TP4 – Sécurité des accès aux matériels et aux serveurs ·...

Digeon – Foucart SISR4 – Administration de systèmes SIO2TP4 – Sécurité des accès aux matériels et aux serveurs 07/11/2013

TP4 – Sécurité des accès aux matériels et aux serveurs

- -


SommairePlan d'adressage....................................................................................................................................3Introduction..........................................................................................................................................3Partie 1 – Mise en place d'un accès sécurisé sur les matériéls d'interconnexion .................................3

Commutateur...................................................................................................................................3Paramétrage et protection :..........................................................................................................3Connexion par liaison TelNet......................................................................................................5Sécurisation des accès au commutateur......................................................................................7

Routeur.............................................................................................................................................8Paramétrage et protection............................................................................................................8Sécurisation des accès au routeur................................................................................................8

Partie 2 – Mise en place d'un accès sécurisé sur un serveur Linux....................................................11Serveur Linux.................................................................................................................................11

Mise en place du service sur le serveur.....................................................................................11Sécurisation des accès à partir d'un poste Linux.......................................................................11

Windows........................................................................................................................................16Securisation des accès du poste Windows................................................................................16

- -


Plan d'adressage

Appareils Adresse IP Masque de sous-réseau

ServeurA 172.40.1.1 255.255.0.0

RouteurA 172.40.1.254 255.255.0.0

CommutateurA 172.40.1.253 255.255.0.0

AdministrateurA (Linux) 172.40.1.2 255.255.0.0

AdministrateurB (Windows) 172.40.1.3 255.255.0.0

Introduction

Nous allons mettre en place un accès sécurisé sur des matériéls d'interconnexions. Tout d'abord, nous effectuerrons la sécurisation d'un commutateurs preparé et sécurisé au préalable en lui générant une clé de cryptage de type RSA. Puis, nous effectuerons le même type de cryptage mais sur un routeur et enfin, sur une machine Linux et Windows.

- -


Partie 1 – Mise en place d'un accès sécurisé sur les matériéls d'interconnexion

Commutateur

▪ Paramétrage et protection :

Nous commencons par le renommage du commutateur :

conf t

hostname CommutateurA

end

Ensuite, nous lui attribuons une adresse IP à partir du VLAN 1 :

conf t

interface vlan1

ip address 172.40.1.253 255.255.0.0

no shutdown

end

Par la suite, nous passons à la protection du commutateur en limitant l'accès par console (line con 0) et par TelNet (line vty 0 15). On choisis de définir le mot de passe suivant : ciscocon pour la connexion par console. Et le mot de passe suivant ciscovty, pour les lignes VTY 0 à 15.

Nous saississons donc les commandes suivantes :

conf t

line con

password ciscocon

login

exit

A l'aide de ces commandes, nous sécurisons l'accès en mode console.

- -


Puis, nous saississons ces commandes :

conf t

line vty 0 15

password ciscovty

login

exit

A l'aide de ces commandes, nous sécurisons l'accès par TelNet

➢ Pour vérifier la bonne prise en compte des mots de passes, nous fermons la fenêtre actuelle et nous ré-ouvrons une nouvelle fenêtre. Le mot de passe d'accès console est bien demandé.

➢ Et nous vérifions avec la commande show running-config, que les mots de passes ne sont pas cryptés.

Ensuite, nous décidons de sécuriser davantage en ajoutant un mot de pase crypté sur le mode privilégié (enable).

Nous définissons le mot de passe suivant : class, pour le mode privilégié :

conf t

enable secret class

end

➢ De nouveau, nous vérifions que le mot de passe n'est pas crypté à l'aide de la commande show running-config.

➢ Et pour finir, nous testons le mot de passe en se déconnectant du mode privilégié et en s'y reconnectant.

▪ Connexion par liaison TelNet

Par la suite, nous voulons établir une connexion via TelNet à partir du poste de l'administrateur. Pour cela, nous relions notre poste à Internet et nous installons et utilisons le logiciel WireShark. Nous affectons au poste, une adresse IP ainsi qu'un nom de machine.

- -


Le nom sera : AdministrateurB et l'adresse IP sera : 172.40.1.3 255.255.0.0

Lorsque les paramètres sont correctement saisis, nous effectuons une verification de la liaison avec le commutateur avec une commande ping.

Puisque nous sommes sous Windows, nous lançons donc le logiciel Putty précédemment téléchargé, et nous lançons une capture avec le logiciel WireShark.

Sous Putty, nous entrons l'adresse IP vu VLAN1 du commutateur (172.40.1.253) et nous laissons le port 23 et nous choisissons le mode de connexion TelNet.

Une fois la connexion établie, nous lançons une capture sous WireShark.

Nous entrons le mot de passe console "ciscovty" puis, est demandé un second mot de passe pour le mode privilégié "class".

Une fois correctement identifié, nous lançons une commande show-running configuration.

- -


Puis, nous arrêtons la capture et nous analysons les trames de protocole TELNET.

Sous WireShark, les trames sont présentées sous forme d'une liste. Pour chaque est composé d'un numéro de ligne, d'un temps, de la source de la trame, de la destination de la trame, du protocole utilisé, la longueur de trame et enfin, des infos sur celle-ci.

