Sécurité - Configuration de

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Liste de contrôle d’accès
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
Sécurité - Configuration du PIX avec un seul réseau interne
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - Configuration d'un
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR1 Cfi_CCH.
Configuration Routeur SOHO77
AAA - Présentation ccnp_cch ccnp_cch.
Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
CBAC - Introduction et Configuration
Comprendre la politique
Sécurité - Configuration de
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
de listes d'accès filtres
Configuration Routeur SOHO77
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
Comprendre et Configurer l'Authentification CHAP PPP
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
OSPF - Commande show ip ospf neighbor.
Configuration de l'Authentification 802.1X
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
trois réseaux internes
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
Configuration DDR Standard Sites multiples aves RNIS
entre trois routeurs utilisant des
Sécurité - Listes d'Accès Dynamiques - Lock and Key
IOS Firewall - Blocage d'applets Java
Configuration de groupes l'autorisation via ASDM
Configurer l'Autorisation
QoS - Configuration Fragmentation
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Transcription de la présentation:

Sécurité - Configuration de l'Authentification Auth-Proxy Outbound sans CBAC et sans NAT ccnp_cch

Sommaire - Introduction - Versions de Matériel et de Logiciel - Schéma du réseau - Configurations - Authentification sur le PC ccnp_cch

Introduction La fonctionnalité Proxy d'authentification permet aux utilisateurs de se connecter au réseau ou d'accéder à Internet avec HTTP avec leurs profils d'accès spécifiques récu- pérés sur un serveur RADIUS ou TACACS+. Les profils utilisateurs sont actifs unique- ment quand il y a du trafic actif pour les utilisateurs authentifiés. Cet exemple de configuration bloque le trafic issu du host (40.31.1.47) du réseau in- terne vers tous les hosts d'Internet jusqu'à ce que l'authentification par le navigateur soit effectuée en utilisant le Proxy d'authentification. La liste de contrôle d'accès (ACL) passée par le serveur (permit tcp|ip|icmp any any ) ajoute des entrées dynamiques après l'authentification à la liste d'accès 116 qui autorise l'accès temporaire du PC vers Internet. Versions de Matériel et de Logiciel Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release 12.2(15)T • Cisco Routeur 7206 Schéma du Réseau 192.168.10.103/24 192.168.10.10/24 Serveur Radius Fa0/0 Fa1/0 Internet R7206 10.89.129.195/28 PC 192.168.10.200/24 Configurations Routeur 3640 Current configuration: ! version 12.2 service timestamps debug uptime service timestamps log uptime service password encryption ! hostname R7206 ! username admin password 7 H2xF5kn6Zlm8fwsDAp ! !-- Validation de AAA ! aaa new-model ! ccnp_cch

aaa authentication login default group radius none aaa autorization exec default group radius none aaa autorization auth-proxy default group radius ! aaa session-id common ! ip subnet-zero ! ip auth-proxy auth-proxy-banner ip auth-proxy auth-cache-time 10 ip auth-proxy name Restrict_PC http ! ip audit notify log ip audit po max-events 100 ! interface FastEthernet0/0 ip address 192.168.10.10 255.255.255.0 ip access-group 116 in ip auth-proxy Restrict_PC no ip directed-broadcast no ip mroute-cache ! interface FastEthernet1/0 ip address 10.89.129.195 255.255.255.240 no ip directed-broadcast ! ip classless ! ip route 0.0.0.0 0.0.0.0 Interface FastEthernet1/0 ! ip http server ip http authentication aaa ! access-list 116 permit tcp host 192.168.10.200 host 192.168.10.10 eq www ! !-- Permet le trafic HTTP ! access-list 116 deny tcp host 192.168.10.200 any access-list 116 deny udp host 192.168.10.200 any access-list 116 deny icmp host 192.168.10.200 any access-list 116 permit tcp 192.168.10.0 0.0.0.255 any access-list 116 permit udp 192.168.10.0 0.0.0.255 any access-list 116 permit icmp 192.168.10.0 0.0.0.255 any ! radius-server host 192.168.10.103 auth-port 1645 key 7 cisco ! radius-server authorization permit missing Service-Type ! line cons 0 transport input none line aux 0 line vty 0 4 paswword ww ! end ccnp_cch

Authentification sur le PC Cette section fournit les captures d'écrans faites sur le PC. Elles montrent la procédure d'authentification. La première capture montre la fenêtre de dialogue dans laquelle l'utilisateur entre le nom d'utilisateur et le mot de passe. Si l'authentification est réussie, la fenêtre ci-dessous est affichée. ccnp_cch

Le serveur RADIUS doit être configuré avec les listes d'accès devant être appliquées. Dans cet exemple, les entrées suivantes sont appliquées. Elles permettent au PC de se connecter à un host quelconque. permit tcp host 192.168.10.200 any permit udp host 192.168.10.200 any permit icmp host 192.168.10.200 any Cette fenêtre du serveur RADIUS Cisco montre où entrer les ACLs. ccnp_cch

Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que vo- tre configuration fonctionne correctement. • show ip access-lists -- Affiche les listes d'accès standards et étendues configurées (y compris les entrées dynamiques). Les entrées dynamiques sont ajoutées ou reti- rées périodiquement selon que l'utilisateur est authentifié ou non. • show ip auth-proxy cache -- Affiche soit les entrées du Proxy d'authentification soit la configuration courant du Proxy d'authentification. Le mot clé cache est utilisé pour afficher l'adresse IP du host, le numéro de port source, la valeur de timeout pour le Proxy d'authentification et l'état des connexions qui utilisent le Proxy d'au- thentification. Si l'état du Proxy d'authentification est HTTP_ESTAB alors l'authenti- fication de l'utilisateur a été réussie. ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.