« SE5 IdO sécurité des objets » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
Ligne 23 : Ligne 23 :
En résumé vous effectuer les actions décrites ci-dessous.
En résumé vous effectuer les actions décrites ci-dessous.
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre serveur virtuel, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre serveur virtuel, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
* Le précédent SSID doit utiliser le VLAN <code>X</code>personnel que vous vous êtes créé dans la partie réseau avancée.
* Le précédent SSID doit utiliser le VLAN <code>X</code> configuré sur votre serveur virtuel.
* Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.  
* Configurer, sur votre serveur virtuel, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.  
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VMAN privé, sur votre ISR4221. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VLAN privé, sur votre serveur virtuel. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.
* Implanter un serveur DNS minimal sur votre serveur virtuel.
* Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.


Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.

Version du 3 septembre 2024 à 13:52

Introduction

L'objectif de ce module est de tester la sécurité des objets connectés (WiFi, LoRa), voire de craquer certains objets.

Infrastructure WiFi

Serveur virtuel

Créez un serveur virtuel sur capbreton par binôme. Préfixez le nom du serveur par SE5_. Le serveur doit avoir une unique interface dans le commutateur virtuel bridgeStudents.

Prenez une adresse IPv4 à partir de 172.26.145.100 et utilisez, comme routeur, l'adresse IPv4 172.26.145.251. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.

Par la suite ajoutez à votre serveur une adresse d'un sous-réseau IPv4 172.16.X.0/24 sur un VLAN X de l'interface principale eth0 ou enX0. Bien entendu X est différent d'un binôme à l'autre (et X>1).

Point d'accès WiFi

Installez un point d'accès WiFi Cisco sur le réseau des machines de projet. Ce point d'accès a donc une adresse d'administration en 172.26.145.Y.

Sécurisation WiFi par WPA2-EAP

Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant un serveur FreeRadius.

En résumé vous effectuer les actions décrites ci-dessous.

  • Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre serveur virtuel, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
  • Le précédent SSID doit utiliser le VLAN X configuré sur votre serveur virtuel.
  • Configurer, sur votre serveur virtuel, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.
  • Implanter un serveur DHCP, pour les adresses d'octet de poids faible 100 à 200 du réseau IPv4 de votre VLAN privé, sur votre serveur virtuel. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.
  • Implanter un serveur DNS minimal sur votre serveur virtuel.
  • Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.

Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.

Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour l'élève N :

       ...
       aaa new-model
       aaa authentication login eap_studentN group radius_studentN
       radius-server host <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813 key secret_studentN
       aaa group server radius radius_studentN
         server <IPv4_VM_SERVICES_N> auth-port 1812 acct-port 1813
       !
       ...
       dot11 ssid VM_SERVICES_N
         vlan Personnel_N
         authentication open eap eap_studentN
         authentication network-eap eap_studentN
         authentication key-management wpa
         mbssid guest-mode
       !
       ...
       interface Dot11Radio0
         encryption vlan Personnel_N mode ciphers aes-ccm
         ...
       !
       ...
       interface Dot11Radio0.Personnel_N
         encapsulation dot1Q Personnel_N
         bridge-group Personnel_N
       !
       interface GigabitEthernet0.Personnel_N 
         encapsulation dot1Q Personnel_N
         bridge-group Personnel_N
       !
       ...

Infrastructure LoRa

Construction et connexion d'objets

Etude et intrusion dans des objets existants