Ici, nous voyons bien que les lettres du mot de passe sont étalées sur une ligne à chaque fois, nous avons donc besoin de regrouper les lignes pour retrouver de façon claire, le mot de passe des modes console et privilégié.

➢ Lors de la commande, show running-configuration, nous nous rendons compte que les mots de passe s'affiche de façon claire. Nous décidons donc d'appliquer un cryptage simple sur le fichier local de configuration du commutateur.

Pour cela, nous saississons les commandes suivantes :

conf t

service password-encryption

show running-configuration

end

Nous remarquons que les mots de passe ne sont plus clairement affichés mais bel et bien avec un cryptage (suite de lettre et de chiffre aléatoire).

▪ Sécurisation des accès au commutateur

Maintenant, nous allons activer le service SSH (Secure Shell) sur le commutateurA. Cela permet de sécuriser la connexion à distance et donc, de rendre impossible l'interception des mots de passe.

- -


Nous commencons par définir un nom de domaine pour le commutateur. Le nom de domaine est indispensable afin de pouvoir crypté les données échangées entre les appareils et les machines.

Nous allons choisir le nom suivant : sio2g2.local

conf t

ip domain-name sio2g2.local

end

Et nous mettons en place, une clé de cryptage de type RSA :

conf t

crypto key generate rsa

Par la suite, le commutateur nous demande de saisir la longueur de la clé RSA : nous lui indiquons une longueur de 768 bits.

How many bits in the modulus [512] : 768

Pour davantage de sécurité, nous fixons un délai d'expiration lié à l'inactivité, nous le choisissons en secondes : nous choisirons 60 secondes.

conf t

ip ssh time-out 60

Et aussi, nous autorisons qu'un certains nombres de tentatives de connexion : dans notre cas, se sera 2 maximum.

conf t

ip ssh authentication-retries 2

- -


Et enfin, nous limitons l'accès au commutateur uniquement via SSH :

conf t

line vty 0 15

transport input ssh

➢ Nous retournons sous Putty et tentons une connexion par TelNet, et nous voyons bien que la connexion est impossible suite aux commandes précédentes.

Puis, nous effectuons une connexion sous SSH et lançons une analyse de trame sous WireShark.

➢ Nous voyons bien que les trames sont cryptées puisque nous avons au préalable, mis en place une sécurisaion du commutateur avec une clé de type RSA de 768 bits.

- -


Routeur

▪ Paramétrage et protection

Nous effectuerons exactement les mêmes paramétrages que pour le commutateur, fait précédemment.

▪ Sécurisation des accès au routeur

Nous allons maintenant passer à la sécurisation d'un routeur en ajoutant un utlisateur et un mot de passe qui lui permettra de se connecter à distance au routeur.

L'identifiant choisis sera admin et le mot de passe sera cisco.

aaa new model

username admin passsword 0 cisco

end

➢ La commande aaa new-model permet de rendre l'utilisateur créé comme utilisateur par défaut du routeur. Ainsi, nous nous servirons de cet utilisateur pour se connecter par SSH.

Par la suite, nous allons de nouveau définir un nom de domaine pour le routeur, celui-ci sera exactement le même que pour le commutateur.

Puis, nous génererons une clé de cryptage SSH avec RSA d'une longeur de 1024 bits :

conf t

crypto key generate rsa

How many bits in the modulus [512]: 1024

end

Et comme précédemment,nous limitons l'accès via lesl ignes VTY en SSH :

conf t

line vty 0 4

transport inpu ssh

end

- -


➢ Nous vérifions que l'accès par TelNet est bien prohibé en tentant de nous connecter, la connexion est normalement refusée.

Pour finir, nous tentons une connexion SSH a l'aide du logiciel Putty.

Lorsque l'adresse IP 172.40.1.254 et le port 22 sont entré et validé, Putty nous averti le routeur dispose d'un clé de cryptage RSA non cachée dans le registre et que donc, il faut bien s'assurer que nous nous connectons bien au matériel souhaité.

Une fois la connexion établie, nous lançons une analyse de trame via WireShark.

Nous saississons l'identifiant "admin" ainsi que le mot de passe associé "cisco" et enfin, nous saississons le mot de passe d'accès au mode privilégié "class".

- -


Quand tous les mots de passes et que la commande show running-configuration est lancée, nous arrêtons l'analyse.

➢ Les trames observées sont bien cryptées à l'aide du protocole SSHv2 ce qui certifie donc qu'il est preque impossible de trouver les mots de passe d'accès de l'utilisateur admin et de l'accès au mode privilégié.

Partie 2 – Mise en place d'un accès sécurisé sur un serveur Linux

Serveur Linux

▪ Mise en place du service sur le serveur

Maintenant, nous allons mettre en place la configuration et le service SSH sur le serveur. Nous choisissons une machine sous Debian 6.

Tout d'abord, nous allons paramétrer l'adresse IP et le nom du serveur : l'adresse IP sera 172.40.1.1 et son nom sera ServeurA.

