SE5 IdO sécurité des objets 2025/2026 b4

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche

Projet Infrastructure Réseau 2025/2026

Partie 1 : Serveur virtuel (SE5-azongo)

Objectif

Créer un serveur virtuel sur l’hyperviseur capbreton, nommé SE5-azongo, et le configurer pour :

  • être relié au commutateur virtuel bridgeStudents ;
  • utiliser une IPv4 statique dans 172.26.145.0/24 avec comme passerelle 172.26.145.251 ;
  • ajouter une seconde interface dans le VLAN privé 404 (réseau 172.16.4.0/24).

Étapes réalisées

1) Création de la VM sur capbreton

xen-create-image --hostname=SE5-azongo \
                 --dhcp \
                 --bridge=bridgeStudent \
                 --dir=/usr/local/xen \
                 --size=10GB \
                 --dist=daedalus \
                 --memory=1024M

Remarque : la commande de création a utilisé bridgeStudent. Plus bas, l’interface est référencée en bridgeStudents côté VM – adapter selon le nom exact sur l’hyperviseur.

2) Configuration réseau principale (eth0) dans la VM

Fichier /etc/network/interfaces : 

# Boucle locale
auto lo
iface lo inet loopback

# Interface principale (bridgeStudents)
auto eth0
iface eth0 inet static
    address 172.26.145.104
    netmask 255.255.255.0
    gateway 172.26.145.251
    dns-nameservers 8.8.8.8 1.1.1.1

Vérifications : 

# Affichage des interfaces
ip a

# Extrait attendu
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    inet 172.26.145.104/24 brd 172.26.145.255 scope global eth0

# Test de connectivité Internet
ping 8.8.8.8
# Résultat
64 bytes from 8.8.8.8: icmp_seq=1 ttl=113 time=5.53 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss

3) Préparation du VLAN 404 sur l’hyperviseur (capbreton)

Configuration réseau de l’hyperviseur (extrait) : 

# VLAN 404 pour le binôme Azongo
auto Trunk.404
iface Trunk.404 inet manual
    vlan-raw-device Trunk
    up ip link set $IFACE up
    down ip link set $IFACE down

auto g5_azongo
iface g5_azongo inet manual
    bridge_ports Trunk.404
    up ip link set $IFACE up
    down ip link set $IFACE down

4) Ajout d’une 2e interface à la VM (pontée sur le VLAN 404)

Fichier de configuration Xen de la VM (extrait) : 

# Networking
dhcp = 'dhcp'
vif  = [
    'mac=00:16:3E:A7:A6:FB,bridge=bridgeStudents',
    'mac=00:16:3E:A7:A6:FC,bridge=g5_azongo'
]

Redémarrage de la VM, puis configuration de eth1.

5) Configuration de l’interface VLAN (eth1) dans la VM

Fichier /etc/network/interfaces (ajout) : 

# VLAN 404
auto eth1
iface eth1 inet static
    address 172.16.4.0
    netmask 255.255.255.0

Vérifications : 

# Affichage des interfaces
ip a

# Extrait attendu
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    inet 172.16.4.0/24 brd 172.16.4.255 scope global eth1

# Test de connectivité interne (réseau VLAN)
ping 172.16.4.0
# Résultat
64 bytes from 172.16.4.0: icmp_seq=1 ttl=64 time=0.027 ms
--- 172.16.4.0 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss


État actuel

Élément Statut Détails
Création de la VM VM SE5-azongo créée sur capbreton
Interface principale Pont bridgeStudents, IPv4 172.26.145.104/24
Accès Internet Ping 8.8.8.8 concluant (0% perte)
VLAN 404 (hyperviseur) Interfaces Trunk.404 et pont g5_azongo opérationnels
Interface eth1 (VM) IPv4 172.16.4.0/24 configurée
Connectivité VLAN Ping local concluant

Partie 2 : Sécurisation WiFi (WPA2-PSK)

Accès console du point d’accès Cisco

Connexion au point d’accès via la console série depuis la machine hôte (où l’AP est branché), en utilisant minicom. But : accéder au mode EXEC privilégié pour configurer le WiFi (SSID, chiffrement, VLAN).

Résumé opérationnel : ouverture de la session console, passage en mode configuration globale, puis configuration du SSID et des interfaces radio/802.1Q.

Création du SSID et association au VLAN 404

Configuration réalisée sur l’AP (console) : 

dot11 ssid SE5-azongo
  vlan 404
  authentication open
  authentication key-management wpa
  wpa-psk ascii 0 "VOTRE_CLE_PSK_ICI"
  mbssid guest-mode
exit

interface Dot11Radio1
  encryption vlan 404 mode ciphers aes-ccm
  ssid SE5-azongo
  mbssid
  no shutdown
exit

interface Dot11Radio1.404
  encapsulation dot1Q 404
  bridge-group 4
exit

interface GigabitEthernet0.404
  encapsulation dot1Q 404
  bridge-group 4
exit


Vérification sur l’AP

Commande exécutée : show dot11 bssid Sortie observée : 

Interface       BSSID           Guest  SSID
Dot11Radio1   04da.d2d1.4bf0    Yes   SE5-azongo
Dot11Radio1   04da.d2d1.4bf1    Yes   SE5-crhanim
Dot11Radio1   04da.d2d1.4bf2    Yes   SE5-handrian

Interprétation : le SSID SE5-azongo est bien diffusé (MBSSID / guest-mode activé) sur l’interface Dot11Radio1 et associé au BSSID indiqué.

DHCP côté VM (VLAN 404)

Objectif : attribuer automatiquement des adresses aux clients WiFi du VLAN 404, avec routeur/DNS pointant vers la VM.

1) Installation du service : 

apt install isc-dhcp-server

2) Déclarer l’interface à servir (eth1) dans /etc/default/isc-dhcp-server : 

INTERFACESv4="eth1"

3) Activer le routage IPv4 sur la VM (fichier /etc/sysctl.conf) : 

net.ipv4.ip_forward=1

4) Configuration DHCP (fichier /etc/dhcp/dhcpd.conf) : 

subnet 172.16.4.0 netmask 255.255.255.0 {
  range 172.16.4.100 172.16.4.200;
  option routers 172.16.4.1;
  option domain-name-servers 172.16.4.1;
}


Récupérée de « http:///mediawiki/index.php?title=SE5_IdO_sécurité_des_objets_2025/2026_b4&oldid=10477 »