Sécurité : the bright side

5 Sécurité : the bright side

5.1 Sécurisation de données

Pour votre serveur Xen créez trois partitions LVM de 1Go avec des noms liés à celui de votre serveur. Ajoutez ces partitions à la définition de votre machine virtuelle, relancez la et créez un RAID5 logiciel avec les trois partitions obtenues (utilisez le paquetage mdadm). Copiez des données sur le RAID5, arrêtez la machine virtuelle, retirez lui une des trois partitions, relancez la. Essayez de remonter votre RAID5, que constatez-vous ?

5.2 Cryptage de données

Sur votre eeePC installez les paquetages lvm2 et cryptsetup. Faites en sorte de créer une unique partition sur la carte SD de l'eeePC. Sécurisez la partition en utilisant l'utilitaire cryptsetup, créez un système de fichier au dessus de la partition sécurisée (faite un tour dans /dev/mapper pour trouver le périphérique correspondant) et montez le. Ajoutez des données sur ce système de fichiers, démontez-le, échangez votre carte SD avec celle d'un autre binôme et tentez de lire le contenu.

5.3 Sécurisation Wifi par clef WEP

Ajoutez à la configuration du point d'accès Wifi un SSID protégé par une clef WEP de 128 bits. Cela implique d'utiliser un nouveau VLAN donc un nouveau réseau IP à router par votre routeur de site. Modifiez le fichier /etc/network/interfaces de votre eeePC pour se connecter sur cet SSID par un simple ifup wlan0. Les mots-clefs wireless-essid et wireless-key vous seront d'un grand secours.

5.4 Sécurisation Wifi par WPA-PSK

Ajoutez à la configuration du point d'accès Wifi un SSID protégé par la méthode WPA en mode clef partagée. Cela implique d'utiliser un nouveau VLAN donc un nouveau réseau IP à router par votre routeur de site. Modifiez le fichier /etc/network/interfaces de votre eeePC pour se connecter sur cet SSID par un simple ifup wlan0. Les mots-clefs wpa-ssid, wpa-key-mgmt et wpa-psk vous seront d'un grand secours.

5.5 Sécurisation de site web par certificat

Configurez apache2 en mode sécurisé à l'aide d'une clef asymétrique et d'un certificat signé par une autorité de certification (CA). Comme CA vous utiliserez http://www.cacert.org. Le CA signe un CSR (Certificate Signing Request), vous allez créer vos clefs et le CSR en utilisant openssl (vous pouvez vous aider du Wiki de cacert.org). Une fois le CSR signé par le CA et donc transformé en un certificat vous pourrez configurer apache2 pour gérer du HTTPS sur le port 443. Dans la définition du serveur virtuel pour ce port, il faut insérer la ligne de configuration SSLEngine on. Il faut aussi préciser où se trouve la clef privée du serveur via le mot clef SSLCertificateKeyFile et où se trouve le certificat via le mot clef SSLCertificateFile. Il est aussi conseillé de définir la chaîne de certification avec SSLCertificateChainFile.

5.6 Sécurisation réseau filaire par EAP-TLS

Le but est de faire en sorte que les ports du commutateur soient protégés et que les ordinateurs fixes ne puissent les utiliser qu'après s'être identifiées par le protocole 802.1x. Le schéma classique de ce protocole met en jeu des clients (suppliants, ici vos machines Windows), un contrôleur d'accès (ici le commutateur 2950) et un serveur d'identification. Ici, le serveur d'identification FreeRadius va tourner dans un serveur virtuel Xen. En résumé vous devez :

Configurer le serveur FreeRadius en EAP-TLS et créer un certificat pour chaque ordinateur fixe.
Configurer le commutateur 2950G pour qu'il puisse faire du contrôle d'accès aux ports par le protocole radius en utilisant le serveur virtuel Xen comme serveur d'identification. Faites en sorte que le port d'accès à votre machine Windows soit protégé par ce système. Vérifiez que votre station n'a plus accès au réseau.
Configurer votre machine Windows pour qu'elle retrouve son accès au réseau en s'identifiant EAP-TLS en utilisant son certificat.

5.7 Sécurisation Wifi par WPA2-EAP

Le but est de faire en sorte que l'accès à la borne Wifi soit controlé par WPA2-EAP. L'identification va se faire en utilisant le même serveur FreeRadius que pour la sécurisation filaire. En résumé vous devez :

Configurer le serveur FreeRadius en PEAP-MSCHAPv2 et créer un compte pour chaque eeePC.
Ajouter à la configuration du point d'accès Wifi un SSID protégé par la méthode WPA2-EAP. Cela implique d'utiliser un nouveau VLAN donc un nouveau réseau IP à router par votre routeur de site. Ne pas oublier de configurer le serveur virtuel Xen comme serveur d'identification.
Modifier le fichier /etc/network/interfaces de votre eeePC pour se connecter sur cet SSID par un simple ifup wlan0. Les mots-clefs wpa-ssid, wpa-key-mgmt, wpa-identity et wpa-password. vous seront d'un grand secours.

5.8 Sécurisation de serveur DNS par DNSSEC

Sécurisez votre serveur DNS en signant la zone correspondant à votre nom de domaine.