Conception Détaillée et Réalisation

Conception Détaillée et Réalisation GAUTIER Julien FONTAINE Victor MATHIEU Julien VINQUEUR Mickaël 1

Sommaire I VINQUEUR Mickaël... 3 A. Mise en place des VLANs... 3 B. Mise en oeuvre du lien TRUNK... 4 C. Attribution des plages d adresses IP de VLANs... 5 D. Vérification de la configuration du Switch Cisco 3560-24... 16 E. Attribution des adresses IP du serveur Application... 6 II-GAUTIER Julien... 18 A. Démarche de l installation... 18 B. Démarche pour la configuration.... 18 C. Test de l installation de freeradius... 20 D. Fiche de test... 22 GAUTIER Julien FONTAINE Victor MATHIEU Julien VINQUEUR Mickaël 2

I VINQUEUR Mickaël A. Mise en place des VLANs VLAN par défaut Par défaut le VLAN N 1 est un VLAN qui permet d accéder à tous les VLANs du réseau. Celui-ci n est pas reconfigurable, on prendra donc pour la création du premier VLAN, le VLAN N 2. Création d un VLAN nommé «NomVLAN» Passer du mode d exécution utilisateur au mode d exécution privilégié, Passer du mode d exécution privilégié au mode de configuration globale, Taper la commander «vlan» suivi du numéro de VLAN que vous souhaitez attribuer Taper la commande «name» suivi du nom du VLAN désiré. Switch>enable Switch #conf t Switch(config)#vlan2 Switch(config-vlan)#name NomVLAN Switch(config-vlan)#exit Création du VLAN n 3 «Patient» Afin de vérifier la création des différents VLANs, nous procéderons à la commande «show vlan» qui permet d afficher les différents VLANs. GAUTIER Julien 3

B. Mise en oeuvre du lien TRUNK Nous rappelons qu un lien trunk est une connexion physique regroupant plusieurs connexions logiques. Afin que le lien Ethernet entre la borne wifi et le switch contienne uniquement les VLAN «patient» et «personnel» nous créerons un lien trunk contenant ces deux VLANs Interface Fast Ethernet n 2. Cette interface est configurer afin d accéder aux VLANs n 2 et n 3. Configuration de la connexion réseau entre le commutateur et la borne wifi Création d un lien TRUNK sur l interface fa0/2 contenant les deux VLANs n 3 et n 4. Switch>enable Switch #conf t Switch(config)#int fa 0/2 Switch(config-if)#switchport mode trunk Switch(config-if)#switch trunk allowed vlan add2 Switch(config-if)#switch trunk allowed vlan add3 Switch(config-if)#exit Passe l interface fa0/2 en mode trunk. Ajoute les vlan n 3 et n 4 au lien trunk. VINQUEUR Mickaël 4

C. Attribution des plages d adresses IP de VLANs Attribution de l adresse de sous-réseau du VLAN «NomVLAN» Switch>enable Switch #conf t Switch(config)#int vlan 2 Switch(config-if)#ip address 172.16.0.1 255.255.248.0 Switch(config-if)#exit Création d une interface (int) du type «vlan» dont le numéro est 2. Adresse IP du VLAN suivi de son masque de réseau. Afin de vérifier si les adresses IP des VLANs sont configurées correctement, nous vérifierons leur configuration à l aide de la commande «show ip int brief» qui permet d afficher la configuration des adresses ip du switch. Switch#show ip int brief VINQUEUR Mickaël 5

