AAA - Présentation ccnp_cch ccnp_cch

Sommaire • Introduction • Services de sécurité AAA - Avantages de l'utilisation de AAA - Philosophie de AAA - Listes de Méthodes • Par où commencer? - Présentation du processus de configuration AAA - Validation de AAA - Dévalidation de AAA • Que faire après? ccnp_cch

Introduction ccnp_cch Les listes de contrôle d'accès sont le moyen de contrôler qui est autorisé à accéder au serveur de réseau et à quels services ils sont autorisés à accéder une fois qu'ils ont l'accès. Les services de sécurité réseau AAA (Authentication, Authorization, Accounting) fournissent la trame de base au travers de la quelle vous paramétrer le contrôle d'accès sur votre routeur ou votre serveur d'accès. Ce document inclut les sections suivantes: • Services de sécurité AAA • Par ou commencer • Que faire après ? Services de Sécurité AAA AAA est une trame architecturale cohérente pour la configuration d'un ensemble de trois fonctions de sécurité indépendantes. AAA fournit une approche modulaire pour réaliser les différents services. • Authentification - Fournit la méthode d'identification des utilisateurs, incluant le dialogue login et mot de passe, challenge et réponse, support de messagerie et selon le protocole de sécurité que vous choisissez , le cryptage. L'authentification est le moyen par lequel un utilisateur est identifié avant d'être au- torisé à accéder au réseau et aux services du réseau. Vous configurez l'authentifica- tion AAA en définissant une liste de noms de méthodes d'authentification et ensuite vous appliquez cette liste à des interfaces. La liste des méthodes définit les types d'authentification à réaliser et l'ordre dans lequel elles sont réalisées. Elle doit être appliquée à une interface spécifique avant que toute méthode d'authentification défi- nie soit réalisée. La seule exception est la liste de méthode par défaut (default). La liste de méthodes par défaut est appliquée automatiquement à toutes les interfaces si aucune autre méthode n'est définie. Une liste de méthodes définie outrepasse la liste de méthodes par défaut. Toutes les méthodes d'authentification, sauf pour local, line password et l'authenti- fication enable, doivent être définies au travers de AAA. Pour des informations con- cernant toutes les méthodes d'authentification, y compris celles implémentées hors des services de sécurité AAA, referez-vous au document "Configuration de l'authenti- cation AAA". • Autorisation - Fournit la méthode pour le contrôle d'accès distant, incluant l'autori- sation unique ou l'autorisation pour chaque service, liste de compte par utilisateur ou par profil, support de groupe d'utilisateurs et support de IP, IPX ARA et Telnet. L'autorisation AAA fonctionne par assemblage d'un ensemble d'attributs qui décrivent ce que l'utilisateur a le droit d'exécuter. Ces attributs sont comparés à des informa- tions contenues dans une base de données pour un utilisateur donné et le résultat est retourné vers AAA pour déterminer les capacités et restrictions actuelles de l'uti- lisateur. La base de données peut être située sur le serveur d'accès ou le routeur ou peut être hébergée par un host distant sur un serveur de sécurité TACACS+ ou RADIUS. Les serveurs de sécurité distants tels que RADIUS et TACACS+ autorisent les utilisateurs pour des droits spécifiques en associant les paires attribut-valeur (AV) ccnp_cch

