SE5 IdO sécurité des objets 2025/2026 b4

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche

Projet Infrastructure Réseau 2025/2026

Partie 1 : Serveur virtuel (SE5-azongo)

Objectif

Créer un serveur virtuel sur l’hyperviseur capbreton, nommé SE5-azongo, et le configurer pour :

  • être relié au commutateur virtuel bridgeStudents ;
  • utiliser une IPv4 statique dans 172.26.145.0/24 avec comme passerelle 172.26.145.251 ;
  • ajouter une seconde interface dans le VLAN privé 404 (réseau 172.16.4.0/24).

Étapes réalisées

1) Création de la VM sur capbreton

xen-create-image --hostname=SE5-azongo \
                 --dhcp \
                 --bridge=bridgeStudent \
                 --dir=/usr/local/xen \
                 --size=10GB \
                 --dist=daedalus \
                 --memory=1024M

Remarque : la commande de création a utilisé bridgeStudent. Plus bas, l’interface est référencée en bridgeStudents côté VM – adapter selon le nom exact sur l’hyperviseur.

2) Configuration réseau principale (eth0) dans la VM

Fichier /etc/network/interfaces : 

# Boucle locale
auto lo
iface lo inet loopback

# Interface principale (bridgeStudents)
auto eth0
iface eth0 inet static
    address 172.26.145.104
    netmask 255.255.255.0
    gateway 172.26.145.251
    dns-nameservers 8.8.8.8 1.1.1.1

Vérifications : 

# Affichage des interfaces
ip a

# Extrait attendu
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    inet 172.26.145.104/24 brd 172.26.145.255 scope global eth0

# Test de connectivité Internet
ping 8.8.8.8
# Résultat
64 bytes from 8.8.8.8: icmp_seq=1 ttl=113 time=5.53 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss

3) Préparation du VLAN 404 sur l’hyperviseur (capbreton)

Configuration réseau de l’hyperviseur (extrait) : 

# VLAN 404 pour le binôme Azongo
auto Trunk.404
iface Trunk.404 inet manual
    vlan-raw-device Trunk
    up ip link set $IFACE up
    down ip link set $IFACE down

auto g5_azongo
iface g5_azongo inet manual
    bridge_ports Trunk.404
    up ip link set $IFACE up
    down ip link set $IFACE down

4) Ajout d’une 2e interface à la VM (pontée sur le VLAN 404)

Fichier de configuration Xen de la VM (extrait) : 

# Networking
dhcp = 'dhcp'
vif  = [
    'mac=00:16:3E:A7:A6:FB,bridge=bridgeStudents',
    'mac=00:16:3E:A7:A6:FC,bridge=g5_azongo'
]

Redémarrage de la VM, puis configuration de eth1.

5) Configuration de l’interface VLAN (eth1) dans la VM

Fichier /etc/network/interfaces (ajout) : 

# VLAN 404
auto eth1
iface eth1 inet static
    address 172.16.4.0
    netmask 255.255.255.0

Vérifications : 

# Affichage des interfaces
ip a

# Extrait attendu
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    inet 172.16.4.0/24 brd 172.16.4.255 scope global eth1

# Test de connectivité interne (réseau VLAN)
ping 172.16.4.0
# Résultat
64 bytes from 172.16.4.0: icmp_seq=1 ttl=64 time=0.027 ms
--- 172.16.4.0 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss

Note : l’adresse 172.16.4.0/24 est traditionnellement l’adresse de réseau. Selon les politiques locales, il peut être préférable d’utiliser une IP d’hôte (ex. 172.16.4.1) pour éviter toute ambiguïté. Ici, la configuration documente l’état réel constaté.

État actuel

Élément Statut Détails
Création de la VM VM SE5-azongo créée sur capbreton
Interface principale Pont bridgeStudents, IPv4 172.26.145.104/24
Accès Internet Ping 8.8.8.8 concluant (0% perte)
VLAN 404 (hyperviseur) Interfaces Trunk.404 et pont g5_azongo opérationnels
Interface eth1 (VM) IPv4 172.16.4.0/24 configurée
Connectivité VLAN Ping local concluant

Historique (preuves & commandes saisies)

xen-create-image --hostname=SE5-azongo --dhcp --bridge=bridgeStudent --dir=/usr/local/xen --size=10GB --dist=daedalus --memory=1024M
ip a
ping 8.8.8.8
ping 172.16.4.0

Sorties observées (extraits) : 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 ...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ...
    inet 172.26.145.104/24 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ...
    inet 172.16.4.0/24 scope global eth1

Étapes suivantes (cadrage du sujet)

  • Point d’accès WiFi Cisco sur port de commutateur en trunk ; IP d’admin dans le VLAN 50 (172.26.145.Y).
  • DHCP pour les clients WiFi (plage .100 à .200 du réseau 172.16.4.0/24 ; routeur et DNS = machine mandataire).
  • DNS forwarder minimal sur la VM.
  • Mascarade/NAT entre VLAN privé et routeur des salles.
  • Redirections (DNS ou TCP) pour interception de flux.
  • Serveur HTTPS (Apache ou équivalent).
  • VM Android (QEMU/KVM) pour gestion des certificats et tests HTTPS.

Conclusion

La VM SE5-azongo est opérationnelle avec :

  • une interface principale routée vers Internet via 172.26.145.251 ;
  • une seconde interface dans le VLAN 404 (réseau 172.16.4.0/24) ;
  • des tests de connectivité réussis.

Cette base servira à implémenter la sécurisation WiFi (WPA2-PSK), DHCP, DNS, NAT et les redirections dans les prochaines étapes.

Récupérée de « http:///mediawiki/index.php?title=SE5_IdO_sécurité_des_objets_2025/2026_b4&oldid=10474 »