D. Attribution des adresses IP du serveur Application Afin de configurer l interface, il faut passer en mode Super Utilisateur (su). Pour se faire, il faut taper la commande «su» puis entrer le mot de passe de super utilisateur qui est «touchard72». Passage en mode super utilisateur : administrateur @application:~$ su Mot de passe : debian:/home/administrateur/# Configuration de l interface Ethernet : debian:/home/administrateur/# ifconfig eth0 172.16.0.3 netmask 255.255.248.0 debian:/home/administrateur/# ifconfig eth0:0 172.16.8.2 netmask 255.255.254.0 debian:/home/administrateur/# ifconfig eth0:1 172.16.10.2 netmask 255.255.255.0 Commande de configuration des interfaces réseaux ou sous-interfaces réseaux Choix de l interface ou de la sous-interface réseau à configurer Adresse IP à attribuer à l interface ou sous-interface réseau Commande de configuration du masque réseau Masque réseau à attribuer à l adresse IP de l interface Afin de vérifier que la carte Ethernet est correctement configurée, nous taperons la commande «ifconfig» qui permet d afficher la configuration des différentes cartes présentes sur l ordinateur. Afin que le serveur puisque accéder au vlan n 2 «patient», au vlan n 3 personnel ainsi qu au vlan n 4 «réseau» nous exécuterons la command «route add default gw adresse ip netmask masque de réseau» qui permet d entrer une route par défaut dans la table de routage du noyau du système. debian:/home/administrateur/# route add default gw 172.16.0.0 netmask 255.255.248.0 debian:/home/administrateur/# route add default gw 172.16.8.0 netmask 255.255.254.0 debian:/home/administrateur/# route add default gw 172.16.10.0 netmask 255.255.255.0 Nous vérifierons que la route par défaut à bien été prise en compte par le noyau grâce à la commande «route n» VINQUEUR Mickaël 6

Cependant les différentes configurations vues précédemment ne sont que des configurations temporaires puisque si l on redémarre l ordinateur, celle-ci n existent plus. C est pourquoi, il faut éditer le fichier «interfaces» situé à l endroit suivant : /etc/network afin de les rendre permanentes. Il faut donc remplacer les lignes de configuration existantes par les différentes lignes qui suivent : #Interface de boucle locale auto lo iface lo inet loopback address 127.0.0.1 netmask 255.0.0.0 #Interface principale eth0 celle-ci permet d'accéder au VLAN n 2 "patient" auto eth0 iface eth0 inet static address 172.16.0.3 netmask 255.255.248.0 network 172.16.0.0 broadcast 172.16.255.255 #Sous Interface n 0 nommée eth0:0 de l'interface principale eth0 #celle-ci permet d'accéder au VLAN n 3 "personnel" auto eth0:0 iface eth0 inet static address 172.16.8.3 netmask 255.255.254.0 network 172.16.0.0 broadcast 172.16.255.255 #Sous Interface n 1 nommée eth0:1 de l'interface principale eth0 #celle-ci permet d'accéder au VLAN n 4 "réseau" auto eth0:1 allow-hotplug eth0:1 iface eth0:1 inet static address 172.16.10.2 netmask 255.255.255.0 network 172.16.0.0 broadcast 172.16.255.255 VINQUEUR Mickaël 7

Vérification de la configuration de l interface Ethernet du Serveur Application Pour vérifier la configuration de l interface Ethernet du Serveur Application après avoir implémenter les différentes lignes de configuration dans le fichier, le démarrage de l ordinateur est nécessaire. Une fois l ordinateur redémarré, la commande «ifconfig» en mode super utilisateur nous permet de vérifier la configuration correcte de l interface. L image ci-dessus représente l affichage de la commande «ifconfig» en mode super utilistateur. VINQUEUR Mickaël 8

