Sécurité - Configuration de

Slides:



Advertisements
Présentations similaires
Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
Advertisements

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Examen Final Sécurité - TRCT Cfi_CCH.
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
Configuration de base de AAA sur un Server d'accès
CBAC - Introduction et Configuration
Comprendre la politique
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Transfert de fichiers utilisant HTTP ou HTTPS
Comprendre et Configurer l'Authentification CHAP PPP
Client VPN pour VPN public Internet
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Configuration Routeur Cisco comme Serveur VPN distant avec SDM
Cisco IOS - Login Enhancements
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
d'un commutateur Catalyst
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
trois réseaux internes
Routage S 2 - Questionnaire N°1 - Réponses
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
entre trois routeurs utilisant des
Sécurité - Listes d'Accès Dynamiques - Lock and Key
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
QoS - Configuration Fragmentation
Liste de contrôle d’accès
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
Transcription de la présentation:

Sécurité - Configuration de l'Authentification Auth-Proxy Inbound IPSEC et Client VPN ccnp_cch

Sommaire - Introduction - Prérequis - Configurer - Configurations - Schéma du réseau - Vérification ccnp_cch

Introduction ccnp_cch La fonctionnalité auth-proxy permet aux utilisateurs d'accéder à un réseau ou à Inter- net via HTTP avec leurs profils d'accès spécifiques récupérés à partir d'un serveur TACACS+ ou RADIUS. Les profils des utilisateurs sont actifs uniquement quand il y a du trafic généré par les utilisateurs authentifiés. Cette configuration est conçue pour que le navigateur web du host 171.68.118.143 soit activé pour atteindre le serveur à l'adresse 17.17.17.17. Comme le client VPN est con- figuré pour passer par l'extrémité 40.31.1.111 du tunnel pour joindre le réseau 17.17. 17.0, le tunnel IPSEC est construit et le PC récupère une adresse IP dans le pool RTP- POOL (car le mode configuration est réalisé). L'authentification est demandée par le routeur Cisco 3640. Quand l'utilisateur a entré son "username" et "password" ( enre- gistrés sur le serveur TACACS+ situé à l'adresse 171.68.118.115), la liste d'accès est passée par le serveur et ajoutée dans la liste d'accès 118. Prérequis Avant de réaliser cette configuration, assurez-vous que ces conditions sont remplies: • Le client VPN Cisco est configuré pour établir un tunnel IPSEC avec le routeur 3640 • Le serveur TACACS+ est configuré pour la fonctionnalité proxy d'authentification Composants matériels et logiciels utilisés Les informations utilisées dans ce document sont basées sur les versions de logiciel et de matériel suivantes: • Cisco IOS Release 12.3(7)T • Cisco Routeur 3640 • Cisco Client VPN 4.0.1 Note: La commande ip auth-proxy a été introduite dans la version IOS 12.0(5).T. Cette configuration a été testée avec l'IOS Cisco release 12.3. ccnp_cch

Configurer Schéma du Réseau Configurations ccnp_cch Dans cette section sont présentées les informations nécessaires pour configurer la fonctionnalité décrite dans ce document. Schéma du Réseau Fa0/0 Fa1/0 R3640 PC Client VPN Serveur TACACS+ Web 171.68.118.115 171.168.118.143 171.68.118.1 40.31.1.1 40.31.1.111 17.17.17.17 14.14.14.14 17.17.17.16 14.14.14.15 Configurations Routeur 3640 Current configuration: ! version 12.3 service timestamps debug uptime service timestamps log uptime service password encryption ! hostname R3640 ! username rtpuser password 0 rtpuserpass ! !-- Username et password pour authentification locale ! aaa new-model aaa group server tacacs+ RTP server 171.168.118.115 ! aaa authentication login default group RTP none aaa authentication login userauth local aaa autorization exec default group RTP none aaa autorization network groupauth local aaa autorization auth-proxy default group RTP enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 enable password ww ! ! ip subnet-zero ! ip auth-proxy auth-proxy-banner http ^C Please Enter Your Username and Password ^C ccnp_cch

ip auth-proxy auth-cache-time 10 ip auth-proxy name Liste_A http ip auth-proxy auth-cache-time 10 ip auth-proxy name Liste_A http ! ip audit notify log ip audit po max-events 100 ! !-- définition de la politique ISAKMP ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! !-- Ces commandes définissent la politique de groupe qui est !-- mise en oeuvre pour le groupe RTPUSERS. !-- Le nom de groupe et la clé doivent correspondre avec ce qui !-- configuré sur le client VPN. Les utilisateurs de ce groupe !-- auront une adresse IP affectée prise dans le pool RTP-POOL ! crypto isakmp client configuration group RTPUSERS key cisco123 pool RTP-POOL ! !-- Définition du transform-set IPSEC et affectation à la !-- crypto map dynamique ! crypto ipsec transform-set RTP-TRANSFORM esp-des esp-md5-hmac ! crypto dynamic-map RTP-DYNAMIC 10 set transform-set RTP-TRANSFORM ! !-- Définition de l'authentification étendue (X-Auth) en !-- utilisant la base de données locale. Cela est fait pour !-- authentifier les utilisateurs avant d'utiliser le tunnel IPSEC !-- pour accéder aux ressources. ! crypto map RTPCLIENT client authentication list userauth ! !-- Définition des autorisations avec la base de données locale !-- Ceci est requis pour transmettre les "configurations mode" !-- vers le client VPN. ! crypto map RTPCLIENT isakmp authorization list groupauth crypto map RTPCLIENT client configuration address initiate crypto map RTPCLIENT client configuration address respond crypto map RTPCLIENT 10 ipsec-isakmp dynamic RTP-DYNAMIC ! interface Ethernet0/0 ip address 40.31.1.111 255.255.255.0 ip access-group 118 in ip auth-proxy Liste_A crypto map RTPCLIENT no ip directed-broadcast no ip mroute-cache ! ccnp_cch

