SE5 IdO sécurité des objets 2025/2026 b4

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche

Projet Infrastructure Réseau 2025/2026

Partie 1 : Serveur virtuel (SE5-azongo)

Objectif

Créer un serveur virtuel sur l’hyperviseur capbreton, nommé SE5-azongo, et le configurer pour :

  • être relié au commutateur virtuel bridgeStudents ;
  • utiliser une IPv4 statique dans 172.26.145.0/24 avec comme passerelle 172.26.145.251 ;
  • ajouter une seconde interface dans le VLAN privé 404 (réseau 172.16.4.0/24).

Étapes réalisées

1) Création de la VM sur capbreton

xen-create-image --hostname=SE5-azongo \
                 --dhcp \
                 --bridge=bridgeStudent \
                 --dir=/usr/local/xen \
                 --size=10GB \
                 --dist=daedalus \
                 --memory=1024M

Remarque : la commande de création a utilisé bridgeStudent. Plus bas, l’interface est référencée en bridgeStudents côté VM – adapter selon le nom exact sur l’hyperviseur.

2) Configuration réseau principale (eth0) dans la VM

Fichier /etc/network/interfaces : 

# Boucle locale
auto lo
iface lo inet loopback

# Interface principale (bridgeStudents)
auto eth0
iface eth0 inet static
    address 172.26.145.104
    netmask 255.255.255.0
    gateway 172.26.145.251
    dns-nameservers 8.8.8.8 1.1.1.1

Vérifications : 

# Affichage des interfaces
ip a

# Extrait attendu
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    inet 172.26.145.104/24 brd 172.26.145.255 scope global eth0

# Test de connectivité Internet
ping 8.8.8.8
# Résultat
64 bytes from 8.8.8.8: icmp_seq=1 ttl=113 time=5.53 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss

3) Préparation du VLAN 404 sur l’hyperviseur (capbreton)

Configuration réseau de l’hyperviseur (extrait) : 

# VLAN 404 pour le binôme Azongo
auto Trunk.404
iface Trunk.404 inet manual
    vlan-raw-device Trunk
    up ip link set $IFACE up
    down ip link set $IFACE down

auto g5_azongo
iface g5_azongo inet manual
    bridge_ports Trunk.404
    up ip link set $IFACE up
    down ip link set $IFACE down

4) Ajout d’une 2e interface à la VM (pontée sur le VLAN 404)

Fichier de configuration Xen de la VM (extrait) : 

# Networking
dhcp = 'dhcp'
vif  = [
    'mac=00:16:3E:A7:A6:FB,bridge=bridgeStudents',
    'mac=00:16:3E:A7:A6:FC,bridge=g5_azongo'
]

Redémarrage de la VM, puis configuration de eth1.

5) Configuration de l’interface VLAN (eth1) dans la VM

Fichier /etc/network/interfaces (ajout) : 

# VLAN 404
auto eth1
iface eth1 inet static
    address 172.16.4.0
    netmask 255.255.255.0

Vérifications : 

# Affichage des interfaces
ip a

# Extrait attendu
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    inet 172.16.4.0/24 brd 172.16.4.255 scope global eth1

# Test de connectivité interne (réseau VLAN)
ping 172.16.4.0
# Résultat
64 bytes from 172.16.4.0: icmp_seq=1 ttl=64 time=0.027 ms
--- 172.16.4.0 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss


État actuel

Élément Statut Détails
Création de la VM VM SE5-azongo créée sur capbreton
Interface principale Pont bridgeStudents, IPv4 172.26.145.104/24
Accès Internet Ping 8.8.8.8 concluant (0% perte)
VLAN 404 (hyperviseur) Interfaces Trunk.404 et pont g5_azongo opérationnels
Interface eth1 (VM) IPv4 172.16.4.0/24 configurée
Connectivité VLAN Ping local concluant

Historique (preuves & commandes saisies)

xen-create-image --hostname=SE5-azongo --dhcp --bridge=bridgeStudent --dir=/usr/local/xen --size=10GB --dist=daedalus --memory=1024M
ip a
ping 8.8.8.8
ping 172.16.4.0

Sorties observées (extraits) : 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 ...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ...
    inet 172.26.145.104/24 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ...
    inet 172.16.4.0/24 scope global eth1

Étapes suivantes (cadrage du sujet)

  • Point d’accès WiFi Cisco sur port de commutateur en trunk ; IP d’admin dans le VLAN 50 (172.26.145.Y).
  • DHCP pour les clients WiFi (plage .100 à .200 du réseau 172.16.4.0/24 ; routeur et DNS = machine mandataire).
  • DNS forwarder minimal sur la VM.
  • Mascarade/NAT entre VLAN privé et routeur des salles.
  • Redirections (DNS ou TCP) pour interception de flux.
  • Serveur HTTPS (Apache ou équivalent).
  • VM Android (QEMU/KVM) pour gestion des certificats et tests HTTPS.

Conclusion

La VM SE5-azongo est opérationnelle avec :

  • une interface principale routée vers Internet via 172.26.145.251 ;
  • une seconde interface dans le VLAN 404 (réseau 172.16.4.0/24) ;
  • des tests de connectivité réussis.

Cette base servira à implémenter la sécurisation WiFi (WPA2-PSK), DHCP, DNS, NAT et les redirections dans les prochaines étapes.

Récupérée de « http:///mediawiki/index.php?title=SE5_IdO_sécurité_des_objets_2025/2026_b4&oldid=10475 »