E. Configuration de la borne wifi E.1 Configuration de l interface BVI 1 L interface BVI 1 est l interface Ethernet de la borne wifi, celle-ci permet à l administrateur réseau de configurer et d effectuer la maintenance sur la borne wifi. Afin de configurer cette interface nous utiliserons un port console que nous relierons entre l ordinateur et la borne wifi et nous effectuerons les commandes suivantes : 1) ap>enable 2) ap>cisco 3) ap>cisco 4) ap#conf t 5) ap(config)#int bvi1 6) ap(config-if)#ip address 172.16.10.3 255.255.255.0 7) taper la combinaison de touches : Ctrl+Z pour retourner au mode privilège 8) ap#copy run start A présent, la configuration de la borne wifi est accessible par un navigateur web à l adresse suivante : http://172.16.10.3/ Il faudra pour pouvoir y accéder entrer l identifiant et le mot de passe par défaut qui sont «Cisco». 1- Configuration de l interface Dot 11Radio0 L interface Dot11Radio0 est l interface d émission wifi de la borne wifi, celle-ci permet de se connecter à la borne en wifi. Afin de configurer cette interface nous utiliserons un port console que nous relierons entre l ordinateur et la borne wifi et nous effectuerons les commandes suivantes : 1) ap>enable 2) ap>cisco 3) ap>cisco 4) ap#conf t 5) ap(config)#int Dot11Radio0 6) ap(config-if)#ip address 172.16.10.4 255.255.255.0 7) taper la combinaison de touches : Ctrl+Z pour retourner au mode privilège 8) ap#copy run start A présent, l interface Dot11Radio est configurée avec l adresse IP 172.16.0.4. VINQUEUR Mickaël 9

E.2 Configuration du mot de passe par défaut Comme nous l avons vu précédemment, le mot de passe par défaut est «Cisco». Afin de garantir une sécurité plus élevée, nous changerons ce mot passe. En effet, toutes les bornes wifi de modèle Cisco ont par défaut ce mot de passe, il est donc nécessaire de le changer. Pour se faire, nous lancerons un navigateur web et nous nous connecterons à la borne wifi grâce à l identifiant et au mot de passe par défaut qui sont «Cisco». Les onglets situés à gauche permettent de changer de menu. Nous nous placerons dans l onglet nommé «SECURITY» puis dans le sous menu de Security dans l onglet «Admin Access» pour régler l accès à la borne wifi en mode administrateur. Dans la topologie réseau, un seul administrateur réseau à besoin d accéder à la configuration de la borne, nous opterons donc pour un mot de passe global. Nous entrerons le nouveau mot de passe global dans «Default Authentification (Global Password)». Nous choisirons le mot de passe suivant «touchard72». Mot de passe de configuration global Mot de passe global choisi L image ci-dessus représente la page de la configuration pour l accès administrateur. VINQUEUR Mickaël 10

E.3 Création des VLANs Les VLANs sont nécessaires pour utiliser le mode «Multiple BBSID» or si nous voulons diffuser deux SSID, nous devons utiliser ce mode. Nous nous placerons donc dans l onglet «Services» du menu et dans le sous onglet «VLAN». Nous créerons deux VLANs, l un pour les patients et l autre pour le personnel que nous nommerons respectivement «VLAN_Patient» et «VLAN_Personnel» grâce à <NEW> situé dans «Current VLAN List». Pour accorder les numéros de VLANs à ceux créés au niveau du switch, nous utiliserons donc les numéros de VLANs suivant : -VLAN ID 2 pour VLAN_Patient, -VLAN ID 3 pour VLAN_Personnel. Numéro et nom du VLAN à créer L image ci-dessus représente la page de configuration des différents VLANs de la borne wifi. VINQUEUR Mickaël 11

E.4 Mise en place du chiffrement WPA 2 du VLAN n 3, VLAN prévu pour le personnel Le VLAN personnel doit être sécurisé par une clé WPA 2 pour que les patients ne puissent accéder au réseau privé wifi de l hôpital. Nous sélectionnerons donc le VLAN n 3 dans «Set Encryption Mode and Keys for VLAN». Nous cocherons «Cipher» dans «Encryption Modes» et nous choisirons «WPA-PSK» dans la liste déroulante de Cipher. L image ci-dessus représente la page de configuration des différents modes de chiffrement pour l accès au VLANs. VINQUEUR Mickaël 12

