Modèle:SESecurisationsSystemeReseau
Sécurisations
Dans cette dernière section vous devez sécuriser, au sens sécurité contre les instrusions, des mécanismes système ou réseau.
Chiffrement de données
Sur votre machine virtuelle ajoutez une partition de quelques Go. Sécurisez la partition en utilisant l’utilitaire cryptsetup
(choisissez le type plain
), créez un système de fichiers au dessus de la partition sécurisée (faite un tour dans le répertoire /dev/mapper
pour trouver le périphérique correspondant) et montez-le à la main. Ajoutez des données sur ce système de fichiers. Rebootez votre machine virtuelle, tentez à nouveau de lire les données. Essayez d'automatiser le montage de la partition chiffrée.
Sécurisation WiFi par WPA2-EAP
Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant un serveur FreeRadius
.
En résumé vous effectuer les actions décrites ci-dessous.
- Ajouter un VLAN par élève de numéro
200+N
sur votre réseau de promotion,N
étant votre numéro de cahier dans le TP. Associez à votre VLAN le réseau IPv410.0.200+N.0/24
et routez ce réseau. - Relier le routeur de promotion avec
capbreton
par une liaison Trunk. - Configurer une interface pour votre VLAN sur
capbreton
dans le fichier adapté du répertoire/etc/network/interfaces.d
. Il faut aussi créer un commutateur virtuel avec comme port initial l'interface VLAN juste créée. Vous pouvez enfin ajouter une interface à votre machine de services donnant sur votre VLAN, n'oubliez pas de la configurer avec une adresse IPv4. - Ajouter à la configuration du point d’accès WiFi un SSID, de même nom que votre machine de services, protégé par la méthode WPA2-EAP. Des exemples de configurations pour point d'accès WiFi sont donnés dans la suite de la section.
- Configurer, sur votre machine de services, un serveur FreeRadius en PEAP-MSCHAPv2, autoriser le point d'accès WiFi à utiliser le serveur d'identification et créer un utilisateur.
- Implanter un serveur DHCP, pour les adresses d'octet de poids faible
100
à200
de votre réseau IP, sur le routeur principal de promotion. Donner l'adresse de votre machine de services comme routeur par défaut et comme serveur DNS. - Implanter une mascarade sur votre machine de services pour toutes les machines de votre VLAN via votre machine mandataire
Vous pouvez tester la visibilité de votre SSID, l'identification WiFi, le serveur DHCP et enfin l'accès à Internet en utilisant votre téléphone portable ou la carte WiFi des Zabeth.
Exemple de configuration d'un point d'accès WiFi Cisco sous IOS pour l'élève N
:
... aaa new-model aaa authentication login eap_studentN group radius_studentN radius-server host <ip_VM_SERVICES_N> auth-port 1812 acct-port 1813 key secret_studentN aaa group server radius radius_studentN server <ip_VM_SERVICES_N> auth-port 1812 acct-port 1813 ! ... dot11 ssid VM_SERVICES_N vlan 200+N authentication open eap eap_studentN authentication network-eap eap_studentN authentication key-management wpa mbssid guest-mode ! ... interface Dot11Radio0 encryption vlan 200+N mode ciphers aes-ccm ... ! ... interface Dot11Radio0.200+N encapsulation dot1Q 200+N bridge-group 200+N ! interface GigabitEthernet0.200+N encapsulation dot1Q 200+N bridge-group 200+N ! ...