« SE5 IdO sécurité des objets 2025/2026 » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
(Page créée avec « = Infrastructure WiFi pour 2024/2025 = == Serveur virtuel == Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code>SE5_</code>. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>. Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour f... »)
 
Aucun résumé des modifications
Ligne 1 : Ligne 1 :
= Infrastructure WiFi pour 2024/2025 =
= Infrastructure réseau pour 2025/2026 =


== Serveur virtuel ==
== Serveur virtuel ==


Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code>SE5_</code>. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>.
Créez un serveur virtuel sur <code>capbreton</code> par binôme. Préfixez le nom du serveur par <code>SE5-</code>. Le serveur doit avoir une unique interface dans le commutateur virtuel <code>bridgeStudents</code>.


Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.
Prenez une adresse IPv4 à partir de <code>172.26.145.100</code> et utilisez, comme routeur, l'adresse IPv4 <code>172.26.145.251</code>. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.
Ligne 13 : Ligne 13 :
Installez un point d'accès WiFi Cisco sur le réseau des machines de projet. Ce point d'accès a donc une adresse d'administration en <code>172.26.145.Y</code>.
Installez un point d'accès WiFi Cisco sur le réseau des machines de projet. Ce point d'accès a donc une adresse d'administration en <code>172.26.145.Y</code>.


== Sécurisation WiFi par WPA2-EAP ==
== Sécurisation WiFi par WPA2-WPA ==


Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant un serveur <code>FreeRadius</code>.
Créez un SSID associé à votre VLAN et configuré pour une identification par WPA2-EAP.


En résumé vous effectuer les actions décrites ci-dessous.
De plus implantez les services suivant sur votre serveur virtuel :
* Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre serveur virtuel, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
* configuration par DHCP pour les clients WiFi, utilisez les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VLAN privé. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS ;
* Le précédent SSID doit utiliser le VLAN <code>X</code> configuré sur votre serveur virtuel.
* Implanter un serveur DNS minimal sur votre serveur virtuel (DNS transitaire ou DNS forwarder en patoi) ;
* Configurer, sur votre serveur virtuel, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.
* Implanter un serveur DHCP, pour les adresses d'octet de poids faible <code>100</code> à <code>200</code> du réseau IPv4 de votre VLAN privé, sur votre serveur virtuel. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS.
* Implanter un serveur DNS minimal sur votre serveur virtuel.
* Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.
* Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.


Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.


Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour le binôme de VLAN <code>X</code> :
== Déroutage de flux ==
        ...
        aaa new-model
        aaa authentication login eap_binome_X group radius_binome_X
        radius-server host <IPv4_VM_binome_X> auth-port 1812 acct-port 1813 key secret_binome_X
        aaa group server radius radius_binome_X
          server <IPv4_VM_binome_X> auth-port 1812 acct-port 1813
        !
        ...
        dot11 ssid VM_binome_X
          vlan 400+X
          authentication open eap eap_binome_X
          authentication network-eap eap_binome_X
          authentication key-management wpa
          mbssid guest-mode
        !
        ...
        interface Dot11Radio0
          encryption vlan 400+X mode ciphers aes-ccm
          ...
        !
        ...
        interface Dot11Radio0.X
          encapsulation dot1Q 400+X
          bridge-group X
        !
        interface GigabitEthernet0.X
          encapsulation dot1Q 400+X
          bridge-group X
        !
        ...


= Infrastructure LoRa pour 2025/2026 =
= Infrastructure LoRa pour 2025/2026 =


Non utilisé.
Non utilisé.
= Autres outils =
== Serveur apache sécurisé ==
== Machine virtuelle android ==


= Répartition des binômes pour le module de sécurité des objets =
= Répartition des binômes pour le module de sécurité des objets =

Version du 9 septembre 2025 à 11:04

Infrastructure réseau pour 2025/2026

Serveur virtuel

Créez un serveur virtuel sur capbreton par binôme. Préfixez le nom du serveur par SE5-. Le serveur doit avoir une unique interface dans le commutateur virtuel bridgeStudents.

Prenez une adresse IPv4 à partir de 172.26.145.100 et utilisez, comme routeur, l'adresse IPv4 172.26.145.251. Le routeur à cette adresse est configuré pour faire passer vos machines par un dispositif de type mascarade.

Par la suite ajoutez à votre serveur une interface dans le VLAN 400+X numérotée dans le sous-réseau IPv4 172.16.X.0/24. Bien entendu X est différent d'un binôme à l'autre (et X>1).

Point d'accès WiFi

Installez un point d'accès WiFi Cisco sur le réseau des machines de projet. Ce point d'accès a donc une adresse d'administration en 172.26.145.Y.

Sécurisation WiFi par WPA2-WPA

Créez un SSID associé à votre VLAN et configuré pour une identification par WPA2-EAP.

De plus implantez les services suivant sur votre serveur virtuel :

  • configuration par DHCP pour les clients WiFi, utilisez les adresses d'octet de poids faible 100 à 200 du réseau IPv4 de votre VLAN privé. Donner l'adresse de votre machine mandataire comme routeur par défaut et comme serveur DNS ;
  • Implanter un serveur DNS minimal sur votre serveur virtuel (DNS transitaire ou DNS forwarder en patoi) ;
  • Implanter une mascarade sur votre serveur virtuel entre votre VLAN privé et le routeur du réseau des salles de projets.

Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des zabeth.

Déroutage de flux

Infrastructure LoRa pour 2025/2026

Non utilisé.

Autres outils

Serveur apache sécurisé

Machine virtuelle android

Répartition des binômes pour le module de sécurité des objets

Donnez les élèves dans chaque binôme.

Binôme Elèves Nom du serveur virtuel N° du VLAN
Cahier b1 Prénom Nom & Prénom Nom SE5-serveur
Cahier b2 Prénom Nom & Prénom Nom SE5-serveur
Cahier b3 Prénom Nom & Prénom Nom SE5-serveur
Cahier b4 Prénom Nom & Prénom Nom SE5-serveur
Cahier b5 Prénom Nom & Prénom Nom SE5-serveur
Récupérée de « http:///mediawiki/index.php?title=SE5_IdO_sécurité_des_objets_2025/2026&oldid=10398 »