TP Sécurité - Sécuriser l’accès d’administration en utilisant

Slides:



Advertisements
Présentations similaires
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
Advertisements

LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.
Créer une alerte de recherche dans EBSCOhost Tutoriel support.ebsco.com.
1 Identifier les composants d’un réseau local. 2 Les composants d’un réseau Des ordinateurs, appelés stations... …munis d’une carte réseau leur permettant.
Effacer la Configuration LWAPP sur un LAP
Terminaux virtuels (VTY)
Catalyst 500E - Réinitialisation avec les Paramètres usine
Chapitre10 Prise en charge des utilisateurs distants
L’accès au portail en deux étapes Que contient cette fiche?
Client léger VPN SSL avec ASDM
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
TP Sécurité - Configuration de Base d'un Routeur avec SDM
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Examen Final Sécurité - TRCT Cfi_CCH.
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR1 Cfi_CCH.
AAA - Présentation ccnp_cch ccnp_cch.
Sécurité - Configuration VPN SSL Client léger sur IOS Cisco avec SDM
Cisco Secure Desktop (CSD)
TP Sécurité - Configuration VPN SSL sans client (WebVPN) sur
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
TP Sécurité - Configuration d'un VPN d'accès distant et
(Switch Database Management)
TP VLAN Trunking VTP Server, Transparent, Client
Transfert de fichiers utilisant HTTP ou HTTPS
Mise en place d’un serveur DHCP
- Enrôlement pour des Certificats numériques
- TP Listes d'Accès multiples
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
TP Sécurité - Configuration d'un VPN d'accès distant et
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - TP Listes d'Accès Standard
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
- Comment changer le titre WebVPN
Support de NAT pour IPSec ESP Phase II
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
Sécurité - Configuration de
- Comment changer le Logo WebVPN
Sécurité - Configuration de -
Pile IGMPv3 de Host.
Changer les critères de nommage
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
Comment fonctionne RADIUS?
Sécurité - VLANs privés
Créer une alerte de recherche dans EBSCOhost
Gestion des sécurités sur les comptes User Access Control
- Configuration de Microsoft NetMeeting avec les passerelles IOS Cisco
IOS Firewall - Blocage d'applets Java
Configuration de groupes l'autorisation via ASDM
QoS - Configuration Fragmentation
Exemples de paramétrages Interfaces IP
Chapitre 7 Configuration de l'environnement du bureau
Windows Server 2012 Objectifs
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Windows 10.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Gestion des sécurités sur les comptes User Access Control
Se connecter à Sconet Objectif :
Se connecter à STSWEB Objectif :
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Transcription de la présentation:

TP Sécurité - Sécuriser l’accès d’administration en utilisant AAA et RADIUS CFI_Site_Paris

Objectifs Partie 1: Configurtion de base des équipements réseau ▪ Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d’accès. ▪ Configurer le routage statique. Partie 2: Configurer l’authentification locale ▪ Configurer une base de données locale d’utilisateurs et l’accès local pour les lignes console, vty et aux. ▪ Tester la configuration Partie 3: Configurer l’authentification locale en utilisant AAA ▪ Configurer la base de données locale d’utilisateurs en utilisant la CLI. ▪ Configurer l’authentification locale AAA en utilisant la CLI. ▪ Configurer l’authentification locale en utilisant le SDM. ▪ Test de la configuration Partie 4: Configurer l’authentification centralisée en utilisant AAA et RADIUS ▪ Installer un serveur RADIUS sur un ordinateur ▪ Configurer les utilisateurs sur le serveur RADIUS ▪ Configurer les services AAA sur un routeur pour accéder au serveur RADIUS pour l’authentification en utilisant la CLI. l’authentification en utilisant SDM. ▪ Test de la configuration RADIUS. Rappels La forme la plus basique d’accès sécurisé à un routeur est de créer des mots de passe pour les lignes console, vty et aux. Un utilisateur est invité à entrer uniquement un mot de passe quand il accède au routeur. Configurer un mot de passe enable secret pour le mode EXEC privilégié améliore la sécurité mais eul un mot de passe est toujours requis pour chaque mode d’accès. En plus des mots de passe de base, des noms d’utilisateurs ou des comptes avec des niveaux de privilège différents et qui s’appliquent au routeur dans sa totalité peuvent être définis dans la base de données locale du routeur . Quand les lignes console, vty ou aux sont configurées pour faire référence à cette base de données locale, l’utilisateur est invité à entre un nom d’utilisateur et un mot de passe quand il utilise une des ces lignes pour accéder au routeur. Un contrôle additionnel sur le processus de login peut être effectué en utilisant AAA (Authentication, Authorization, Accounting). Pour l’authentification de base, AAA peut être configuré pour accéder à la base de données locale pour les logins des utilisateurs. Toutefois cette approche n’est pas évolutive car il faut faire la configuration sur chaque routeur. Pour profiter pleinement de l’avantage de AAA et obtenir le maximum d’évolutivité, AAA est utilisé en conjonction avec une base de données externe de serveur TACACS+ ou RADIUS. Quand un utilisateur tente de se connecter, le routeur interroge la base de CFI_Site_Paris

données externe du serveur pour vérifier si cet utilisateur se connecte un nom d’utilisateur et un mot de passe corrects. Dans ce lab, vous construisez un réseau avec plusieurs routeurs et vous configurez les routeurs et les hosts. Vous utilisez plusieurs commandes CLI et ls outils SDM pour configurer les routeurs avec l’authentification locale de base, et l’authentification locale utilisant AAA. Vous installez le logiciel RADIUS sur un ordinateur externe et vous utilisez AAA pour authentifier les utilisateurs avec le serveur RADIUS. Note: Assurez-vous que les routeurs et les commutateurs n’ont pas de configuration de démarrage. Ressources requises • 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable) • 2 commutateurs (Cisco 2960 ou comparable) • PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible • PC-C : Windows XP ou Vista • Tous les câbles pour connecter le équipements. CFI_Site_Paris

