Blanc 12/12/2015 Beaujean SIO2 SISR4. TP7: Sécurité des accès aux matériels et aux serveurs

Transcription

1 TP7: Sécurité des accès aux matériels et aux serveurs A/Introduction 1/Objectifs 2/Schéma réseau B/TEL NET 1/Configuration commutateur (sans cryptage). 2/Administrateur A 3/Connexion en TEL NET C/SSH 1/Sécurisation des accès au commutateur 2/Connexion en SSH 3/Sécurisation des accès au routeur. 1)Configuration(basique) du routeur 2)Mise en place de la sécurité de accès au routeur 4/Connexion SSH sur le routeur D/Mise en place d un accès sécurisé sur un serveur Linux 1/Mise en place du service sur le serveur 2/Sécurisation des accès à partir d un poste Linux 3/Sécurisation des accès à partir d un poste windows E/Conclusion Page 1/36

2 A/Introduction 1/Objectifs L objectif de ce TP est de sécuriser un réseau, en mettant en place des moyens d administrations à distance et d accès sécurisés des matériels, que cela soient des serveurs, commutateurs ou routeurs. 2/Schéma réseau Page 2/36

3 B/TEL NET 1/Configuration commutateur (sans cryptage). Pour mettre une adresse à un switch, il faut mettre l adresse IP au vlan par défaut(vlan 1). Pour rentrer dans la configuration du Vlan 1 on doit taper la commande interface vlan 1 (en configuration) puis on met I P address suivit de l adresse IP et du masque. Surtout il faut renommer le switch a l aide de la commande hostname suivit du nom a affecter au commutateur. Switch#enable Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname CommutateurA CommutateurA(config)#exit CommutateurA(config)# interface vlan1 CommutateurA(config if)#ip address CommutateurA(config if)#exit CommutateurA(config)#exit Pour vérifier que notre configuration réseau du commutateur est correcte, il nous suffit de taper la commande suivante show run (grâce a cette commande, on a la configuration totale du switch). CommutateurA#show run * * *... interface Vlan1 ip address * * On met des mots de passe pour la connexion en console(ciscocon) et à distance(ciscovty). Pour mettre un code d administration à distance on tape la commande surlignée en vert. Pour mettre un code d administration en console on tape la commande surlignée en rouge. CommutateurA(config)#line con 0 CommutateurA(config line)#password ciscocon CommutateurA(config line)#login CommutateurA(config line)#exit CommutateurA(config)#line vty 0 15 CommutateurA(config line)#password ciscovty CommutateurA(config line)#login CommutateurA(config line)#exit Page 3/36

4 On vérifie que la configuration du commutateur est correcte au niveau des mots de passe pour administrer le switch. line con 0 password ciscocon login line vty 0 4 password ciscovty login line vty 5 15 password ciscovty login! end On configure le mot de pase d accés au commutateur en mode privilégie. Grâce à la commande enable secret suivis du mot de passe. Lorsqu on vérifie que notre configuration est bonne on remarque que le mot de passe secret est crypté. CommutateurA#conf t Enter configuration commands, one per line. End with CNTL/Z. CommutateurA(config)#enable secret class CommutateurA(config)#exit enable secret 5 $1$XFmS$zPT4Ty4VPUL0VkYqhhH1P/ Pour crypter les mots de passe sous les commutateurs Cisco avec la commande password encryption. on remarque que tous les mots de passe sont tous cryptés et non lisible de façon clair. CommutateurA(config)#service password encryption CommutateurA(config)#exit CommutateurA#s service password encryption hostname CommutateurA enable secret 5 $1$XFmS$zPT4Ty4VPUL0VkYqhhH1P/... * * * line con 0 password 7 104D000A login line vty 0 4 password 7 094F471A1A0A login Page 4/36

5 line vty 5 15 password 7 094F471A1A0A login! end Page 5/36

6 2/Administrateur A Nous installons wireshark sur le poste avec la commande apt-getinstallwireshark. Wireshark est un logiciel qui nous permet de faire des capture du flux qui traverse le réseau(dans notre cas nous allons nous focaliser sur le flux qui traverse notre machine). VoicilaconfigurationipduposteadministrateurA: Page 6/36

7 Pour lancer wireshark il faut être en mode super utilisateur(root) et il faut mettre wireshark dans le terminal Shell. Page 7/36

8 3/Connexion en TEL NET Nous réalisons une requête ping durant une capture de wireshark. On remarque que pour chaque ping effectué on a une requête et une réponse( protocole ICMP). Donc notre outils wireshark fonctionne bien. Wireshark nous indique bien la source et la destination (par exemple pour la ligne 5 qui est un retour de ping. Il part de (qui est le commutateur) vers (le poste linux). Page 8/36