qui définissent les droits de l'utilisateur correspondant qui définissent les droits de l'utilisateur correspondant. Toutes les méthodes d'auto- risation doivent être définies au travers d'AAA. Comme pour l'authentification, vous configurez l'autorisation AAA en définissant une liste de noms de méthodes d'autorisation et ensuite vous appliquez cette liste à des interfaces. Pour des informations concernant l'autorisation utilisant AAA, référez-vous au document "Configuration de l'autorisation AAA". • Accounting - Fournit une méthode de collecte et d'émission d'informations vers le serveur de sécurité telles que les identités des utilisateurs, heures de début et heure de fin, commandes exécutées (PPP par exemple), nombre de paquets et nombre d'oc- tets, qui sont utilisées pour de la facturation, de l'audit et du reporting. L'accounting vous permet de tracer les services auxquels les utilisateurs accèdent et par conséquent le volume de ressources réseau qu'ils consomment. Quand l'accoun- ting AAA est activé, le serveur d'accès réseau rapporte l'activité utilisateur vers un serveur de sécurité RADIUS ou TACACS+ (selon la méthode de sécurité que vous avez implémenté) sous la forme d'enregistrement d'accounting. Chaque enregistrement d'accounting est constitué de paires Attribut-Valeur (AV) d'accounting et stocké sur le serveur de contrôle d'accès. Ces données peuvent être analysées pour de la gestion de réseau, de la facturation client et de l'audit. Toutes les méthodes d'accounting doivent être définies au travers d'AAA. Comme pour l'authentification et l'autorisation, vous configurez l'accounting AAA en définissant une liste de noms de méthodes d'accounting et vous l'appliquez à des in- terfaces. Pour des informations au sujet de la configuration de l'accounting utilisant AAA, référez-vous au document "Configuration de l'Accounting". Dans certains cas AAA utilise des protocoles tels que RADIUS, TACACS+ ou Kerberos pour administrer des fonctions de sécurité. Si votre routeur ou votre serveur d'accès opère comme un serveur d'accès réseau, AAA est le moyen au travers duquel vous établissez des communications entre votre serveur d'accès réseau et votre serveur de sécurité RADIUS, TACACS+ ou Kerberos. Bien que AAA soit la méthode de base (recommandée) pour le contrôle d'accès, le logi- ciel Cisco IOS fournit des fonctionnalités additionnelles pour de contrôles d'accès sim- ples qui sont hors du champ d'action de AAA tels l'authentification locale du nom d'utilisateur, l'authentification du mot de passe d'une ligne et l'authentification du mot de passe enable. Cependant ces fonctionnalités ne fournissent pas le même degré de contrôle d'accès que l'utilisation de AAA. ccnp_cch

Avantages de l'utilisation de AAA AAA fournit les avantages suivants: • Accroît la flexibilité et le contrôle de la configuration de l'accès. • Evolutivité • Méthodes d'authentification standardisées, RADIUS, TACACS+, Kerberos. • Plusieurs systèmes de secours. Philosophie AAA AAA est conçu pour vous permettre de configurer dynamiquement le type d'authentifi- cation, d'autorisation que vous voulez par ligne (par utilisateur) ou par service (IP, IPX ou VPDN). Vous définissez le type d'authentification et d'autorisation que vous voulez en créant des listes de méthodes que vous appliquez ensuite à des services ou à des interfaces. Listes de Méthodes Une liste des méthodes est une liste séquentielle qui définit les méthodes utilisées pour authentifier un utilisateur. Les listes de méthodes vous permettent de choisir un ou plusieurs protocoles de sécurité à utiliser pour l'authentification assurant ainsi un sys- tème de secours au cas où la méthode initiale échouerait. Le logiciel Cisco IOS utilise la première méthode listée pour authentifier les utilisateurs; si cette méthode ne répond pas, le logiciel Cisco IOS choisit la méthode d'authentification suivante dans la liste. Ce processus continue jusqu'à ce qu'il y ait une communication réussie avec une mé- thode d'authentification listée ou que la liste de méthodes soit terminée ce qui entraine l'échec de l'authentification. Note: Le logiciel Cisco IOS tente l'authentification avec la prochaine méthode d'authen- tification listée seulement s'il n'y a pas de réponse de la méthode précédente. Si l'au- thentification échoue à n'importe quel point du cycle - ce qui signifie que le serveur de sécurité ou la base de données locale répondent en refusant l'accès - le processus d'au- thentification s'arrête et aucune autre méthode n'est tentée. La figure page suivante montre une configuration de réseau typique pour AAA qui in- clut quatre serveurs de sécurité: R1 et R2 sont des serveurs RADIUS T1 et T2 sont des serveurs TACACS+. ccnp_cch

