Authentification CHAP PPP Utilisation des commandes ppp chap hostname

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Configuration RNIS Accès de Base (BRI)
show dialer interface bri
Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration Routeur SOHO77
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
CBAC - Introduction et Configuration
Comprendre la politique
Station A Station B RNIS Fa0/0 BRI0/0 BRI0/0 Fa0/0 Rouen Le Havre S0/0
SNMP - Comment calculer l'utilisation de la Bande passante
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Comportement de RIP & IGRP avec les mises à jour de Routage
Commande show ip dhcp binding
Comprendre et Configurer l'Authentification CHAP PPP
Comprendre les VPDN (Virtual Private Dial-up Networks)
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Commande show ip route ccnp_cch ccnp_cch.
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
DDR Backup avec Interface BRI & Dialer-Watch
DDR Backup avec Interface BRI & Commande Backup Interface
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
- Mapper des appels sortants Passerelles Analogiques
Configuration de Voice VLAN
Comprendre la sortie de la commande debug ppp negotiation
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
Configuration DDR Standard avec interfaces RNIS BRI
Résolution de problèmes sur l'authentification
Configuration de routes Statiques Flottantes
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
OSPF - Routage Inter-Area
OSPF - Configuration initiale sur des Sous-Interfaces Frame Relay
TP - IPv6 Tunnels Manuels
Configuration DDR Standard Sites multiples aves RNIS
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration DDR RNIS avec encapsulations dynamiques multiples
Configuration BGP - Attribut AS_Path
QoS - Configuration Fragmentation
Projet PPE SISR.
Configuration Routeur SOHO77
MPLS - Flux de Paquets dans un VPN MPLS
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
OSPF - Redistribution des réseaux directement connectés
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Transcription de la présentation:

Authentification CHAP PPP Utilisation des commandes ppp chap hostname et ppp chap authentication callin ccnp_cch ccnp_cch

Sommaire • Introduction - Rappel de théorie • Configurer - Configuration de l'authentification CHAP unidirectionnelle - Configuration d'un nom d'utilisateur différent de celui du routeur - Schéma de réseau - Configurations - Explication des configurations - Résolution de problèmes ccnp_cch

Introduction Configurer ccnp_cch La négociation PPP inclut plusieurs étapes comme la négociation LCP (Link Control Protocol) , l'authentification et la négociation NCP (Network Control Protocol). Si les deux extrémités ne peuvent pas s'authentifier avec les paramètres corrects, la connexion est libérée. Une fois que la liaison est établie, les deux extrémités s'authen- tifient mutuellement avec le protocole choisi durant la négociation LCP. L'authentification doit être réussie avant de passer à la négociation NCP. PPP supporte deux protocoles d'authentification : Password Authentication Protocol (PAP) et Challenge Handshake Authentication Protocol (CHAP). Rappel de théorie L'authentification PAP inclut un échange en deux étapes dans lequel le mot de passe et le nom d'utilisateur sont transmis en clair. Par conséquent l'authentification PAP ne fournit pas de protection contre l'espionnage de liaison et la réutilisation du nom d'utilisateur et du mot de passe. L'authentification CHAP au contraire vérifie périodiquement l'identité du proche en utilisant un échange en trois étapes. Une fois que la liaison PPP est établie, le host transmet un message "challenge" au noeud distant. Le nœud distant répond avec une valeur calculée utilisant une fonction de hachage . Le host test la réponse avec son propre calcul de valeur "hash" attendue. Si les valeurs sont identiques, l'authentification est réussie sinon la connexion est libérée. Configurer Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Configuration de l'authentification CHAP unidirectionnelle Quand deux équipements utilisent normalement l'authentification CHAP, chaque extrémité transmet un message "challenge" auquel l'autre extrémité répond puis est authentifiée par le "Challenger". Chaque extrémité s'identifie avec l'autre extrémité de manière indépendante. Si vous opérez avec des équipements ou routeurs autres que Cisco qui ne supportent pas l'authentification par le routeur ou l'équipement appelant, vous devez utiliser la commande ppp authentication chap callin. Quand vous utilisez la commande ppp authentication avec le mot-clé callin, le serveur d'accès s'authentifiera avec l'équipement distant si l'équipement distant initie l'appel (par exemple , si l'équipe- ment distant "called in"). Dans ce cs l'authentification est spécifiée pour les appels entrants uniquement. ccnp_cch

