NuxBSD: Free Infos

Table des matières

Projet Caméra Réseaux
Objectif
1. Vérification du trafic des caméras
- Constatation à l'aide de arspoof
2. Création du sous-réseau
- Ajout de route sur les stations et sur le routeur Netgear
3. Configuration Cisco

Projet Caméra Réseaux

Objectif

Placer toutes les caméras dans un sous-réseau derrière un routeur et filtrer avec des ACL les sorties de celles-ci vers pour les empêcher de renvoyer des informations vers certaines adresses IP.

Matériels & réseau
- 8 caméras IP dans un sous-réseau 192.168.3.0/28
- 1 réseau 192.168.0.0/24
- 1 sous-réseau 192.168.3.0/28
- 1 routeur Cisco C870
  - emplois des ACL Extended
  - Wan: 192.168.0.54/24
  - Vlan1 : 192.168.3.0/28
    - mask: 255.255.255.240
    - réseau: 192.168.3.0
    - ip exploitable: 192.168.3.1 - 192.168.3.14
    - ip broadcast: 192.168.3.15

Sous-Réseau	Réseau	Mask	IP Exploitable	Broadcast	Gateway
192.168.0.0	192.168.0.0	255.255.255.54	1 - 254	192.168.0.255	192.168.0.1

Sous-Réseau	Réseau	Mask	IP Exploitable	Broadcast	Gateway SR	Gateway
192.168.3.0	192.168.3.0	255.255.255.240	1 - 14	192.168.0.15	192.168.3.14	192.168.0.54

1. Vérification du trafic des caméras

Constatation à l'aide de arspoof

echo 1 > /proc/sys/net/ipv4/ip_forward         on place la machine en gateway
arpspoof -i eno1 -t 192.168.0.1 192.168.0.118  on intercepte les trames de la gateway vers la victime
arpspoof -i eno1 -t 192.168.0.118 192.168.0.1  on intercepte les trames de la victime vers la gateway

Après avoir constaté que les caméras renvoyaient des infos sur le réseaux j'ai décidé de les mettre dans un sous-réseaux derrière un routeur Cisco et d'y appliquer des access-list.

Constatations sur le réseaux 192.168.0.0/24

Outils utilisés: arpsoof et wireshark

ip src = 192.168.0.111
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
5353	224.0.0.251	5353	mdns	ip	access-list 101 deny ip host 224.0.0.251 any
2048	195.200.224.66	123	ntp	ip
2049	208.67.222.222	53	dns	ip
40371	192.168.0.1	137	icmp	ip

ip src = 192.168.0.112
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
5353	224.0.0.251	5353	mdns	ip
2048 à + de 3315	195.211.189.152	80	tcp	ip
2048 à + de 3315	131.186.113.70	80	tcp	ip
2048 à + de 3315	195.211.189.152	80	http	ip
2048 à + de 3315	131.186.113.70	80	http	ip
2048	162.159.200.1	123	ntp	ip
2049 à 2049	208.67.222.222	53	dns	ip
40371	192.168.0.1	137	icmp	ip

ip src = 192.168.0.113
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
5353	224.0.0.251	5353	mdns	ip
2048 à + de 3315	195.211.189.152	80	tcp	ip
2048 à + de 3315	131.186.113.70	80	tcp	ip
2048 à + de 3315	195.211.189.152	80	http	ip
2048 à + de 3315	131.186.113.70	80	http	ip
2048	162.159.200.1	123	ntp	ip
2049 à 2049	208.67.222.222	53	dns	ip
40371	192.168.0.1	137	icmp	ip

ip src = 192.168.0.114
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
5353	224.0.0.251	5353	mdns	ip
2048	162.159.200.1	123	ntp	ip
2049 à 2049	208.67.222.222	53	dns	ip
40371	192.168.0.1	137	icmp	ip

ip src = 192.168.0.115
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
5353	224.0.0.251	5353	mdns	ip
2048	162.159.200.1	123	ntp	ip
2049 à 2049	208.67.222.222	53	dns	ip
40371	192.168.0.1	137	icmp	ip

ip src = 192.168.0.116
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
5353	224.0.0.251	5353	mdns	ip
2048	162.159.200.1	123	ntp	ip
2049 à 2049	208.67.222.222	53	dns	ip
40371	192.168.0.1	137	icmp	ip