ccnp_cch NAS PC distant NAS: Network Access Server Serveur RADIUS R2 Serveur RADIUS NAS T1 Serveur TACACS+ PC distant T2 Serveur TACACS+ NAS: Network Access Server Station de travail Supposons que l'administrateur système a défini une liste de méthodes dans laquelle R1 est contacté en premier pour l'authentification, ensuite R2, T1 puis T2 et finalement la base de données locale d'utilisateurs sur le serveur d'accès lui-même. Quand un uti- lisateur tente d'accéder au réseau, le serveur d'accès réseau fait d'abord une requête vers R1 pour obtenir l'authentification. Si R1 authentifie l'utilisateur, il renvoie une ré- ponse PASS vers le serveur d'accès réseau et l'utilisateur est autorisé à accéder au ré- seau. Si R1 retourne une réponse FAIL, l'accès est refusé à l'utilisateur et la session est terminée. Si R1 ne répond pas, le serveur d'accès réseau traite cela comme ERROR et fait une requête vers R2 pour l'authentification. Ce processus continue au travers des méthodes restantes jusqu'à ce que l'utilisateur soit authentifié ou rejeté ou que la ses- sion soit terminée. Si toutes les méthodes d'authentification retournent ERROR, le ser- veur d'accès réseau traitera la session comme un échec et la session sera terminée. Note: Une réponse FAIL est très différente d'une ERROR. Une réponse FAIL signifie que l'utilisateur ne correspond pas aux critères d'authentification contenus dans la base de données et ne peut pas être authentifié avec succès. Le processus d'authentification se termine sur une réponse FAIL. Une ERROR signifie que le serveur de sécurité n'a pas répondu à une requête d'authentification. AAA choisira la prochaine méthode d'authen- tification dans la liste uniquement quand une ERROR est détectée. ccnp_cch

Par où commencer? Vous devez commencer par décider de quelle sorte de solution de sécurité vous voulez implémenter. Vous devez évaluer les risques de sécurité dans votre réseau et décider des moyens à mettre en oeuvre pour éviter les entrées non-autorisées et les attaques. Cisco recommande l'utilisation de AAA même si vos besoins de sécurité sont faibles. Présentation du processus de configuration AAA Configurer AAA est relativement simple après avoir compris le processus de base. Pour configurer la sécurité sur un routeur Cisco ou un serveur d'accès utilisant AAA, suivre le processus suivant: 1. Valider AAA en utilisant aaa new-model en mode de configuration global 2. Si vous décidez d'utiliser un serveur de sécurité séparé, configurez les paramètres des protocoles de sécurité tels que RADIUS, TACACS+ ou Kerberos. 3. Définissez les listes de méthodes pour l'authentification en utilisant la commande AAA. 4. Appliquez les listes de méthodes à une interface ou à une ligne si nécessaire. 5. (Optionnel) Configurez l'autorisation en utilisant la commande aaa authorization. 6. (Optionnel) Configurez l'accounting en utilisant la commande aaa accounting. Validation de AAA Avant de pouvoir utiliser un des services de sécurité réseau fournis par AAA, vous devez valider AAA. Note: Quand vous validez AAA, vous ne pouvez plus accéder aux commandes pour con- figurer les anciens protocoles TACACS ou TACACS étendu. Pour valider AAA, utilisez la commande suivante en mode de configuration global. Commande But Routeur(config)# aaa new-model Validation de AAA Dévalider AAA Vous pouvez dévalider la fonctionnalité AAA avec une seule commande si vous décidez que votre sécurité n'a pas besoin de AAA mais d'une autre méthode. Pour dévalider AAA utilisez la commande suivante en mode de configuration global. Commande But Routeur(config)# no aaa new-model Dévalidation de AAA ccnp_cch

Que faire après ? Une fois que AAA est validé, vous êtes prêt pour configurer les autres éléments relatifs à votre solution de sécurité choisie. Tâche Chapitre dans "Cisco IOS Security Configuration Guide" Configuration de l'authentificatin de login local "Configuring Authentication" Configuration de l'authentificatin de login avec un serveur de sécurité Définition des listes de méthodes pour l'authentification Application d'une liste de méthodes à une interface ou à une ligne Configuration des paramètres du protocole de sécurité RADIUS "Configuring RADIUS" Configuration des paramètres du protocole de sécurité TACACS+ "Configuring TACACS+" Configuration des paramètres du protocole de sécurité Kerberos "Configuring Kerberos" Validez l'autorisation RADIUS "Configuring Authorization" Validez l'autorisation TACACS+ Afficher les attributs IETF RADIUS supportés "RADIUS Attributes" (Appendix) Afficher les attributs RADIUS spécifiques constructeur supportés Afficher les paires AV TACACS+ supportés "TACACS+ AV Pairs" (Appendix) Valider l'Accounting Validation de l'Accounting ccnp_cch