Sécurité : the bright side

5 Sécurité : the bright side

Dans cette section, vous devez sécuriser des données et des accès réseaux (Wifi principalement).

5.1 Sécurisation de données

Pour votre serveur Xen créez trois partitions LVM de 1Go avec des noms liés à celui de votre serveur. Ajoutez ces partitions à la définition de votre machine virtuelle, relancez la et créez un RAID5 logiciel avec les trois partitions obtenues (utilisez le paquetage mdadm). Copiez des données sur le RAID5, arrêtez la machine virtuelle, retirez lui une des trois partitions, relancez la. Essayez de remonter votre RAID5, que constatez-vous ?

5.2 Cryptage de données

Sur votre eeePC installez les paquetages lvm2 et cryptsetup. Faites en sorte de créer une unique partition sur la carte SD de l'eeePC. Sécurisez la partition en utilisant l'utilitaire cryptsetup, créez un système de fichier au dessus de la partition sécurisée (faite un tour dans /dev/mapper pour trouver le périphérique correspondant) et montez le. Ajoutez des données sur ce système de fichiers, démontez-le, échangez votre carte SD avec celle d'un autre binôme et tentez de lire le contenu.

5.3 Sécurisation Wifi par clef WEP

Changez la configuration du point d'accès Wifi en implantant, pour chaque binôme, un SSID protégé par une clef WEP de 128 bits. Aux SSID correspondent les VLAN définis pour les eeePC. Modifiez le fichier /etc/network/interfaces de votre eeePC pour se connecter sur cet SSID par un simple ifup wlan0. Les mots-clefs wireless-essid et wireless-key vous seront d'un grand secours.

5.4 Sécurisation Wifi par WPA-PSK

Passez d'une protection WEP à une protection par WPA avec une clef partagée. Modifiez le fichier /etc/network/interfaces de votre eeePC pour se connecter sur cet SSID par un simple ifup wlan0. Les mots-clefs wpa-ssid, wpa-key-mgmt et wpa-psk vous seront d'un grand secours.

5.5 Sécurisation réseau filaire par EAP-TLS

Le but est de faire en sorte que les ports du commutateur soient protégés et que les ordinateurs fixes ne puissent les utiliser qu'après s'être identifiées par le protocole 802.1x. Le schéma classique de ce protocole met en jeu des clients (suppliants, ici vos machines Windows), un contrôleur d'accès (ici le commutateur 2950) et un serveur d'identification. Ici, le serveur d'identification FreeRadius va tourner dans un serveur virtuel Xen. En résumé vous devez :

Configurer le serveur FreeRadius en EAP-TLS et créer un certificat pour chaque ordinateur fixe.
Configurer le commutateur 2950G pour qu'il puisse faire du contrôle d'accès aux ports par le protocole radius en utilisant le serveur virtuel Xen comme serveur d'identification. Faites en sorte que le port d'accès à votre machine Windows soit protégé par ce système. Vérifiez que votre station n'a plus accès au réseau.
Configurer votre machine Windows pour qu'elle retrouve son accès au réseau en s'identifiant EAP-TLS en utilisant son certificat.

5.6 Sécurisation Wifi par WPA2-EAP

Le but est de faire en sorte que l'accès à la borne Wifi soit controlé par WPA2-EAP. L'identification va se faire en utilisant le même serveur FreeRadius que pour la sécurisation filaire. En résumé vous devez :

Configurer le serveur FreeRadius en PEAP-MSCHAPv2 et créer un compte pour chaque eeePC. Pour TLS, vous pouvez utiliser le certificat par défaut présent dans le répertoire /etc/freeradius/certs/.

Ajouter à la configuration du point d'accès Wifi un SSID protégé par la méthode WPA2-EAP. Cela implique d'utiliser un nouveau VLAN donc un nouveau réseau IP à router par votre routeur de site. Ne pas oublier de configurer le serveur virtuel Xen comme serveur d'identification. Un exemple de configuration IOS est donné :

aaa new-model
aaa authentication login eap_group1 group radius_group1
radius-server host <ip_group1> auth-port 1812 acct-port 1813 key secret_group1
aaa group server radius radius_group1
  server <ip_group1> auth-port 1812 acct-port 1813
!
aaa authentication login eap_group2 group radius_group2
radius-server host <ip_group2> auth-port 1812 acct-port 1813 key secret_group2
aaa group server radius radius_group2
  server <ip_group2> auth-port 1812 acct-port 1813
!
...
dot11 ssid SSID_GROUP1
  vlan 101
  authentication open eap eap_group1
  authentication network-eap eap_group1
  authentication key-management wpa
!
dot11 ssid SSID_GROUP2
  vlan 102
  authentication open eap eap_group2
  authentication network-eap eap_group2
  authentication key-management wpa
!
...
interface Dot11Radio0
  encryption vlan 101 mode ciphers aes-ccm tkip
  encryption vlan 102 mode ciphers aes-ccm tkip
  ...
!
...

Modifier le fichier /etc/network/interfaces de votre eeePC pour se connecter sur cet SSID par un simple ifup wlan0. Les mots-clefs wpa-ssid, wpa-key-mgmt, wpa-identity et wpa-password. vous seront d'un grand secours.