Nous commençons par vérifier la présence de openssh-server sur la machine :

dpkg -l openssh-server

Au besoin, nous installons le package :

apt-get install openssh-server

Lorsqu'il est installé, nous vérifions que le service soit correctement activé:

service ssh status

- -


Linux

▪ Sécurisation des accès du poste Linux

Ensuite, nous allons passer à la sécurisation d'une machine Linux.

Pour cela, nous installons le paquet contenant Wireshark :

apt-get install wireshark

Il se peut qu'il soit demandé de remettre à jour les paquets avant l'installation de Wireshark avec la commande apt-get update.

Lorsqu'il est installé, nous lançons une capture et tentons une connexion via SSH sur le serveur.

Ssh 172.40.1.1

- -


➢ Lors de la connexion, il nous sera demandé de saisir le mot de passe d'accès root du serveur, dans notre cas, se sera "root".

➢ Il sera également demandé de valider l'avertissement afin d'affirmer que c'est bien cette machine et si l'on souhaite ajouter cette machine, à la liste des hôtes connues. La clé publique permet d'authentifier cette machine.

➢ Nous décidons par la suite, de lancer une commande ifconfig afin de vérifier que nous sommes bien sous le serveur.

Pour finir, nous stoppons la capture de trame et nous l'examinons :

Nous remarquons encore une fois, que le protocole SSHv2 permet le cryptage de toutes les saisies et que les mots de passe sont donc cryptés et impossible à intercepter.

Par curiosité, nous affichons la clé publique du serveur :

cat /root/.ssh/known_hosts

- -


Ensuite, pour renforcer la sécurité, nous allons exiger de s'authentifier à l'aide d'une clé publique et privée. Pour çà, nous avons besoin de la générer à l'aide d'une passphrase, qui est une phrase qui va servir à crypterl a clé privée pour le renforcement de la sécurité.

Le processus de génération de clé demande de choisir le dossier de destination où seront stockés les clés puis, il nous demande la passphrase, nous choisissons celui-ci : coursdesisr4btssio.

➢ A la fin du processus, il nous indique les dossiers de sauvegarde de notre clé publique : /root/.ssh/id_rsa.pub

Ensuite, nous décidons d'afficher le contenu du dossier caché .ssh en saississant la commande suivante :

ls -l /root/.ssh/

➢ Nous constatons la présence d'une clé privée id_rsa et une clé publique id_rsa.pub.

➢ C'est cette dernière que nous allons faire parvenir au serveur par SSH mais elle peut également être transmise par clé USB ou encore par mail, mais à vos risques et périls.

- -


Nous envoyons notre clé publique au serveur (ServeurA) :

ssh-copy-id -i /root/.ssh/id_rsa.pub 172.40.1.1

Une fois que la clé est envoyée, nous pouvons tenter une nouvelle connexion par SSH.

ssh 172.40.1.1

➢ Au moment de la connexion, il nousest demandé de saisir la passphrase précédemment mise en place afin d'accéder au serveurA.

➢ Nous saisissons donc : coursdesisr4btssio et nous accédons au serveur. Cela évite d'entrer le mot de passe root.

Pour terminer, nous déclarons la passphrase au serveur, :

ssh-add

➢ Cela permet d'éviter d'entrer à chaque nouvelle connexion, la passphrase qui permet de se connecter via SSH.

- -


Windows

▪ Securisation des accès du poste Windows

Dans cette dernière étape, nous allons découvrir comment mettre en place une sécurisation des accès sur un poste Windows.

Pour cela, il nous faut les prérequis suivants :

• PuTTY

• PuTTY Key Generator

PuTTY nous permettra de se connecter en SSH au serveur alors que PuTTY Key Generator nous permettra de générer une clé de cryptage RSA.

Nous lançons donc PuTTY Key Generator afin de générer une clé. Une fois le processus terminé, nous entrons de nouveau notre passphrase, nous décidons de garde la même que dans les exemples précédents.

Et nous l'enregistrons en cliquant sur le bouton "Save Private Key".

Puis, il faut que l'on entre dans le poste AdministrateurB, la clé publique dans le dossier authorized_keys :

Echo "clé publique" >> /root/.ssh/authorized_keys

- -


Lorsqu'elle est correctement copiée, nous lançons le logiciel PuTTY. Avant de tenter notre connexion, il faut paramétrer le logiciel :

• Dans le paramètre Windows > Onglet Translation, fixer "Remote Character Set" en UTF-8,

• Dans le paramètre SSH > Onglet Auth dans "Private file for authentication", selectionner notre clé privée,

• Dans le paramètre Session > saisir l'adresse IP du ServeurA et nous cliquons sur Open.

Nous nous connectons en root et il nous est demandé de rentrer notre passphrase pour nous authentifier.

Nous affichons la configuration IP du serveur avec la commande :

ifconfig

Et pour terminer, nous fermons la connexion avec :

exit

➢ Il est également possible de sauvegarder laconfiguration de PuTTY dans l'onglet Session pour ne pas avoir à le paramétrer à chaque nouveau lancement.

- -

TP4 – Sécurité des accès aux matériels et aux serveurs ·...

Documents

Transcript of TP4 – Sécurité des accès aux matériels et aux serveurs ·...