9 Ensuite on se connecte en Telnet au commutateur tout en capturant les trames via Wireshark. Donc on va profiter de la capture du flux réseau pour que, lorsque l'utilisateur va tenter une connexion vers un matériel, on puisse via Wireshark lui subtiliser des informations. Les deux premières trames montrent l initialisation de la connexion, puis l on voit sur la fenêtre follow TCP stream une reconstitution de la fenêtre par Wireshark.(grâce à la reconstitution de la trame entière on obtient le mode de passe de connexion a distance). La personne qui tente la connexion ne sait pas que l on a pu voir ces informations. Si on consulte n importe quelle ligne de la capture qui contient comme protocole TELENET on obtiendra une partie des informations désirée. Page 9/36

10 Ici on voit les échanges de données et sur cette trame la configuration que le commutateur envoie au poste. On va activer par la suite le cryptage des mots de passe sur le commutateur pour éviter qu on obtienne les mots de passe en clair. Page 10/36

11 C/SSH 1/Sécurisation des accès au commutateur Dans cette partie, nous allons activer le service SSH sur le commutateur. Dans un premier temps nous allons définir un nom de domaine pour le commutateur, pour cela nous avons exécuté la commande: CommutateurA(config)# ip domain name sio2g3.local Par la suite nous avons généré une clé cryptée avec RSA de la façon suivante: CommutateurA(config)# crypto key generate rsa % You already have RSA keys defined named CommutateurA.sio2g3.local. % Do you really want to replace them? [yes/no]: yes Après avoir généré la clé RSA. On définit quelques paramètres, comme la durée d attente sans activité en connexion SSH. CommutateurA(config)# ip ssh time out 60 Si on veut limiter le nombre tentatives de connexion. On tape la commande suivante, dans notre cas on autorise 2 tentatives. CommutateurA(config)# ip ssh authentication retries 2 Pour limiter aussi le nombre de connexion ssh on va jouer sur le nombre de connexion VTY(distance) ouvert. (dans notre cas 15 liaisons). CommutateurA(config)# line vty 0 15 CommutateurA(config line)# transport input ssh Pour la connexion SSH on va créer un utilisateur bien précis qu on va définir spécifiquement pour les connexion SSH. CommutateurA(config)# aaa new model # On dit au commutateur qu on va crée un nouvelle utilisateur pour les connexion SSH CommutateurA(config)# username admin password 0 cisco #on nomme l utilisateur admin avec un mot de passe cisco. CommutateurA(config)#exit Page 11/36

12 2/Connexion en SSH On essaie maintenant de se connecter via telnet, mais la connexion est refusée car notre commutateur est configuré de façon à ne recevoir que les connexion de type SSH. Puis on se connecte via ssh à l aide de commande ssh (nom d utilisateur)@adresse ip Après comme prévu on nous demande un mot de passe. Ensuite on effectue un show running configuration, et l on peut voir qu il n y a pas de mot de passe affiché, mais une clef cryptée. Page 12/36

13 Ensuite sur la capture de la trame durant la connexion SSH, on ne voit plus rien en clair, mais en crypté (Après reconstitution de la trame de dialogue SSH). Donc il est impossible pour les éventuels voleurs de pouvoir voler nos informations. Certes ils ont nos informations mais elles sont cryptée. On peut voir ici une trame en entière, complètement cryptée. Page 13/36

14 3/Sécurisation des accès au routeur. Dans cette partie, nous allons sécuriser l accès au routeur en créant un utilisateur avec un mot de passe qui servira à la connexion distante au routeur. 1)Configuration(basique) du routeur Dans cette partie,nous avons dans un premier temps, renommé le routeur par Routeur_A en mode de configuration globale grâce à la commande: Router(config)#hostname Routeur_A Par la suite, nous allons le configurer de la façon suivante: Routeur_A(config)#interface fastethernet0/0 Routeur_A(config if)#ip address Routeur_A(config if)# no shutdown Puis, nous définissons le mot de passe ciscocon pour la connexion par console: Routeur_A(config)# line con 0 Routeur_A(config line)# password ciscocon Routeur_A(config line)#login Routeur_A(config line)#exit Routeur_A(config)# Nous définissons enfin le mot de passe class pour le mode privilégié en procédant comme ci dessous: Routeur_A(config)# enable secret class À présent, nous vérifions la configuration du routeur, ainsi que le mot de passe(enable) soit crypté: Routeur_A#show run Building configuration...!! enable secret 5 $1$CUfG$G1zsfQPQqeMHoNJI5zzSy/! Page 14/36