192.168.0.117
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
54553	139.162.76.28	13540	tcp	ip
53704	114.115.164.163	19877	tcp	ip
53619	239.255.255.250	1900	ssdp	ip
52516	64.22.110.186	8090	tcp	ip
52516	64.22.110.186	8090	http	ip
36634	10.83.236.159	80	tcp	ip
32079	111.48.67.18	36200	udp	ip
32079	111.48.67.23	36200	udp	ip
32079	139.9.248.245	36200	udp	ip
32079	139.162.76.28	36200	udp	ip
32079	119.3.16.28	50000	udp	ip
32079	119.97.172.146	50000	udp	ip
32079	119.97.172.179	50000	udp	ip
32079	211.91.165.150	50000	udp	ip
32079	211.91.165.157	50000	udp	ip
3702	239.255.255.250	3702	udp	ip
58403	10.108.68.100	123	ntp	ip
35741	208.67.222.222	53	dns	ip

ip src = 192.168.0.118
port src	ip dest	port dst	protocol	filtrage sur	cmd cisco
55465	239.255.255.250	1900	ssdp	ip
39607	101.200.139.133	48501	tcp	ip
55465	101.200.139.133	1900	tcp	ip
53739	62.210.99.35	28622	tcp	ip
59262	62.210.99.35	28622	tcp	ip
59263	62.210.99.35	28622	tcp	ip
35498	62.210.99.35	28622	tcp	ip
29785	62.210.99.35	28678	udp	ip
57124	62.210.99.35	28678	udp	ip
3702	239.255.255.250	3702	udp	ip
40371	192.168.0.1	137	icmp	ip

2. Création du sous-réseau

Table de routage Partie Caméra
Nom	localisation	old net	old ip	new net	new ip	mask	gateway	broadcast
Spy1	Chambre	192.168.0.0/24	192.168.0.111	192.168.3.0/28	192.168.3.1	255.255.255.240	192.168.3.14	192.168.3.15
Spy2	Arrière gauche	192.168.0.0/24	192.168.0.112	192.168.3.0/28	192.168.3.2	255.255.255.240	192.168.3.14	192.168.3.15
Spy3	Balcon	192.168.0.0/24	192.168.0.113	192.168.3.0/28	192.168.3.3	255.255.255.240	192.168.3.14	192.168.3.15
Spy4	Cuisine	192.168.0.0/24	192.168.0.114	192.168.3.0/28	192.168.3.4	255.255.255.240	192.168.3.14	192.168.3.15
Spy5	Cave1	192.168.0.0/24	192.168.0.115	192.168.3.0/28	192.168.3.5	255.255.255.240	192.168.3.14	192.168.3.15
Spy6	Cave2	192.168.0.0/24	192.168.0.116	192.168.3.0/28	192.168.3.6	255.255.255.240	192.168.3.14	192.168.3.15
Spy7	Poulailler	-	192.168.0.115	192.168.4.0/28	192.168.3.7	255.255.255.240	192.168.3.14	192.168.3.15
Spy8	Jardin	-	192.168.0.116	192.168.3.0/28	192.168.3.8	255.255.255.240	192.168.3.14	192.168.3.15

Table de routage Partie Routeur
Nom	localisation	interface	type	network	ip	mask	gateway	broadcast
CuBiTuS	Cave	FastEthernet 4	wan	192.168.0.0/24	192.168.0.54	255.255.255.0	192.168.0.1	192.168.0.255
CuBiTuS	Cave	FastEthernet 0	lan	192.168.3.0/28	192.168.3.14	255.255.255.240	-	192.168.3.15

Ajout de route sur les stations et sur le routeur Netgear

Vérification des routes

route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.0.1   0.0.0.0           UG    100    0        0 eno1
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 eno1

Ajout d'une route sur une machine Linux

route add -net 192.168.3.0/28 gw 192.168.0.54

Contrôle

route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.0.1   0.0.0.0           UG    100    0        0 eno1
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 eno1
192.168.3.0     192.168.0.54    255.255.255.240 UG    0      0        0 eno1

Ajout de route sur le routeur Netgear 192.168.0.1

Adresse IP de destination 	192.168.3.0
Masque de sous-réseau IP 	255.255.255.240
Adresse IP de la passerelle 	192.168.0.54
Métrique                        2

3. Configuration Cisco

Password Recovery

Connexion à Minicom avec un câble USB - Console sur /dev/ttyUSB0
Envoyer un signal Break avec Minicom Signal Break

CTRL+a f

TO MAKE A PASSWORD RECOVEY YOU MUST BE DIRECTLY CONSOLED TO THE ROUTER.
POWERCYCLE THE ROUTER AND ENTER THE BREAK SEQUENCE