- Etape 1: Configuration du client léger VPN SSL 1. Dans l'application SDM, cliquez sur Configurer. a. A partir du panneau de navigation choisissez VPN> SSL VPN. b. Cliquez sur l'onglet Créer SSL VPN. c. Cliquez sur le bouton radio Créer un SSL VPN. d. Cliquez sur le bouton Lancer la tâche sélectionnée. CFI_Site_Paris

2. L'Assistant SSL VPN se lance. Cliquez sur Suivant. Fa0/0 192.168.1.0/24 R1 10.0.1.0/24 .1 .2 R1P1 172.30.1.0/24 S0/0/0 DCE 145.0.1.0/24 172.26.26.0/24 .10 .230 POP3 Port 110 Telnet SSH .240 STA SDM R2 SMTP Port 25 CFI_Site_Paris

Entrez l'adresse IP et le nom unique pour la passerelle VPN SSL Entrez l'adresse IP et le nom unique pour la passerelle VPN SSL. Cliquez sur Suivant. CFI_Site_Paris

3. L'écran Authentification utilisateur permet de fournir l'authentification aux utilisateurs. Cette configuration utilise un compte crée localement sur le routeur. Vous pouvez utiliser un serveur AAA (Authentication, Authorization, Accounting). a. Cliquez sur le bouton radio Localement sur ce routeur b. Pour ajouter un utilisateur cliquez sur Ajouter. c. Entrez l'information utilisateur dans l'écran Ajouter un compte et cliquez sur OK. c. Cliquez sur Suivant dans l'écran Authentification utilisateur. CFI_Site_Paris

d. L'écran Assistant SSL VPN permet la configuration des sites Web Intranet mais cette étape est sautée car le principe du "Port Forwarding" est utilisé pour l'accès à cette application. Si vous voulez autoriser l'accès aux sites Web, utilisez les configurations VPN SSL sans client. Cliquez sur Suivant. CFI_Site_Paris

e. Décochez la case Activer Full Tunnel. Cliquez sur Suivant. CFI_Site_Paris

4. Personnalisez l'apparence de la page de portail WebVPN ou acceptez l'apparence par défaut. a. Cliquez sur Suivant. CFI_Site_Paris

b. Un résumé de la configuration est affiché puis cliquez sur Terminer. CFI_Site_Paris

CFI_Site_Paris

5. Vous avez crée une passerelle WebVPN et un contexte WebVPN avec une politique de groupe liée. Configurez les ports du Client léger qui sont disponibles quand le client se connecte au WebVPN. a. Choisissez Configurer. b. Choisissez VPN> SSL VPN. c. Choisissez Créer SSL VPN. d. Choisissez le bouton radio Configurer les fonctions advances d'un SSL VPN existant puis cliquez sur Lancer la tâche sélectionnée. CFI_Site_Paris

e. L'écran ….. affiche les capacités de l'Assistant. Cliquez sur Suivant. CFI_Site_Paris

f. Sélectionnez le VPN SSL et le groupe d'utilisateurs f. Sélectionnez le VPN SSL et le groupe d'utilisateurs. Cliquez sur Suivant. CFI_Site_Paris

g. Choisissez Client Léger (Transfert de ports) et ensuite cliquez sur Suivant. CFI_Site_Paris

h. Entrez les ressources que vous voulez rendre disponibles au travers du Port For- warding. Le port du service doit être un port statique mais vous pouvez accepter le port par défaut sur le PC client affecté par l'assistant. Cliquez sur Suivant. i. Cliquez sur Ajouter et remplissez les différents champs puis cliquez sur OK. Renouvellez l'opération pour les différentes applications. Cliquez sur Terminer. CFI_Site_Paris

j. Un résumé de la configuration est affiché. Cliquez sur Terminer. CFI_Site_Paris

CFI_Site_Paris

- Etape 2 : Vérification de la configuration Utilisez cette section pour vérifier que votre configuration fonctionne correctement. 1. Utilisez un ordinateur client pour accéder à la passerelle WebVPN à https://gate- way_ip_address. Rappelez-vous d'inclure un nom de domaine WebVPN si vous créez des contextes WebVPN uniques. Par exemple si vous créez un nom de domai- ne appelé sales, entrez http://gateway_ip_address/sales. 2. Entrez le login et acceptez le certificat proposé par la passerelle WebVPN. Cliquez sur Start Application Access. CFI_Site_Paris

 L'option Aide fournit des informations sur les diverses options disponibles dans le SDM pour la configuration du routeur. 3. Un écran Application Access s'affiche. Vous pouvez accéder à une application avec le numéro de port local et votre adresse IP locale de loopback. Par exemple pour l'accès Telnet au routeur1, entrez telnet 127.0.0.1 3001. Le petit Applet Java trans- met l'information à la passerelle WebVPN qui ensuite relie les deux extrémités de la session de manière sécurisée. Les connexions réussies font croître les valeurs des colonnes Bytes Out et Bytes In. CFI_Site_Paris