Télécharger la présentation
Publié parGaspard Rousseau Modifié depuis plus de 7 années
1
TP Sécurité - Sécuriser l’accès d’administration en utilisant
AAA et RADIUS CFI_Site_Paris
2
Objectifs Partie 1: Configurtion de base des équipements réseau
▪ Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d’accès. ▪ Configurer le routage statique. Partie 2: Configurer l’authentification locale ▪ Configurer une base de données locale d’utilisateurs et l’accès local pour les lignes console, vty et aux. ▪ Tester la configuration Partie 3: Configurer l’authentification locale en utilisant AAA ▪ Configurer la base de données locale d’utilisateurs en utilisant la CLI. ▪ Configurer l’authentification locale AAA en utilisant la CLI. ▪ Configurer l’authentification locale en utilisant le SDM ▪ Test de la configuration Partie 4: Configurer l’authentification centralisée en utilisant AAA et RADIUS ▪ Installer un serveur RADIUS sur un ordinateur ▪ Configurer les utilisateurs sur le serveur RADIUS ▪ Configurer les services AAA sur un routeur pour accéder au serveur RADIUS pour l’authentification en utilisant la CLI. l’authentification en utilisant SDM. ▪ Test de la configuration RADIUS. Rappels La forme la plus basique d’accès sécurisé à un routeur est de créer des mots de passe pour les lignes console, vty et aux. Un utilisateur est invité à entrer uniquement un mot de passe quand il accède au routeur. Configurer un mot de passe enable secret pour le mode EXEC privilégié améliore la sécurité mais eul un mot de passe est toujours requis pour chaque mode d’accès. En plus des mots de passe de base, des noms d’utilisateurs ou des comptes avec des niveaux de privilège différents et qui s’appliquent au routeur dans sa totalité peuvent être définis dans la base de données locale du routeur . Quand les lignes console, vty ou aux sont configurées pour faire référence à cette base de données locale, l’utilisateur est invité à entre un nom d’utilisateur et un mot de passe quand il utilise une des ces lignes pour accéder au routeur. Un contrôle additionnel sur le processus de login peut être effectué en utilisant AAA (Authentication, Authorization, Accounting). Pour l’authentification de base, AAA peut être configuré pour accéder à la base de données locale pour les logins des utilisateurs. Toutefois cette approche n’est pas évolutive car il faut faire la configuration sur chaque routeur. Pour profiter pleinement de l’avantage de AAA et obtenir le maximum d’évolutivité, AAA est utilisé en conjonction avec une base de données externe de serveur TACACS+ ou RADIUS. Quand un utilisateur tente de se connecter, le routeur interroge la base de CFI_Site_Paris
3
données externe du serveur pour vérifier si cet utilisateur se connecte un nom d’utilisateur
et un mot de passe corrects. Dans ce lab, vous construisez un réseau avec plusieurs routeurs et vous configurez les routeurs et les hosts. Vous utilisez plusieurs commandes CLI et ls outils SDM pour configurer les routeurs avec l’authentification locale de base, et l’authentification locale utilisant AAA. Vous installez le logiciel RADIUS sur un ordinateur externe et vous utilisez AAA pour authentifier les utilisateurs avec le serveur RADIUS. Note: Assurez-vous que les routeurs et les commutateurs n’ont pas de configuration de démarrage. Ressources requises • 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable) • 2 commutateurs (Cisco 2960 ou comparable) • PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible • PC-C : Windows XP ou Vista • Tous les câbles pour connecter le équipements. CFI_Site_Paris
4
- Etape 1: Configuration du client léger VPN SSL
1. Dans l'application SDM, cliquez sur Configurer. a. A partir du panneau de navigation choisissez VPN> SSL VPN. b. Cliquez sur l'onglet Créer SSL VPN. c. Cliquez sur le bouton radio Créer un SSL VPN. d. Cliquez sur le bouton Lancer la tâche sélectionnée. CFI_Site_Paris
