6  Réalisations

Dans cette dernière section vous devez réaliser des infrastructures réseau.

6.1  Sécurisation de données

Pour votre serveur Xen créez trois partitions LVM de 1Go avec des noms liés à celui de votre serveur. Ajoutez ces partitions à la définition de votre machine virtuelle, relancez la et créez un RAID5 logiciel avec les trois partitions obtenues (utilisez le paquetage mdadm). Copiez des données sur le RAID5, arrêtez la machine virtuelle, retirez lui une des trois partitions, relancez la. Essayez de remonter votre RAID5, que constatez-vous ?

6.2  Chiffrement de données

Sur votre eeePC installez les paquetages lvm2 et cryptsetup. Faites en sorte de créer une unique partition sur la carte SD de l’eeePC. Sécurisez la partition en utilisant l’utilitaire cryptsetup, créez un système de fichier au dessus de la partition sécurisée (faite un tour dans /dev/mapper pour trouver le périphérique correspondant) et montez le. Ajoutez des données sur ce système de fichiers, démontez-le, échangez votre carte SD avec celle d’un autre binôme et tentez de lire le contenu.

6.3  Inspection ARP par un élément réseau

Isolez des machines sensibles pour éviter une attaque de type "homme au milieu" par usurpation ARP. L’idée est de configurer des ports d’un élément de sécurité Cisco (ASA 5506) en mode commutateur et d’activer l’inspection ARP entre les ports commutés. Vérifiez la bonne configuration en répétant l’attaque. Lisez les fichiers de contrôle pour vous assurer que l’attaque a été repérée.

6.4  Sécurisation WiFi par WPA2-EAP

Le but est de faire en sorte que l’accès à la borne WiFi soit controlé par WPA2-EAP. L’identification va se faire en utilisant le même serveur FreeRadius que pour la sécurisation filaire. En résumé vous devez :

• Configurer le serveur FreeRadius en PEAP-MSCHAPv2 et créer un compte pour chaque eeePC. Pour TLS, vous pouvez utiliser le certificat par défaut présent dans le répertoire /etc/freeradius/certs/.
• Ajouter à la configuration du point d’accès WiFi un SSID protégé par la méthode WPA2-EAP. Cela implique d’utiliser un nouveau VLAN donc un nouveau réseau IP à router par votre routeur de site. Ne pas oublier de configurer le serveur virtuel Xen comme serveur d’identification.
  • Un exemple de configuration IOS est donné :

    aaa new-model
    aaa authentication login eap_group1 group radius_group1
    radius-server host <ip_group1> auth-port 1812 acct-port 1813 key secret_group1
    aaa group server radius radius_group1
      server <ip_group1> auth-port 1812 acct-port 1813
    !
    aaa authentication login eap_group2 group radius_group2
    radius-server host <ip_group2> auth-port 1812 acct-port 1813 key secret_group2
    aaa group server radius radius_group2
      server <ip_group2> auth-port 1812 acct-port 1813
    !
    ...
    dot11 ssid SSID_GROUP1
      vlan 101
      authentication open eap eap_group1
      authentication network-eap eap_group1
      authentication key-management wpa
    !
    dot11 ssid SSID_GROUP2
      vlan 102
      authentication open eap eap_group2
      authentication network-eap eap_group2
      authentication key-management wpa
    !
    ...
    interface Dot11Radio0
      encryption vlan 101 mode ciphers aes-ccm tkip
      encryption vlan 102 mode ciphers aes-ccm tkip
      ...
    !
    ...
    

  • Un exemple de configuration WLC est donné :

    (Cisco Controller) config sysname WLC1
    (Cisco Controller) config prompt WLC1
    (WLC1) config interface create vlang1 101
    (WLC1) config interface port vlang1 1
    (WLC1) config interface address dynamic-interface vlang1 10.60.1.10 255.255.255.0 10.60.1.1
    (WLC1) config wlan create 1 "SSID G1" SSID_G1 
    (WLC1) config wlan interface 1 vlang1
    (WLC1) show wlan summary
    (WLC1) config radius auth add 1 193.48.57.164 1812 ascii <secret_group1>
    (WLC1) config wlan radius_server auth add 1 1
    (WLC1) config wlan aaa-override enable 1
    (WLC1) config wlan security wpa enable 1
    (WLC1) config wlan security wpa wpa2 enable 1
    (WLC1) config wlan security wpa wpa1 disable 1
    (WLC1) config wlan security wpa wpa2 ciphers aes enable 1
    (WLC1) config wlan security wpa wpa2 ciphers tkip disable 1
    (WLC1) config wlan security wpa akm 802.1x enable 1
    (WLC1) config wlan broadcast-ssid enable 1
    (WLC1) config wlan enable 1
    (WLC1) save config
    

• Implanter une fonction de serveur DHCP pour votre VLAN sur vos routeurs. Attention, il faut prévoir des plages d’adresses différentes pour les deux routeurs.
• Implanter une mascarade sur les routeurs pour que les clients WiFi de votre VLAN puisse accèder à Internet.
• Modifier le fichier /etc/network/interfaces de votre eeePC pour se connecter sur votre SSID par un simple ifup wlan0. Les mots-clefs wpa-ssid, wpa-key-mgmt, wpa-identity et wpa-password. vous seront d’un grand secours.