E.5 Configuration du SSID «Patient» de la borne wifi Une fois la configuration du choix du chiffrement du VLAN personnel, nous pouvons configurer les différents SSID (Service Set Identifier). Nous nous placerons dans le sous menu «SSID Manager» de l onglet Security. Nous créerons un premier SSID grâce à <NEW> situé dans «Current SSID List»nommé «Patient» qui permettra de diffusé un SSID réservé pour les patients. Ce SSID sera attaché au VLAN n 2 de la borne créé précédemment, «VLAN_Patient». Afin de diffusé ce SSID, il nous faut cocher l interface «Radio0-802 11N» (voir image ci-dessous). Afin d appliquer les changements nous cliquerons sur «apply» de «Security Global SSID Manager». Afin de rediriger tous les flux IP des patients vers le serveur proxy, nous entrerons l adresse IP du serveur proxy qui est 172.16.0.2 dans «Enable IP Redirection on this SSID» après l avoir coché (voir image ci-dessous). VINQUEUR Mickaël 13

E.6 Configuration du SSID «Personnel» de la borne wifi Nous nous placerons dans le sous menu «SSID Manager» de l onglet Security. Nous créerons un second SSID grâce à <NEW> situé dans «Current SSID List»nommé «Personnel» qui permettra de diffusé un SSID réservé pour le personnel de l hôpital. Ce SSID sera attaché au VLAN n 3 de la borne créé précédemment, «VLAN_Personnel». Afin de diffusé ce SSID, il nous faut cocher l interface «Radio0-802 11N» (voir image ci-dessous). Pour que le VLAN personnel soit protégé par une clé WPA 2, nous cocherons «Enable WPA» dans «Client Authenticated Key Manager» et nous sélectionnerons «WPAv2» dans la liste déroulante. Afin d appliquer les changements nous cliquerons sur «apply» de «Security Global SSID Manager». Choix du type de clé et choix de la clé à entrer pour se connecter au SSID Personnel. VINQUEUR Mickaël 14

E.7 Configuration de l émission des SSID Afin de diffuser les deux SSID, nous sélectionnerons tout en bas de la page dans «Set BeaconMode» l option «Multiple BSSID». Afin d appliquer les changements nous cliquerons sur «apply» de «Guest Mode Infrastrucure SSID Settings». VINQUEUR Mickaël 15

F. Vérification de la configuration du Switch Cisco 3560-24 et de la borne Wifi Référence du module testé Date du test : 06/04/2010 Type de test : Type fonctionnel Objectif du test : Vérifier que le switch est correctement configuré. Etat initial Le switch est démarré. Configurer deux ordinateurs appartenant au VLAN privé «personnel» ayant pour adresse IP respectives 172.16.8.20 et 172.16.8.21 et comme masque de sousréseau 255.255.254.0, avec pour passerelle par défaut 172.16.0.2 Condition du test Environnement du test Deux ordinateurs avec chacun une carte Wifi. La borne Wifi. Un switch de niveau 3. Opérations n 1 Connecter un câble série sur le switch et lancer le terminal pour port série. Copier les différentes commandes situées dans le fichier «configuration du switch», dans l ordre de la numérotation. Taper la commande «show ip int brief». Opérations n 2 Se placer en tant qu utilisateur du personnel en utilisant l ordinateur avec pour adresse IP 172.16.8.20 Rechercher les connections sans-fil. Se connecter au réseau WIFI_PERSONNEL. Entrer la clé WPA 2 qui est «touchard72». Procédure du test Résultats attendus Les différents VLANs doivent être présents dans la liste des interfaces du switch. Résultats attendus L ordinateur doit afficher le message suivant : «vous êtes maintenant connecté au réseau WIFI_PERSONNEL». VINQUEUR Mickaël 16

