SE5 IdO sécurité des objets 2025/2026 b1
Serveur virtuel (17/09)
Dans un premier temps, on vient créer un serveur virtuel sur capbreton avec la commande xen-create-image --hostname=SE5.vdetrez --dhcp --dir=/usr/local/xen --size=10G --memory=2G --dist=daedalus --bridge=bridgeStudents
Ensuite, sur capbreton dans le dossier /etc/network/interfaces.d on vient créer un fichier g1_vdetrez pour mettre un place une nouvelle interface dans le VLAN 410.
auto Trunk.410
iface Trunk.410 inet manual
vlan-raw-device Trunk
up ip link set $IFACE up
down ip link set $IFACE down
auto g1_vdetrez
iface g1_vdetrez inet manual
bridge_ports Trunk.410
up ip link set $IFACE up
down ip link set $IFACE down
On a maintenant accès à la machine SE5.vdetrez (en ayant évidemment fait l'erreur du mettre "." à la place de "-") et on vient y configurer nos adresses IPv4.
Mon adresse IPv4 routé est la 172.26.145.100 et mon IPv4 dans le VLAN 410 est 172.16.10.0
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 172.26.145.110
netmask 255.255.255.0
gateway 172.26.145.251
# post-up ethtool -K eth0 tx off
auto eth1
iface eth1 inet static
address 172.16.10.0/24
#
# The commented out line above will disable TCP checksumming which
# might resolve problems for some users. It is disabled by default
#
On vérifie avec la commande ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:16:3e:23:74:41 brd ff:ff:ff:ff:ff:ff
inet 172.26.145.110/24 brd 172.26.145.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 2001:660:4401:6050:216:3eff:fe23:7441/64 scope global dynamic mngtmpaddr
valid_lft 853sec preferred_lft 753sec
inet6 2a01:c916:2047:c850:216:3eff:fe23:7441/64 scope global dynamic mngtmpaddr
valid_lft 2591853sec preferred_lft 604653sec
inet6 fe80::216:3eff:fe23:7441/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:16:3e:23:74:42 brd ff:ff:ff:ff:ff:ff
inet 172.16.10.0/24 brd 172.16.10.255 scope global eth1
valid_lft forever preferred_lft forever
inet6 fe80::216:3eff:fe23:7442/64 scope link
valid_lft forever preferred_lft forever
Et on constate que notre serveur à accès à internet avec la commande ping 8.8.8.8
Point d'accès WiFi (29/09)
Pour l'instant, nous mettons de coté ce point du TP car il n'est pas utile pour la suite.
Sécurisation WiFi par WPA2-PSK
Pour communiquer avec le routeur cisco, on branche le port série en USB et on se connecte avec la commande minicom -D /dev/ttyUSB0 -b 9600.La première étape fut la création du ssid SE5-SSID10.
dot11 ssid SE5-SSID10
vlan 410
authentication open
authentication key-management wpa version 2
wpa-psk ascii Cisco2025
exit
Puis on configure l'interface Dot11Radio0
interface dot11radio 0
encryption mode ciphers aes-ccm
ssid SE5-SSID10
station-role root
no shutdown
Après cela, on retourne sur notre serveur virtuel et on y implémente un serveur DHCP pour l'attribution des IP aux machines se connectant sur le routeur.
Puis on implémente un serveur DNS minimal
Et enfin on mets en place une mascarade entre le VLAN 410 et le routeur du réseau des salles de projets pour donner l'accès à internet.