15 !! interface FastEthernet0/0 ip address duplex auto speed auto!! line con 0 password ciscocon login line aux 0 line vty 0 4 login!! end Page 15/36

16 2)Mise en place de la sécurité de accès au routeur Dans cette partie, nous renforçons la sécurité des accès à notre routeur. Nous appliquerons dans un premier temps, le cryptage simple des mots de passe: Routeur_A(config)# service password encryption Ensuite nous créons un utilisateur admin avec pour mot de passe console cisco : Routeur_A(config)# aaa new model Routeur_A(config)# username admin password 0 cisco Nous définissons un domaine pour le routeur: Routeur_A(config)# ip domain name sio2gx.local Par la suite nous générons une clé SSH cryptée en modersa: Routeur_A(config)# crypto key generate rsa The name for the keys will be: Routeur_A.sio2gx.local Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non exportable...[ok] *Mar 11 22:08:17.151: %SSH 5 ENABLED: SSH 1.99 has been enabled Routeur_A(config)# Enfin, nous limitons l accès via les lignes VTY en SSH: Routeur_A(config)# line vty 0 4 Routeur_A(config line)# transport input ssh Page 16/36

17 4/Connexion SSH sur le routeur Sur le poste administrateur, nous effectuons une vérification avec l envoie d une requête ping au routeur: Nous pouvons voir que la requête ping a abouti. Cette partie du réseau est fonctionnel. Par la suite nous avons essayé de nous connecter en telnet sur le routeur: Comme vous pouvez le voir la connexion a échoué. Ce qui est normal car on a paramétré le routeur pour qu il n accepte en connexion à distance que le SSH. Ensuite, l administrateur se connecte via SSH au routeur avec le compte créé: ssh admin@ Page 17/36

18 Voici le déroulement de cette opération sur wireshark. On a les mêmes interactions entre le routeur et le PC mais le telnet est remplacé par le SSH(version2). Et voici une capture d écran de la connexion de l administrateur sur le routeur en console: Nous en avons terminé avec cette partie. Nous passons à la seconde partie du TP, qui est la mise en place d un accès sécurisé sur un serveur Linux. Page 18/36

19 Page 19/36

20 D/Mise en place d un accès sécurisé sur un serveur Linux 1/Mise en place du service sur le serveur Nous attribuons au serveura le bon nom ainsi que son ip correspondante ( /16). L adresse ip doit être fixe car la machine a le rôle de serveur. Nous effectuons des tests de connectivité avec les autres matériels sur le réseau(dans l ordre suivant): Routeur A Commutateur A Administrateur A On vérifie que le service SSH est activé sur le serveur Linux. On voit que le serveur est marqué: running donc SSH est bien lancé. Page 20/36

21 2/Sécurisation des accès à partir d un poste Linux Nous commençons maintenant une capture wireshark du réseau. On voit ici la requête ping entre le serveur et l administrateur linux sous wireshark Nous nous connectons via ssh au serveur(via le port 22), nous devrons valider l avertissement pour la connexion vers le serveur. Ensuite, une fois que l on est connecté au serveur via ssh, on utilise la commande ifconfig pour afficher l adresse ip du serveur. Page 21/36

22 Nous stoppons maintenant la capture wireshark, et nous pouvons voir ici que les communications sont cryptées, les mots de passe ne sont donc plus visibles ici. On voit ici une autre trame, elle aussi cryptée. Page 22/36

23 Sur le poste de l administrateur A, on affiche la clé (de cryptage) publique du serveur, grâce à la commande suivante: On peut voir ici la clé, ou il est précisé ssh et rsa. On génère maintenant sur le poste de l administrateur une paire de clé publique / privée, grâce à cette commande: On nous demande la passphrase (~mot de passe) et l on peut ensuite voir l empreinte de la clé de cryptage. Un couple de clé publique/privé viens bien d être généré. Page 23/36

24 On utilise maintenant la commande ls l pour lister le dossier caché ssh : Nous repérons la clé privé id_rsa et la clé publique id_rsa.pub. On va envoyer la clé publique au serveur, grâce à SSH (mais nous aurions pu la transmettre par n importe quel autre moyen), pour ce faire, nous utilisons la commande suivante: La clé a bien été copié vers le serveur, on nous recommande d essayer de se connecter par ssh afin de vérifier. On se connecte finalement grâce à ssh et l adresse ip du serveur, la passphrase nous est demandé. Nous avons pu nous connecter sans avoir à mettre aucun autre mot de passe que la passphrase. On se déconnecte du serveura. Maintenant, nous allons déclarer la passphrase, grâce à la commande suivante: La passphrase est maintenant retenue. Page 24/36