Opérations n 3 Effectuer une commande «ping» vers l adresse IP 172.17.8.21 Opérations n 4 Effectuer une commande «ping» vers l adresse IP de la configuration de la borne wifi à savoir 172.16.10.3. Opérations n 5 Reconfigurer les deux ordinateurs pour que ceux-ci appartiennent au VLAN public «patient». Configurer les ordinateurs avec les adresses IP respectives 172.16.0.20 et 172.16.0.21 et comme masque de sous-réseau 255.255.248.0, avec pour passerelle par défaut 172.16.0.2 Se placer en tant qu utilisateur des patients en utilisant l ordinateur ayant pour adresse ip 172.17.0.20 Pour se faire, il suffit de recherche les connections sans-fil et de se connecter au réseau WIFI_PATIENT. Remarque : Aucune clé WEP ou WPA n est nécessaire pour se connecter Opérations n 6 Effectuer une commande «ping» vers l adresse ip 172.17.0.21. Résultats attendus La console doit afficher «perte 0%» ou «0% packet loss». Ce qui signifie que requête ICMP (Internet Control Message Protocol) «ping» à donc aboutit. Résultats attendus La requête ICMP «ping» ne doit pas aboutir. La console doit afficher : -sur Windows «impossible de joindre l hôte de destination» -sur Linux «Destination Host Unreachable» Résultats attendus L ordinateur doit afficher le message suivant : «vous êtes maintenant connecté au réseau WIFI_PATIENT». Résultats attendus La requête ICMP «ping» doit aboutir. La console doit afficher : -sur Windows «Réponse de 172.17.0.21 : octets=32 temps <1ms TTL=128» -sur Linux «Destination Host Unreachable» VINQUEUR Mickaël 17

II-GAUTIER Julien A. Démarche de l installation. Il faut suivre les démarches suivantes pour installer et configurer le serveur Freeradius. Pour cela ouvrez un terminal administrateur puis entrez les commandes suivantes. Installation de Freeradius # apt-get install freeradius # apt-get install freeradius-mysql Installation de MySQL # apt-get install mysql-server # apt-get install mysql-client B. Démarche pour la configuration. Configuration de MySQL # echo "create database radius;" mysql -u root -p # echo "grant all on radius.* to radius@'%' identified by 'motdepasse_sql'; flush privileges;" mysql -u root -p # zcat /usr/share/doc/freeradius/examples/db_mysql.sql.gz mysql -u root -p radius Dans cette étape, on crée un utilisateur radius avec tous les droits sur la base de données radius. Puis on crée les tables de la base de données radius. Dans notre cas seul la table radcheck nous interesse. En effet il nous faut une utilisation simple pour l hôtesse d accueil. Création d un compte patient Créer un nouvel utilisateur (Test) avec un mot de passe stocké en clair (test) # echo "INSERT INTO radcheck(username,attribute,op,value) VALUES ('Test','User- Password','==','test');" mysql -u root -p radius Configuration de Freeradius Modifier le fichier /etc/freeradius/sql.conf sql { } driver = "rlm_sql_mysql" server = "localhost" login = "radius" password = "motdepasse_sql" //mot de passe sql radius_db = "radius" [...] # Set to 'yes' to read radius clients from the database ('nas' table) readclient = yes FONTAINE Victor 18

Modifier le fichier /etc/freeradius/radiusd.conf $INCLUDE ${confdir}/sql.conf authorize { preprocess chap suffix eap #files sql } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } eap } accounting { detail radutmp sql } session { sql } GAUTIER Julien 19

C. Test de l installation de freeradius Modifier dans le fichier /etc/freeradius/clients.conf le secret partagé entre l utilisateur et le serveur radius : client 127.0.0.1 { # # The shared secret use to "encrypt" and "sign" packets between # the NAS and FreeRADIUS. You MUST change this secret from the # default, otherwise it's not a secret any more! # # The secret can be any string, up to 32 characters in length. # #secret = testing123 secret = test } Lancer freeradius en mode console pour voir les messages de debug : Attention freeradius stop ne fonctionne pas dans tous les cas. Taper «ps -e» en console, puis rechercher le numéro de processus de freeradius. Une fois le numéro de processus identifié, tapez : # kill «numero de processus» # /etc/init.d/freeradius stop # freeradius X Il devrait s afficher ceci : [...] Debug: Listening on authentication *:1812 Debug: Listening on accounting *:1813 Debug: Listening on proxy *:1814 Info: Ready to process requests. Utiliser l outil radtest : la syntaxe est de la forme : radtest utilisateur mot_de_passe_utilisateur ip_serveur_radius numero_port_nas secret_partage_nas_radius Dans notre cas : # radtest Test test 127.0.0.1 0 test Sending Access-Request of id 95 to 127.0.0.1:1812 User-Name = "Thus0" User-Password = "motdepasse" NAS-IP-Address = localhost NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=95, length=20 Vous devriez avoir une réponse Access-Accept si tout est bien configuré! GAUTIER Julien 20

