP. Associez à votre VLAN le réseau IPv4 <code>10.0.200+N.0/24</code> et routez ce réseau.
* Relier les points d'accès, le routeur C9200 et les routeurs ISR4221 par un VLAN privé qui ne doit pas entrer en conflit avec ceux de l'école. Faire que les points d'accès utilisent l'adresse du C9200, sur ce réseau, comme passerelle par défaut.
* Relier le routeur de promotion avec <code>capbreton</code> par une liaison Trunk.
* Router, sur le C9200, le réseau IPv4 de votre commutateur virtuel privé vers votre machine virtuelle mandataire.
* Configurer une interface pour votre VLAN sur <code>capbreton</code> dans le fichier adapté du répertoire <code>/etc/network/interfaces.d</code>. Il faut aussi créer un commutateur virtuel avec comme port initial l'interface VLAN juste créée. Vous pouvez enfin ajouter une interface à votre machine de services donnant sur votre VLAN, n'oubliez pas de la configurer avec une adresse IPv4.
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
* Le précédent SSID doit utiliser le VLAN personnel que vous vous êtes créé dans la partie réseau avancée.
* Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.  
* Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.  
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> de votre réseau IP, sur le routeur principal de promotion. Donner l'adresse de votre machine de services comme routeur par défaut et comme serveur DNS.
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VMAN privé, sur votre ISR4221. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.
* Implanter une mascarade sur votre machine de services pour toutes les machines de votre VLAN via votre machine mandataire


Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des Zabeth.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.


Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour l'élève <code>N</code> :
Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour l'élève <code>N</code> :
Ligne 26 : Ligne 25 :
         aaa new-model
         aaa new-model
         aaa authentication login eap_studentN group radius_studentN
         aaa authentication login eap_studentN group radius_studentN
         radius-server host <ip_VM_SERVICES_N> auth-port 1812 acct-port 1813 key secret_studentN
         radius-server host <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813 key secret_studentN
         aaa group server radius radius_studentN
         aaa group server radius radius_studentN
           server <ip_VM_SERVICES_N> auth-port 1812 acct-port 1813
           server <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813
         !
         !
         ...
         ...
         dot11 ssid VM_SERVICES_N
         dot11 ssid VM_SERVICES_N
           vlan 200+N
           vlan Personnel_N
           authentication open eap eap_studentN
           authentication open eap eap_studentN
           authentication network-eap eap_studentN
           authentication network-eap eap_studentN
Ligne 40 : Ligne 39 :
         ...
         ...
         interface Dot11Radio0
         interface Dot11Radio0
           encryption vlan 200+N mode ciphers aes-ccm
           encryption vlan Personnel_N mode ciphers aes-ccm
           ...
           ...
         !
         !
         ...
         ...
         interface Dot11Radio0.200+N
         interface Dot11Radio0.Personnel_N
           encapsulation dot1Q 200+N
           encapsulation dot1Q Personnel_N
           bridge-group 200+N
           bridge-group Personnel_N
         !
         !
         interface GigabitEthernet0.200+N
         interface GigabitEthernet0.Personnel_N
           encapsulation dot1Q 200+N
           encapsulation dot1Q Personnel_N
           bridge-group 200+N
           bridge-group Personnel_N
         !
         !
         ...
         ...

Version actuelle datée du 12 février 2024 à 21:34

Sécurisations

Dans cette dernière section vous devez sécuriser, au sens sécurité contre les instrusions, des mécanismes système ou réseau.

Chiffrement de données

Sur votre machine virtuelle ajoutez une partition de quelques Go. Sécurisez la partition en utilisant l’utilitaire cryptsetup (choisissez le type plain), créez un système de fichiers au dessus de la partition sécurisée (faite un tour dans le répertoire /dev/mapper pour trouver le périphérique correspondant) et montez-le à la main. Ajoutez des données sur ce système de fichiers. Rebootez votre machine virtuelle, tentez à nouveau de lire les données. Essayez d'automatiser le montage de la partition chiffrée.

Sécurisation WiFi par WPA2-EAP

Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant un serveur FreeRadius.

En résumé vous effectuer les actions décrites ci-dessous.

  • Relier les points d'accès, le routeur C9200 et les routeurs ISR4221 par un VLAN privé qui ne doit pas entrer en conflit avec ceux de l'école. Faire que les points d'accès utilisent l'adresse du C9200, sur ce réseau, comme passerelle par défaut.
  • Router, sur le C9200, le réseau IPv4 de votre commutateur virtuel privé vers votre machine virtuelle mandataire.
  • Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
  • Le précédent SSID doit utiliser le VLAN personnel que vous vous êtes créé dans la partie réseau avancée.
  • Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.
  • Implanter un serveur DHCP, pour les adresses d'octet de poids faible 100 à 200 du réseau IPv4 de votre VMAN privé, sur votre ISR4221. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.

Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.

Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour l'élève N :

       ...
       aaa new-model
       aaa authentication login eap_studentN group radius_studentN
       radius-server host <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813 key secret_studentN
       aaa group server radius radius_studentN
         server <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813
       !
       ...
       dot11 ssid VM_SERVICES_N
         vlan Personnel_N
         authentication open eap eap_studentN
         authentication network-eap eap_studentN
         authentication key-management wpa
         mbssid guest-mode
       !
       ...
       interface Dot11Radio0
         encryption vlan Personnel_N mode ciphers aes-ccm
         ...
       !
       ...
       interface Dot11Radio0.Personnel_N
         encapsulation dot1Q Personnel_N
         bridge-group Personnel_N
       !
       interface GigabitEthernet0.Personnel_N 
         encapsulation dot1Q Personnel_N
         bridge-group Personnel_N
       !
       ...