?CTRL+BREAK or CTRL+BREAK+F6?
?Power cycle the router, and press the space bar for 15 sec?.
YOU WILL BE IN ROMMON MODE:
rommon 1>confreg 0x2142
rommon 2>reset (if no reset powercycle the router)
YOU WILL BE ASKED TO GET IN THE CONFIGURATION MODE, TYPE NO
Enter in the configuration mode? N
press return go get started
Router>enable (It won?t ask for password, if it does go back to step 1)
Router#show start
HIGHLIGHT EVERYTHING AND MAKE A COPY OF THE CONFIGURATION INTO A NOTEPAD (this is very
important, it?s to do a backup of your configuration, just to have it in case something goes wrong)
Router#copy start run
(destination file run: press enter)
Router#
Router#config t
Router(config)#no enable secret
Router(config)#no enable password
Router(config)#line vty 0 4
Router(config-line)#no login
Router(config-line)#no password
Router(config-line)# exit
Router(config)#line con 0
Router(config-line)#no login
Router(config-line)#no password
Router(config-line)# exit
Router(config)#config-register 0x2102
Router(config)#exit
Router#write mem
Router#show ver **** (make sure that the config register is set to 0x2102)
Router#reload
Confirm with reload? Y

Vérification	Commande
startup	sh startup-config
running	sh running-config
matériel	sh hardware
version	sh version
mémoire	sh memory
vlans	sh vlans
acl	sh ip access-lists

Pour sauver la configuration en .txt ou envoyer une configuration .txt vers le routeur, il faut passer par un serveur tftp

Configuration des mots de passe et utilisateurs

Configuration du nom

hostname CuBiTuS

Configuration du motd (message of the day)

banner motd #Bienvenue sur CuBiTuS!#

Demande de mot de passe pour le mode enable

enable secret 0 a

Ajout d'un utilisateur

username username aiko password 0 a

Encryption des mots de passe

service password-encryption

Configuration des interfaces sur le routeur Cisco

Activation des interfaces

interface fastEthernet 0
no shutdown
exit

interface fastEthernet 1
no shutdown
exit

interface fastEthernet 2
no shutdown
exit

interface fastEthernet 3
no shutdown
exit

interface fastEthernet 4
no shutdown
exit

Configuration de l'interface WAN

CuBiTuS#conf t
CuBiTuS(config)#interface FastEthernet4
CuBiTuS(config-if)#ip address 192.168.0.54 255.255.255.0
CuBiTuS(config-if)#no shutdown

Configuration de l'interface VLAN 1

(Attention, les ports 0 à 3 sont dans le VLAN 1 par défaut, on pourrait mettre une adresse ip différentes pour chaque port mais pour cela il faudrait rajouter plus de vlan.
Par défaut les port 0 à 3 sont des ports de couches 2 )

CuBiTuS#vlan database
CuBiTuS(vlan)#
CuBiTuS(vlan)#vlan 1
CuBiTuS(config-if)#no shutdown

CuBiTuS#sh run
interface Vlan1
 no ip address

CuBiTuS#conf t
CuBiTuS(config)#interface vlan 1
CuBiTuS(config-if)#ip address 192.168.3.14 255.255.255.240
CuBiTuS(config-if)#no shutdown

Configuration de la Gateway of last resort

ip route 0.0.0.0 0.0.0.0 192.168.0.1

Test passerelle

ping 192.168.3.14
PING 192.168.3.14 (192.168.3.14) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=255 time=0.888 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=255 time=0.720 ms

Test Spy6

ping 192.168.3.6 (Spy6)
PING 192.168.3.6 (192.168.3.6) 56(84) bytes of data.
64 bytes from 192.168.3.6: icmp_seq=1 ttl=63 time=1.09 ms
64 bytes from 192.168.3.6: icmp_seq=2 ttl=63 time=0.806 ms

Configuration de la résolution DNS

ip name-server 208.67.222.222
ip name-server 208.67.220.220

Test connexion internet

ping www.google.be

Translating "www.google.be"...domain server (208.67.222.222) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.217.168.195, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/24 ms

Administration

Configuration de l'heure en ligne

CuBiTuS(config)#clock timezone cet 1
CuBiTuS(config)#ntp server be.pool.ntp.org
CuBiTuS(config)#clock summer-time CET recurring last sunday march 03:00 last sunday october 02:00 60
CuBiTuS#show ntp status
CuBiTuS#show clock detail