Dans les messages de debug de freeradius, vous devriez également voir les lignes suivantes : [...] rad_recv: Access-Request packet from host 127.0.0.1:51307, id=95, length=60 User-Name = "Thus0" User-Password = "motdepasse" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 Debug: Processing the authorize section of radiusd.conf Debug: modcall: entering group authorize for request 4 Debug: modsingle[authorize]: calling preprocess (rlm_preprocess) for request 4 Debug: modsingle[authorize]: returned from preprocess (rlm_preprocess) for request 4 Debug: modcall[authorize]: module "preprocess" returns ok for request 4 Debug: modsingle[authorize]: calling chap (rlm_chap) for request 4 Debug: modsingle[authorize]: returned from chap (rlm_chap) for request 4 Debug: modcall[authorize]: module "chap" returns noop for request 4 Debug: modsingle[authorize]: calling suffix (rlm_realm) for request 4 Debug: rlm_realm: No '@' in User-Name = "Thus0", looking up realm NULL Debug: rlm_realm: No such realm "NULL" Debug: modsingle[authorize]: returned from suffix (rlm_realm) for request 4 Debug: modcall[authorize]: module "suffix" returns noop for request 4 Debug: modsingle[authorize]: calling eap (rlm_eap) for request 4 Debug: rlm_eap: No EAP-Message, not doing EAP Debug: modsingle[authorize]: returned from eap (rlm_eap) for request 4 Debug: modcall[authorize]: module "eap" returns noop for request 4 Debug: modsingle[authorize]: calling sql (rlm_sql) for request 4 Debug: radius_xlat: 'Thus0' Debug: rlm_sql (sql): sql_set_user escaped user --> 'Thus0' Debug: radius_xlat: 'SELECT id,username,attribute,value,op FROM radcheck WHERE Username = 'Thus0' ORDER BY id' [...] Debug: rlm_sql (sql): Released sql socket id: 3 Debug: modsingle[authorize]: returned from sql (rlm_sql) for request 4 Debug: modcall[authorize]: module "sql" returns ok for request 4 Debug: modcall: group authorize returns ok for request 4 [...] Auth: Login OK: [Thus0/motdepasse] (from client localhost port 0) Sending Access-Accept of id 228 to 127.0.0.1:51428 Debug: Finished request 4 Debug: Going to the next request Debug: --- Walking the entire request list --- Vous devriez avoir une ligne du type Sending Access-Accept of id 228 to 127.0.0.1:51428 si tout est bien configuré! Dans ce cas, vous pouvez arrêter freeradius, en tapant Ctr+C puis relancer freeradius en tâche de fond : # /etc/init.d/freeradius start GAUTIER Julien 21

D. Fiche de test Projet 2010 PORTAIL CAPTIF HÔPITAL N de l opération Opération à effectuer Résultat attendu 1 Connexion au site internet des applications de l hôtesse d accueil. Une page s ouvre avec un lien vers Ajouter un patient, un autre avec afficher un patient. 2 Cliquer sur ajouter un patient. Une page s ouvre avec un formulaire, un champ nom d utilisateur et un champ mot de passe. 3 Entrer le nom d utilisateur «test», ainsi que le mot de passe «test». Puis cliquer sur envoyer. La page d accueil s affiche de nouveau. 4 Cliquer sur afficher les patients. La page s ouvre et contient un tableau avec en dernière ligne le nom «test» et le mot de passe «test» 5 Lancer un terminal administrateur sur linux. 6 Taper la commande suivante : «d» Une fenêtre terminal s affiche. La réponse doit être Access Accept. GAUTIER Julien 22

PARTIE VICTOR FONTAINE Victor 23

FONTAINE Victor 24

FONTAINE Victor 25