Configuration dun nom d'utilisateur différent de celui du routeur Quand un routeur Cisco distant se connecte à un routeur central Cisco ou autre placé sous un contrôle administratif différent, un FAI (Fournisseur d'Accès Internet) ou un ensemble de routeurs centraux, il est nécessaire de configurer un nom d'utilisateur pour l'authentification différent de celui du routeur. Dans cette situation, le nom du routeur n'est fourni ou n'est pas toujours le même. De même le nom d'utilisateur et le mot de passe fournis par le FAI ne correspond pas à ceux du routeur distant. Pour ces situations, la commande ppp chap hostname est utilisée pour spécifier un nom d'utilisateur différent du nom du routeur qui sera utilisé pour l'authentification. Par exemple, considérons une situation dans laquelle plusieurs équipements distants appellent vers le site central. Avec une utilisation normale de l'authentification CHAP, le nom d'utilisateur (qui doit être le nom du routeur) et le secret partagé de chacun des équipements distants doivent être configués sur le routeur central. Dans ce scénarion, la configuration du routeur central peut prendre du temps et être compliquée à gérer. Cependant si les équipements distants utilisent un nom d'utuili- sateur différent de celui de leur nom de host, le problème cité auparavant peut être évité. Le site central peut être configuré avec un seul nom d'utilisateu et un secret partagé qui peuvent être utilisés pour authentifier plusieurs client appelants. Schéma de réseau Si le Routeur 1 initie un appel vers le Routeur 2, le Routeur 2 enverra un challenge au Routeur 1 pour qu'il s'authentifie mais le Routeur 1 n'enverra pas de challenge pour authentifier le Routeur 2. Ceci se produit car la commande ppp authentication chap callin a été exécutée sur le Routeur 1. Ceci est un exemple d'authentification unidirectionnelle. Dans cette configuration, la commande ppp chap hostname alias-r1 a été exécutée sur le Routeur 1. Le Routeur 1 utilise "alias-r1" comme nom de host pour l'authen- tification CHAP au lieu de "r1". Le nom de correspondance pour le "dialer map" sur le Routeur 2 doit correspondre au ppp chap hostname du Routeur 1; Autrement deux canaux B seront établis, un pour chaque sens. Routeur 1 Routeur 2 BRI0/0 BRI0/0 RNIS/PPP ccnp_cch

Configurations Routeur 1 Routeur 2 ccnp_cch ! isdn switch-type vn3 ! hostname r1 ! username r2 password 0 cisco ! !Nom de l'autre routeur et mot de passe secret ! interface BRI0/0 ip address 20.1.1.1 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.2 name r2 broadcast 0140314652 dialer-group 1 isdn switch-type vn3 ppp authentication chap callin ! !-- authentification sur les appels entrants ! ppp chap hostname alias-r1 ! !-- Nom de host CHAP alternatif ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ! Routeur 2 ! isdn switch-type vn3 ! hostname r1 ! username alias-r1 password 0 cisco ! !-- Nom de l'autre routeur et mot de passe secret doit correspondre au !-- username de la commande ppp chap hostname sur le Router 1 ! interface BRI0/0 ip address 20.1.1.2 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.2 name alias-r1 broadcast 0140314611 ! !-- name doit correspondre au username de ppp chap hostname sur le !-- Router 1 ! dialer-group 1 isdn switch-type vn3 ppp authentication chap ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ccnp_cch

