« Modèle:SESecurisationsSystemeReseau » : différence entre les versions
Aller à la navigation
Aller à la recherche
| Ligne 12 : | Ligne 12 : | ||
En résumé vous effectuer les actions décrites ci-dessous. | En résumé vous effectuer les actions décrites ci-dessous. | ||
* | * Faire que les points d'accès utilisent une adresse virtuelle VRRP des C9200 sur le VLAN1 comme passerelle par défaut. | ||
* Router, sur | * Faire que les routeurs centraux routent votre VLAN personnel. | ||
* Router, sur les C9200 centraux, le réseau IPv4 de votre commutateur virtuel privé vers votre machine virtuelle mandataire. | |||
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section. | * Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section. | ||
* Le précédent SSID doit utiliser le VLAN personnel que vous vous êtes créé dans la partie réseau avancée. | * Le précédent SSID doit utiliser le VLAN personnel que vous vous êtes créé dans la partie réseau avancée. | ||
* Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur. | * Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur. | ||
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre | * Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VLAN privé, sur votre machine virtuelle. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS. | ||
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth. | Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth. | ||
Version du 3 février 2026 à 14:39
Sécurisations
Dans cette dernière section vous devez sécuriser, au sens sécurité contre les instrusions, des mécanismes système ou réseau.
Chiffrement de données
Sur votre machine virtuelle ajoutez une partition de quelques Go. Sécurisez la partition en utilisant l’utilitaire cryptsetup (choisissez le type plain), créez un système de fichiers au dessus de la partition sécurisée (faite un tour dans le répertoire /dev/mapper pour trouver le périphérique correspondant) et montez-le à la main. Ajoutez des données sur ce système de fichiers. Rebootez votre machine virtuelle, tentez à nouveau de lire les données. Essayez d'automatiser le montage de la partition chiffrée.
Sécurisation WiFi par WPA2-EAP
Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant un serveur FreeRadius.
En résumé vous effectuer les actions décrites ci-dessous.
- Faire que les points d'accès utilisent une adresse virtuelle VRRP des C9200 sur le VLAN1 comme passerelle par défaut.
- Faire que les routeurs centraux routent votre VLAN personnel.
- Router, sur les C9200 centraux, le réseau IPv4 de votre commutateur virtuel privé vers votre machine virtuelle mandataire.
- Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
- Le précédent SSID doit utiliser le VLAN personnel que vous vous êtes créé dans la partie réseau avancée.
- Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.
- Implanter un serveur DHCP, pour les adresses d'octet de poids faible
100à200du réseau IPv4 de votre VLAN privé, sur votre machine virtuelle. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.
Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour l'élève N :
...
aaa new-model
aaa authentication login eap_studentN group radius_studentN
radius-server host <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813 key secret_studentN
aaa group server radius radius_studentN
server <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813
!
...
dot11 ssid VM_SERVICES_N
vlan Personnel_N
authentication open eap eap_studentN
authentication network-eap eap_studentN
authentication key-management wpa
mbssid guest-mode
!
...
interface Dot11Radio0
encryption vlan Personnel_N mode ciphers aes-ccm
...
!
...
interface Dot11Radio0.Personnel_N
encapsulation dot1Q Personnel_N
bridge-group Personnel_N
!
interface GigabitEthernet0.Personnel_N
encapsulation dot1Q Personnel_N
bridge-group Personnel_N
!
...