5 Sécurité : the bright side
5.1 Sécurisation de données
Pour votre serveur Xen créez trois partitions LVM de 1Go avec
des noms liés à celui de votre serveur. Ajoutez ces partitions à la
définition de votre machine virtuelle, relancez la et créez un RAID5
logiciel avec les trois partitions obtenues (utilisez le paquetage
mdadm). Copiez des données sur le RAID5, arrêtez la machine
virtuelle, retirez lui une des trois partitions, relancez la. Essayez
de remonter votre RAID5, que constatez-vous ?
5.2 Cryptage de données
Sur votre eeePC installez les paquetages lvm2 et cryptsetup.
Faites en sorte de créer une unique partition sur la carte SD de l'eeePC.
Sécurisez la partition en utilisant l'utilitaire cryptsetup,
créez un système de fichier au dessus de la partition sécurisée
(faite un tour dans /dev/mapper pour trouver le périphérique
correspondant) et montez le. Ajoutez des données sur ce système de
fichiers, démontez-le, échangez votre carte SD avec celle d'un autre
binôme et tentez de lire le contenu.
5.3 Sécurisation Wifi par clef WEP
Ajoutez à la configuration du point d'accès Wifi un SSID protégé
par une clef WEP de 128 bits. Cela implique d'utiliser un nouveau
VLAN donc un nouveau réseau IP à router par votre routeur de site.
Modifiez le fichier /etc/network/interfaces de votre eeePC
pour se connecter sur cet SSID par un simple ifup wlan0.
Les mots-clefs wireless-essid et wireless-key vous
seront d'un grand secours.
5.4 Sécurisation Wifi par WPA-PSK
Ajoutez à la configuration du point d'accès Wifi un SSID protégé
par la méthode WPA en mode clef partagée. Cela implique d'utiliser
un nouveau VLAN donc un nouveau réseau IP à router par votre routeur
de site. Modifiez le fichier /etc/network/interfaces de votre
eeePC pour se connecter sur cet SSID par un simple ifup wlan0.
Les mots-clefs wpa-ssid, wpa-key-mgmt et wpa-psk
vous seront d'un grand secours.
5.5 Sécurisation de site web par certificat
Configurez apache2 en mode sécurisé à l'aide d'une clef asymétrique
et d'un certificat signé par une autorité de certification (CA). Comme
CA vous utiliserez http://www.cacert.org. Le CA signe un CSR
(Certificate Signing Request), vous allez créer vos clefs et le CSR
en utilisant openssl (vous pouvez vous aider du Wiki de
cacert.org). Une fois le CSR signé par le CA et donc transformé
en un certificat vous pourrez configurer apache2 pour gérer du
HTTPS sur le port 443. Dans la définition du serveur virtuel pour ce
port, il faut insérer la ligne de configuration SSLEngine on.
Il faut aussi préciser où se trouve la clef privée du serveur via le
mot clef SSLCertificateKeyFile et où se trouve le certificat
via le mot clef SSLCertificateFile. Il est aussi conseillé
de définir la chaîne de certification avec SSLCertificateChainFile.
5.6 Sécurisation réseau filaire par EAP-TLS
Le but est de faire en sorte que les ports du commutateur soient
protégés et que les ordinateurs fixes ne puissent les utiliser
qu'après s'être identifiées par le protocole 802.1x. Le schéma
classique de ce protocole met en jeu des clients (suppliants,
ici vos machines Windows), un contrôleur d'accès (ici le
commutateur 2950) et un serveur d'identification. Ici, le serveur
d'identification FreeRadius va tourner dans un serveur
virtuel Xen. En résumé vous devez :
-
Configurer le serveur FreeRadius en EAP-TLS et
créer un certificat pour chaque ordinateur fixe.
- Configurer le commutateur 2950G pour qu'il puisse faire
du contrôle d'accès aux ports par le protocole radius
en utilisant le serveur virtuel Xen comme serveur
d'identification. Faites en sorte que le port d'accès
à votre machine Windows soit protégé par ce système.
Vérifiez que votre station n'a plus accès au réseau.
- Configurer votre machine Windows pour qu'elle retrouve
son accès au réseau en s'identifiant EAP-TLS en utilisant
son certificat.
5.7 Sécurisation Wifi par WPA2-EAP
Le but est de faire en sorte que l'accès à la borne Wifi soit
controlé par WPA2-EAP. L'identification va se faire en utilisant
le même serveur FreeRadius que pour la sécurisation filaire.
En résumé vous devez :
-
Configurer le serveur FreeRadius en PEAP-MSCHAPv2
et créer un compte pour chaque eeePC.
- Ajouter à la configuration du point d'accès Wifi un SSID
protégé par la méthode WPA2-EAP. Cela implique d'utiliser
un nouveau VLAN donc un nouveau réseau IP à router par
votre routeur de site. Ne pas oublier de configurer le
serveur virtuel Xen comme serveur d'identification.
- Modifier le fichier /etc/network/interfaces de votre
eeePC pour se connecter sur cet SSID par un simple
ifup wlan0. Les mots-clefs wpa-ssid,
wpa-key-mgmt, wpa-identity et wpa-password.
vous seront d'un grand secours.
5.8 Sécurisation de serveur DNS par DNSSEC
Sécurisez votre serveur DNS en signant la zone correspondant
à votre nom de domaine.