ccnp_cch Explication des configurations Routeur 2 (r2) Routeur 1 (r1) r1 initie l'appel 1 3 challenge username r2 4 2 r1 cherche dans sa base locale username "r2" cisco MD5 challenge hash 6 hash de "alias-r1" 5 7 r2 cherche dans sa base locale username "alias-r1" cisco MD5 challenge hash 8 = Oui Authentification réussie 9 1. Dans cet exemple, le Routeur 1 initie l'appel. Comme le Routeur 1 est configuré avec la commande ppp authentication chap callin, il n'activera pas d'authentifi- cation avec la partie appellante (Routeur 2). 2. Quand le Routeur 2 reçoit l'appel, il transmet un message challenge au Routeur 1 pour l'authentification. Par défaut pour cette authentification, le nom de host du routeur est utilisé pour son identification. Si la commande ppp chap hostname name est utilisée, le routeur utilise le mot-clé name à la place de son nom de host pour s'identifier. Dans cet exemple le message Challenge indique "r2" comme origine. 3. Le Routeur 1 reçoit le challenge du Routeur 2 et regarde dans sa base de données locale si "r2" existe. 4. Le Routeur 1 trouve "r2" avec le mot de passe cisco associé. Le Routeur 1 utilise ce mot de passe et le message Challenge comme valeurs d'entrée de la fonction de hachage MD5. ccnp_cch

Résolution de problème 5. Le Routeur 1 transmet la valeur de hash calculée au Routeur 2 dans un message de réponse. Comme la commande ppp chap hostname alias-r1 est utlisée, le message de réponse contient l'identification "alias-r1" pour la source de la réponse. 6. Le Routeur 2 reçoit la réponse et regarde dans sa base de données locale si "alias-r1" existe avec le mot de passe associé. 7. Le Routeur 2 trouve le mot de pass cisco associé à "alias-r1". Le Routeur 2 utilise ce mot de passe et les infomations du message Challenge comme paramètres d'entrée de la fonction de hachage MD5. La fonction de hachage génère la valeur de hash. 8. Le Routeur 2 compare la valeur de hash reçue et la valeur de hash calculée. 9. Si les deux valeurs sont identiques, le Routeur 2 transmet un message d'authenti- fication réussie. Résolution de problème Cette section fournit des informations que vous pouvez utiliser pour la résolution de problèmes. L'exemple suivant concerne la commande debug ppp authentication. Router 1 r1#ping 20.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds: * Mar 20 15:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up * Mar 20 15:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1, is now connected to 0140314652 * Mar 20 15:06:27.187: BRI0/0:1 PPP: Treating connection as a callout * Mar 20 15:06:27.179: BRI0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2" !-- Réception du message Challenge de r2 * Mar 20 15:06:27.223: BRI0/0:1 CHAP: Using alternate hostname alias-r1 !-- Utilisation du nom configuré par la commande ppp chap hostname * Mar 20 15:06:27.223: BRI0/0:1 CHAP: 0 RESPONSE id 57 len 29 from "alias-r1 !-- Envoi de la réponse avec "alias-r1" pour identification * Mar 20 15:06:27.243: BRI0/0:1 CHAP: I SUCCESS id 57 len 4 !-- Réception du message d'authentification réussie .!!!! Succes rate is 80 percent (4/5) round-trip min/avg/max = 36/38/40 ms r1# * Mar 20 15:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up * Mar 20 15:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 0140314652 r2 ccnp_cch

Router 2 * Mar 20 15:05:20.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up * Mar 20 15:05:20.183: %ISDN-6-CONNECT: Interface BRI0/0:1, is now connected to 0140314611 * Mar 20 15:06:20.187: BRI0/0:1 PPP: Treating connection as a callin * Mar 20 15:06:27.179: BRI0/0:1 CHAP: 0 CHALLENGE id 57 len 23 from "r2" !-- Emission du message Challenge de r2 * Mar 20 15:05:20.223: BRI0/0:1 CHAP: I RESPONSE id 57 len 29 from "alias-r1 !-- Réception de la réponse avec "alias-r1" pour identification * Mar 20 15:05:20.243: BRI0/0:1 CHAP: 0 SUCCESS id 57 len 4 !-- Emission du message d'authentification réussie * Mar 20 15:05:33.179: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up * Mar 20 15:05:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 0140314611 alias-r1 ccnp_cch