Supports de cours

introduction: utilisation de netfilter/iptables

cours 1: packetfiler
TP packet filter

machine virtuelle OpenBSD 5.8 i386 configurée pour le réseau pédagogique du département informatique

cours 2a : bonding
cours 3 : répartition de charge, tolérance de panne
TD répartition de charge : on vous demande de mettre en place la maquette LVS-NAT décrite dans le cours
TD à rendre : mise en place d'une maquette LVS-DR

on vous demande de mettre en place une maquette LVS-DR (cf cours)

2 servers WeB (S1 et S2)

un directeur (D4)

un routeur (R5)

un client (C3)

la partie hôte de l'ip de chaque machine sera son No (.1 pour S1, .2 pour S2, .3 pour C3, ...), ...

S1, S2, D4 et R5 sont sur le réseau 192.168.10.0/24

R5 et C3 sont sur R2 (192.168.20.0/24)

dans votre CR de TP :

vous décrirez ce que vous avez configuré sur chaque machine
vous expliquez la solution adoptée pour que les serveurs WeB acceptent les requêtes envoyées à l'ip virtuelle
vous mettrez en évidence via des captures wireshark commentées la trajet d'un paquet du client au serveur via directeur ainsi que le trajet retour en vous intéressant aux IP et adresse Mac.

date de rendu : 24 février 2016 à minuit

cours 3: introduction à la sécurité informatique
introduction à la sécurité module 1 (poly cyberedu adapté) (en pdf)
introduction à la sécurité module 2 (poly cyberedu adapté) (en pdf)
introduction à la sécurité module 3 : hygiène informatiqye (poly cyberedu adapté) (en pdf)
introduction à la sécurité module 4 : orgznisation de la cybersécurité (poly cyberedu adapté) (en pdf)
TLS, TOR
cours 4: introduction aux VPN
TP noté openvpn 1: problématique du routage (rendu 07/04/2016 au plus tard à la fin de la prochaine séance de TP)
lien de chargement du tp openvpn 1 le mot de passe sera fourni par le chargé de TP

introduction à la problèmatique de la supervision via l'outil nagios

sujet d'examen 2012-2013

Projet d'administration (2016-2017 semestre 2)

theme 0

Ce thème est un thème optionnel. Si vous le réalisez, il servira à remplacer un thème moins bien réussi.
Vous pouvez le faire en binome.
Vous devez rendre votre travail sous la forme d'un fichier zip nomme M1ASR_theme0_votreNom1_votrenom2.zip contenant le pdf de votre rapport et les captures de trames dans un format que wireshark peut ouvrir. L'URL de chargement du theme0 est: https://entrepot.ibisc.univ-evry.fr/u/d/1a6be0b888/ Elle est protégée par un mot de passe que vous donnera votre enseignant.
date de rendu des projets : 13 mars 2017 23h00 dernier délai (le lien de téléchargement sera fermé à 23h00 donc ne le faites pas au dernier moment)
maquette routage simple

L'objectif est de monter une maquette ayant les particularités suivantes :

chaque machine virtuelle est une machine virtuelle debian 8;
chaque machine virtuelle a une interface réseau reliée au réseau Host-Only qui sert à la liaison avec le vrai pc (hôte). Cette interface, contrairement aux autres est en DHCP.
La maquette est constituée de 2 réseaux: R1 et R2.

A (192.168.10.1) et B (192.168.10.2) sont sur R1 (vmnet2)
B (192.168.20.2) et C (192.168.20.3) sont sur R2 (vmne
L'ensemble des machines ont une configuration IP statique configurée dans le fichier /etc/network/interfaces;

Votre travail :

mettre en place la maquette
vous connecter via "ssh -X" sur chaque machine virtuelle en affichant sur votre poste de travail Linux une application graphique (xeyes fera l'affaire pour le test). fournir une copie d'écran du résultat. si votre poste de travail est une machine personnelle sous windows, vous êtes dispensé de cette question mais vous devez expliquer pourquoi ce n'est pas si simple depuis windows et ce qu'il faudra installer pour que ça soit possible.
être capable de transférer des fichiers entre chaque machine virtuelle et le poste de travail (expliquez avec quels outils/protocoles et montrez en un exemple)
faire en sorte que toutes les machines A, B et C, arrivent à communiquer entre elles
étudier le trajet d'un paquet de A à C :

indiquer les décisions de routage prises par chaque machine
comparer les adresses IP/sources des paquets de A à C sur le segment A-B et sur le segment B-C du trajet

dans ce cas, on pourra avoir intérêt à faire une capture de trame sur le réseau R1 et, en même temps, une capture de trame sur le réseau R2