25 Nous nous connectons maintenant en ssh sur le serveura: Nous avons pu nous connecter directement au serveura sans avoir eu besoins de saisir un mot de passe. Page 25/36

26 3/Sécurisation des accès à partir d un poste windows Dans cette partie, nous avons dans un premier temps téléchargé les logiciels Putty et PuttyGen. Par la suite, nous avons configuré l Administrateur B en lui attribuant son adresse IP et son nom. => Nous avons attribué l adresse IP à ce poste et pour nom Administrateur B. Par la suite nous testons la connectivité de l administrateur B avec les autres matériels en envoyant une requête ping. Voici une capture d écran de notre requête ping vers le serveur: Voici un capture d écran de la requête ping vers le commutateur: Page 26/36

27 Voici une capture d écran de la requête ping vers le routeur: => Notre réseau est fonctionnel car toute les requêtes ping ont abouti. Par la suite nous avons lancé puttygen : Sur puttygen, nous avons générer une paire de clés (publique et privée) en cliquant sur le bouton generate. A la fin du traitement, la clé publique s affiche ainsi que son empreinte (fingerprint). Page 27/36

28 Voici une capture d écran o ù vous pouvez voir que nous générons une clé privée: A la fin de cette étape, notre clé privé généré par Puttygen est affiché sur le poste windows sur lequel celle ci fut généré. Page 28/36

29 Voici une capture d écran la clé privée généré : => Sur cette capture d écran vous pouvez voir deux champs libres. Dans ces champs nous rentrons une phrase d authentification coursdesisrbtssio et par la suite nous sélectionnons le type de clé que nous souhaitons générer ainsi que le nombre de bits sur laquelle cette clé sera généré. Comme vous pouvez le voir la clé sera généré sur 2048 bits et elle sera de type SSH 2 RSA. Page 29/36

30 Voici une capture d écran de ces manipulations : Ensuite, nous réalisons une sauvegarde de notre clé privé en cliquant sur Save private key puis nous ouvrons un terminal sur Putty dans lequel nous nous mettons en mode root et nous nous connectons sur le serveur A. Après cela, nous créons un fichier clé public et nous l ouvrons grâce à l éditeur de texte gedit. Nous réalisons un copier de notre clé privée et nous la collons dans le fichier créé. Page 30/36

31 Voici le résultat sur le ServeurA: Nous sommes restés sur le Serveur A, afin d ajouter la clé publique dans le fichier authorized_keys grâce à la commande suivante: Nous retournons sur le poste de l administrateur B. Nous refermons Puttygen et nous ouvrons Putty. Nous sommes allés dans Window/Translation et nous avons fixé en UTF 8 remote character set:. Page 31/36

32 Page 32/36

33 Ensuite, nous sommes allés dans SSH/Auth. Puis dans private file for authentication, nous entrons le chemin de notre clé privée. Page 33/36

34 Enfin, nous sommes allés dans la session ou nous avons saisi l adresse IP du serveur Serveur A et nous avons cliqué sur Open. Puis nous nous sommes connecté en tant que root et nous avons rentré notre passphrase pour nous authentifier: Ensuite nous avons réalisé un ifconfig afin d afficher la configuration IP du serveur. Voici une capture d écran de cette manipulation: Nous avons donc terminé cette partie en quittant la session avec un exit. Page 34/36

35 Remarque: Il est possible de sauvegarder la configuration (dans session) pour ne pas avoir à paramétrer Putty à chaque lancement. Nous en avons terminé avec la réalisation de ce TP, nous passons à la conclusion. Page 35/36

36 E/Conclusion Dans ce TP, nous avons appris à mettre en place une sécurisation au niveau des accès sur les matériels (commutateur, routeur) ainsi que sur le serveur. Dans premier temps, nous avons appris à mettre en place la sécurité des matériels en mettant en premier des mots de passe sur le mode console, puis sur le mode telnet. Par la suite nous avons mis en place des mots de passe crypté sur le mode privilégié puis nous avons finalement protégé nos fichiers locaux. Dans un second temps, nous avons appris à mettre en place un accès sécurisé sur un serveur linux, en échangeant la clé publique de cryptage. Et finalement, nous avons appris à mettre en place un accès sécurisé à partir d un poste Windows grâce aux logiciels Putty et Puttygen. Page 36/36