Travaux dirigés protocoles avancés (COVID-19)
(cinquième année IMA, filière systèmes communicants).

1  Installation de distribution Devuan

Votre première tâche est de réinstaller les stations de projets. Procédez comme suit :

• repérez la partition Linux actuellement utilisée sur votre machine, vous ne détruirez que cette partition et la partition d’échange, ne touchez pas aux autres partitions Linux, pour l’installation vous utiliserez la méthode "plus grand espace disponible" ;
• installez la distribution Linux Devuan beowulf en anglais mais avec un clavier français ;
• utilisez la configuration réseau manuelle : 172.26.145.50+num_zabeth/24, routeur sur la dernière adresse du réseau et serveur DNS 193.48.57.48 ;
• installez les paquetages pour "ordinateur de bureau" avec un gestionnaire de fenêtres XFCE, pas de serveur d’impression mais un serveur ssh ;
• autorisez la connexion ssh par l’utilisateur root (fichier /etc/ssh/sshd_config) ;
• installez le nécessaire pour une configuration de votre machine par un serveur ansible ;
• prévenez l’encadrant que la configuration ansible peut être installée.

2  Protocole IPv6

2.1  Diffusion IPv6

Utilisez l’utilitaire nc6 pour écouter des diffusions UDP IPv6 et le même utilitaire pour envoyer des messages UDP à l’ensemble des machines IPv6 du réseau local. Attendez des diffusions envoyées par vos collègues.

2.2  Découverte de voisins

Effectuez les opérations suivantes :

• utilisez un sniffeur réseau pour capturer les paquets IPv6 de découverte de voisins ;
• provoquez une découverte de voisins IPv6 en utilisant un utilitaire courant ;
• repérez dans le paquet récupéré, les protocoles et les adresses Ethernet et IPv6 utilisés.

3  Gestion avancée des disques

3.1  Configuration de coubre.plil.info

Installation de disques sur le serveur coubre.plil.info. Partionnez les disques non système de telle façon que chaque binôme reçoive 3 partitions, 2 de même taille et une de taille double.

3.2  Manipulation LVM

Chaque binôme va effectuer les tâches suivantes :

• créer un groupe de volumes avec les deux partitions de taille identique ;
• créer une partition virtuelle de plus de 50% de la taille du groupe ;
• formatter, monter et peupler la partition en question ;
• ajouter la troisième partition au groupe de volume (sans démonter la partition virtuelle) ;
• transférer la première partition vers la troisième, retirer la première partition du groupe ;
• lister les fichiers de la partition virtuelle montée, conclusion ?
• étendez la partition virtuelle sur tout le groupe, étendez le système de fichier sur toute la partition.

4  Virtualisation de systèmes d’exploitation

Configurez le serveur eckmuhl.plil.info comme serveur de virtualisation Xen avec la possibilité de créer des machines virtuelles dans le VLAN des stations de projet (172.26.145.0/24). Créez une machine virtuelle par binôme sur ce serveur. Utilisez des adresses IPv4 hautes (au delà de 200).

5  Isolation e.g. conteneurs

Installez Docker sur votre machine virtuelle. Créez deux conteneurs sur un réseau virtuel interne avec serveur Web apache2 et contenu minimal (juste une page principale statique). Les deux serveurs Web doivent être accessibles du réseau des salles de projet par les ports 8000 et 8001 de la machine virtuelle.

Si vous avez le temps, installez un autre serveur apache2 la machine virtuelle elle-même. Faites en sorte que ce serveur joue le rôle d’équilibreur de charge pour les serveurs Web des deux conteneurs.

6  Administration système avancée

Vous verrez ce point plus précisement en administration système et réseau. Cependant si vous voulez manipuler tout de suite vous pouvez installer un serveur ansible sur la machine virtuelle pour pouvoir modifier facilement la page Web statique sur les deux conteneurs.

7  Administration réseau avancée

7.1  Gestion de VLAN et de commutateur virtuel

Modifiez la configuration de eckmuhl.plil.info pour qu’il puisse créer des machines virtuelles dans plusieurs VLAN (dont le VLAN 50 des salles de projets). Donnez la possibilité d’ajouter des machines virtuelles dans le VLAN 400. Créez une nouvelle machine virtuelle dans ce réseau par binôme. Vérifiez que ces machines virtuelles n’ont accès qu’aux autres machines du VLAN 400.

7.2  Filtrage réseau

Faites en sorte qu’une seule station de projet du binôme puisse accéder aux serveurs Web du binôme. Vérifiez le bon fonctionnement.

7.3  Mise en place d’une mascarade (true NAT)

Ajoutez une interface dans le VLAN 400 à votre machine virtuelle principale et faites en sorte de permettre à la machine virtuelle secondaire de récupérer des paquetages.

Pour donner plus de corps à cet exercice, vous pouvez :

• ajouter deux caméras IP de surveillance en E304 et E306 en les connectant au VLAN 400 ;
• installer un logiciel d’enregistrement sur vos machines virtuelles secondaires.

8  Sécurité réseau

8.1  Chiffrage RC4

Considérez le message chiffré ci-dessous :

a7 3c e2 5a ff ec 26 f2 d0 a5 f5 4b 23 cb 6f 64 ca f4

Supposez que :

• ce message a été chiffré suivant le protocole WEP ;
• la clef WEP utilisée est ClefWEP ;
• le vecteur d’initialisation pour ce message est 1024 ;
• la graine RC4 est la concaténation du vecteur en représentation gros-boutiste et des codes ASCII de la clef.

Donnez le message en clair.

8.2  Exploitation d’une faiblesse de WEP

Vous tombez sur les paquets 802.11 chiffrés en WEP ci-dessous (attention dans les documents les bits sont souvent donnés dans l’ordre de la transmission et la quatrième adresse est optionnelle) :

08 40 34 00 00 55 55 55 55 55 00 11 22 33 44 55
ff ff ff ff ff ff f0 00 a0 b0 c0 01 65 fb 15 b8
5e b2 f8 18 76 fa b4 a6 3d 8f f4 ee b5 98 24 ec
ac 6d 60 b6 50 0e 67 0c 82 2b 0c e2 6e df b5 97
e8 37 fe bc

08 40 34 00 00 55 55 55 55 55 00 a1 a2 a3 a4 a5
00 b1 b2 b3 b4 b5 15 00 a0 b0 c0 01 65 fb 15 b8
5e b2 e1 0f 3b 9e cf d5 5a ec 91 cf c6 ec 65 ad
8d 4c 80 24 70 49 49 2c e7 58 78 c2 db 19 95 c0
c6

Donnez le contenu du second paquet en clair. Arrivez-vous à déchiffrer tout le message ?

8.3  Analyse de l’identification WPA-PSK

Utilisez un sniffer réseau en mode moniteur pour capturer des paquets WiFi. Vous pouvez réaliser cela avec les stations de projets et une clef WiFi WiPi.

Le but de cet exercice est de trouver les paramètres de l’identification WPA-PSK, à savoir les adresses MAC et les valeurs aléatoires. Vous pouvez espionner une connexion WPA-PSK entre deux téléphones par exemple (un téléphone en mode hotspot et un téléphone se connectant sur le hotspot).

Ce document a été traduit de L^AT_EX par H^EV^EA