étudier les requêtes ARP sur les réseaux R1 et R2 ainsi que sur le réseau de liaison avec votre poste de travail : on dinstinguera les requêtes ARP des requêtes ARP gratuites en indiquant la raison pour laquelle elles ont été émises. Votre travail s'appuiera sur des captures de trames.

theme 1 : tolérance de panne avec Packet Filter

Ce projet est un projet individuel. Vous devez rendre votre travail sous la forme d'un fichier zip nomme M1ASR_theme1_votreNom1.zip contenant le pdf de votre rapport et les captures de trames dans un format que wireshark peut ouvrir. L'URL de chargement du theme0 est: https://entrepot.ibisc.univ-evry.fr/u/d/443adecbcf/ Elle est protégée par un mot de passe que vous donnera votre enseignant.
date de rendu : lundi 20 mars 2017 à 23h00 dernier délai (le lien de téléchargement sera fermé à 23h00 donc ne le faites pas au dernier moment)
On vous demande de monter une maquette avec des routeurs-coupe feu statefull supportant la tolérance de panne via le protocole CARP : si 'lun des routeurs tombe en panne, l'autre prend le relais. Vous êtes libres du choix des systèmes d'exploitation (OpenBSD ou FreeBSD). Vous expliquerez et mettrez en évidence :

les protocoles en jeu
l'intérêt et les scénarios d'utilisation des ip/Mac virtuelles
les cas de figure où un dialogue entre coupe-feu est nécessaire et ce qui contient ce dialogue.
vous ferez des tests pour illuster l'impact sur un poste client de la mise hors service d'un coupe feu puis de la remise en service d'un coupe feu.

à chaque fois que c'est pertinent, vous appuierez votre discours sur la documentation de référence et des captures de trames pour la mise en évidence des phénomènes sur votre maquette.

Vous fournirez les captures de trames wireshark utilisées dans votre rapport. A noter : ces captures doivent être personnelles. Il n'est pas autorisé à un étudiant d'utiliser les captures réalisées sur la maquette d'un autre étudiant.
Un exemple de maquette :
mamquette coupe-feu tolérance de panne PF

mamquette coupe-feu tolérance de panne PF

theme 2

Projet individuel. Vous devez rendre votre travail sous la forme d'un fichier zip nomme M1ASR_theme2_votreNom1.zip contenant le pdf de votre rapport et les captures de trames dans un format que wireshark peut ouvrir. L'URL de chargement du theme2 est: https://entrepot.ibisc.univ-evry.fr/u/d/4792661c57/ Elle est protégée par un mot de passe que vous donnera votre enseignant.
date de rendu : jeudi 6 avril 2017 à 23h00 dernier délai (le lien de téléchargement sera fermé à 23h00 donc ne le faites pas au dernier moment)
On vous demande de mettre en oeuvre et d'étudier au moins 2 solutions différentes permettant de palier certains problèmes de l'authentification par mot de passe :

keylogger sur la machine, personne qui vous regarde pendant la phase de connexion (ou caméra);
réseau peu sur (i.-e. le trafic est intégralement sniffé);
de façon générale, de palier toute possibilité de rejeu des éléments d'authentification.

L'une des deux solutions sera forcément celles des mots de passe jetables (otpw ou opie ou ~). L'autre est laissée à votre libre initiative.
Des yubikeys pourront vous être prétée sur demande.

theme 3

Projet en binome (ou individuel si vous préférez) Vous devez rendre votre travail sous la forme d'un fichier zip nomme M1ASR_theme3_votreNom1_votreNom2.zip contenant le pdf de votre rapport. L'URL de chargement du theme2 est: https://entrepot.ibisc.univ-evry.fr/u/d/626973e370/ Elle est protégée par un mot de passe que vous donnera votre enseignant.
date de rendu : mercreid 3 mai 2017 à 23h59 dernier délai (le lien de téléchargement sera fermé à 19h00 donc ne le faites pas au dernier moment)
L'authentification d'un client openvpn peut se faire de différente manière notamment :

par certificat
par login/mot de passe
par clef secrète (via tls-auth)

Ce projet a deux objectifs:

étudier et comparer les modes d'authentification d'openvpn
mettre en oeuvre et analyser les composants permettant de générer et gérer des certificats clients

On vous demande :

de mettre en oeuvre un authentification par certificats via des certificats émis par votre propre autorité de certication autosignée
de mettre en oeuvre au moins une autre méthode d'authentification
d'étudier les divers fichiers nécessaires pour la génération des certificats, le fonctionnement de votre autorité de certification
d'étudier, d'un point de vue sécurité, les méthodes ci-dessus et de faire des préconisations de bonnes pratiques.