CuBiTuS#show ntp associations

      address         ref clock     st  when  poll reach  delay  offset    disp
*~162.159.200.1    10.78.8.138       3    52    64  377     8.2  -80.54    17.6
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

Configuration de ssh2

ip ssh version 2
ip domain-name home.lan (obligé pour la création de la clé rsa)
crypto key generate rsa

The name for the keys will be: AsTeRiX.home.lan
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Lorsque je veux me connecter à partir d'une machine Linux en ssh j'ai un message d'erreur me disant que le protocole ssh est trop vieux, donc plus pris en charge

Vérification des routes sur le routeur Cisco

CuBiTuS#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.0.1 to network 0.0.0.0

R    192.168.0.0/24 [120/1] via 192.168.0.1, 00:00:29, FastEthernet4
C    192.168.0.0/24 is directly connected, FastEthernet4
     192.168.3.0/28 is subnetted, 1 subnets
C       192.168.3.0 is directly connected, Vlan1
R*   0.0.0.0/0 [120/1] via 192.168.0.1, 00:00:29, FastEthernet4

Création du groupe ACL étendues Access Control List

Widcard Mask

192.168.3.0/28 -> 0.0.0.15

ACL

ACL en place

CuBiTuS(config)#ip access-list extended camera
access-list 101 deny tcp any host 195.211.189.152 eq 80
access-list 101 deny tcp any host 131.186.113.70 eq 80
access-list 101 deny tcp any host 139.162.76.28 eq 13540
access-list 101 deny tcp any host 114.115.164.163 eq 19877
access-list 101 deny tcp any host 64.22.110.186 eq 8090
access-list 101 deny tcp any host 10.83.236.159 eq 80
access-list 101 deny tcp any host 101.200.139.133 eq 48501
access-list 101 deny tcp any host 101.200.139.133 eq 1900
access-list 101 deny tcp any host 62.210.99.35 eq 28622

access-list 101 deny udp any host 111.48.67.18 eq 36200
access-list 101 deny udp any host 111.48.67.23 eq 36200
access-list 101 deny udp any host 139.9.248.245 eq 36200
access-list 101 deny udp any host 139.162.76.28 eq 36200
access-list 101 deny udp any host 139.162.76.28 eq 50000
access-list 101 deny udp any host 119.97.172.146 eq 50000
access-list 101 deny udp any host 119.97.172.179 eq 50000
access-list 101 deny udp any host 211.91.165.150 eq 50000
access-list 101 deny udp any host 211.91.165.157 eq 50000
access-list 101 deny udp any host 62.210.99.35 eq 28678
access-list 101 deny udp any host 239.255.255.250 eq 3702

access-list 101 permit ip any any

Pour TEST
#########
 deny tcp 0.0.0.0 255.255.255.240 range 59262 59263 any
 deny tcp 0.0.0.0 255.255.255.240 eq 57124 any
 deny tcp 0.0.0.0 255.255.255.240 eq 55465 any
 deny tcp 0.0.0.0 255.255.255.240 eq 54553 any
 deny tcp 0.0.0.0 255.255.255.240 eq 53739 any
 deny tcp 0.0.0.0 255.255.255.240 eq 53704 any
 deny tcp 0.0.0.0 255.255.255.240 eq 53619 any
 deny tcp 0.0.0.0 255.255.255.240 eq 52516 any
 deny tcp 0.0.0.0 255.255.255.240 eq 40371 any
 deny tcp 0.0.0.0 255.255.255.240 eq 39607 any
 deny tcp 0.0.0.0 255.255.255.240 eq 36634 any
 deny tcp 0.0.0.0 255.255.255.240 eq 35498 any
 deny tcp 0.0.0.0 255.255.255.240 eq 29785 any
 deny tcp 0.0.0.0 255.255.255.240 range 2048 5500 any
 deny udp 0.0.0.0 255.255.255.240 any

Compris dans un range
 deny   tcp 0.0.0.0 255.255.255.240 eq 5353 any
 deny   tcp 0.0.0.0 255.255.255.240 eq 3702 any

Application de la liste d'accès à l'interface Fastethernet 4

CuBiTuS(config)#interface Fastethernet 4
CuBiTuS(config-if)#ip access-group camera out

Vérification

CuBiTuS#sh run interface Fastethernet 4
Building configuration...

Current configuration : 99 bytes
!
interface Fastethernet 4
 ip address 192.168.3.14 255.255.255.240
 ip access-group camera out
end

Voir les access-lists travaillantes

show access-lists workingACL

Linux