interface Ethernet1/0 ip address 14. 14. 14. 14 255. 255. 255 ! interface Ethernet1/0 ip address 14.14.14.14 255.255.255.0 no ip directed-broadcast ! !-- Définition du pool d'adresses ! ip local pool RTP-POOL 20.20.20.25 20.20.20.50 ! ip classless ! ip route 0.0.0.0 0.0.0.0 14.14.14.15 ip route 171.68.118.0 255.255.255.0 40.31.1.1 ! ! !-- Valide le serveur HTTP et l'authentification ! ip http server ip http authentication aaa ! !-- La liste d'accès 118 permet le passage des paquets IPSEC !-- et ISAKMP pour que le client VPN Cisco établisse le tunnel !-- IPSEC. La dernière ligne de la liste d'accès 118 permet !-- la communication entre le serveur TACACS+ et le routeur !-- Cisco 3640 pour l'authentification et l'autorisation. !-- Tout autre trafic est rejeté. ! access-list 118 permit esp 171.68.118.0 0.0.0.255 host 40.31.1.111 access-list 118 permit udp 171.68.118.0 0.0.0.255 host 40.31.1.111 eq isakmp access-list 118 permit tcp host 171.68.118.115 host 40.31.1.111 ! !-- Définition de l'adresse IP et de la clé pour le serveur TACACS+ ! tacacs-server host 171.68.118.115 key cisco ! ! line cons 0 transport input none line aux 0 line vty 0 4 paswword ww ! end ccnp_cch

Vérification Cette section fournit des informations que vous pouvez utiliser pour vérifier votre con- figuration. Etablissez un tunnel IPSEC entre le PC et le routeur 3640. Ouvrez un navigateur sur le PC et accédez à http://17.17.17.17. Le routeur Cisco 3640 intercepte ce trafic HTTP, déclenche le proxy d'authentification et demande un "username" et un mot de passe. Le routeur Cisco 3640 transmet le mot de passe et le "username" au serveur TACAS+ pour l'authentification. Si l'authentification est réussie, vous devez pouvoir afficher les pages du serveur Web à l'adresse 17.17.17.17. Commandes show • show ip access-lists -- Affiche les ACLs standards et étendues configurées sur le routeur pare-feu (entrées dynamiques des ACLS incluses). Les entrées dynamiques des ACLS sont ajoutées ou retirées si l'authentification réussit ou échoue. La sortie ci-dessous montre la liste d'accès 118 avant l'activation du proxy d'au- thentification. R3640# show ip access-lists 118 Extended IP access-list 118 10 permit esp 171.68.118.0 0.0.0.255 host 40.31.1.111 (321 matches) 20 permit udp 171.68.118.0 0.0.0.255 host 40.31.1.111 eq isakmp (276 matches) 30 permit tcp host 171.68.118.115 host 40.31.1.111 (174 matches) La sortie ci-dessous montre la liste d'accès 118 après l'activation du proxy d'au- thentification et une authentification réussie de l'utilisateur. R3640# show ip access-lists 118 Extended IP access-list 118 permit tcp host 20.20.20.26 any (7 matches) permit udp host 20.20.20.26 any (14 matches) permit icmp host 20.20.20.26 any 10 permit esp 171.68.118.0 0.0.0.255 host 40.31.1.111 (321 matches) 20 permit udp 171.68.118.0 0.0.0.255 host 40.31.1.111 eq isakmp (276 matches) 30 permit tcp host 171.68.118.115 host 40.31.1.111 (174 matches) Les trois premières lignes de la liste d'accès sont les entrées définies pour cet utili- sateur et téléchargées depuis le serveur TACACS+. ccnp_cch

• show ip auth-proxy-cache -- Affiche soit les entrées du proxy d'authentification soit la configuration courante du proxy d'authentification. Le mot clé cache permet de lister l'adresse IP du host, le numéro de port source, la valeur du timeout pour le proxy d'authentification et l'état des connexions qui utilisent le proxy d'authen- tification. Si l'état du proxy d'authentification est ESTAB, alors l'authentification de l'utilisateur est réussie. R3640# show ip auth-proxy Authentication Proxy Cache Client IP 20.20.20.26 port: 1705, timeout 5, state ESTAB ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.