5
2. L'Assistant SSL VPN se lance. Cliquez sur Suivant.
Fa0/0 /24 R1 /24 .1 .2 R1P1 /24 S0/0/0 DCE /24 /24 .10 .230 POP3 Port 110 Telnet SSH .240 STA SDM R2 SMTP Port 25 CFI_Site_Paris
6
Entrez l'adresse IP et le nom unique pour la passerelle VPN SSL
Entrez l'adresse IP et le nom unique pour la passerelle VPN SSL. Cliquez sur Suivant. CFI_Site_Paris
7
3. L'écran Authentification utilisateur permet de fournir l'authentification aux utilisateurs Cette configuration utilise un compte crée localement sur le routeur. Vous pouvez utiliser un serveur AAA (Authentication, Authorization, Accounting) a. Cliquez sur le bouton radio Localement sur ce routeur b. Pour ajouter un utilisateur cliquez sur Ajouter. c. Entrez l'information utilisateur dans l'écran Ajouter un compte et cliquez sur OK c. Cliquez sur Suivant dans l'écran Authentification utilisateur. CFI_Site_Paris
8
d. L'écran Assistant SSL VPN permet la configuration des sites Web Intranet mais cette étape est sautée car le principe du "Port Forwarding" est utilisé pour l'accès à cette application. Si vous voulez autoriser l'accès aux sites Web, utilisez les configurations VPN SSL sans client. Cliquez sur Suivant. CFI_Site_Paris
9
e. Décochez la case Activer Full Tunnel. Cliquez sur Suivant.
CFI_Site_Paris
10
4. Personnalisez l'apparence de la page de portail WebVPN ou acceptez l'apparence par défaut a. Cliquez sur Suivant. CFI_Site_Paris
11
b. Un résumé de la configuration est affiché puis cliquez sur Terminer.
CFI_Site_Paris
12
CFI_Site_Paris
13
5. Vous avez crée une passerelle WebVPN et un contexte WebVPN avec une politique de
groupe liée. Configurez les ports du Client léger qui sont disponibles quand le client se connecte au WebVPN a. Choisissez Configurer. b. Choisissez VPN> SSL VPN c. Choisissez Créer SSL VPN d. Choisissez le bouton radio Configurer les fonctions advances d'un SSL VPN existant puis cliquez sur Lancer la tâche sélectionnée. CFI_Site_Paris
14
e. L'écran ….. affiche les capacités de l'Assistant. Cliquez sur Suivant.
CFI_Site_Paris
15
f. Sélectionnez le VPN SSL et le groupe d'utilisateurs
f. Sélectionnez le VPN SSL et le groupe d'utilisateurs. Cliquez sur Suivant. CFI_Site_Paris
16
g. Choisissez Client Léger (Transfert de ports) et ensuite cliquez sur Suivant.
CFI_Site_Paris
17
h. Entrez les ressources que vous voulez rendre disponibles au travers du Port For warding. Le port du service doit être un port statique mais vous pouvez accepter le port par défaut sur le PC client affecté par l'assistant. Cliquez sur Suivant. i. Cliquez sur Ajouter et remplissez les différents champs puis cliquez sur OK. Renouvellez l'opération pour les différentes applications. Cliquez sur Terminer. CFI_Site_Paris
18
j. Un résumé de la configuration est affiché. Cliquez sur Terminer.
CFI_Site_Paris
19
CFI_Site_Paris
20
- Etape 2 : Vérification de la configuration
Utilisez cette section pour vérifier que votre configuration fonctionne correctement Utilisez un ordinateur client pour accéder à la passerelle WebVPN à way_ip_address. Rappelez-vous d'inclure un nom de domaine WebVPN si vous créez des contextes WebVPN uniques. Par exemple si vous créez un nom de domai- ne appelé sales, entrez 2. Entrez le login et acceptez le certificat proposé par la passerelle WebVPN. Cliquez sur Start Application Access. CFI_Site_Paris
21
L'option Aide fournit des informations sur les diverses options disponibles dans le
SDM pour la configuration du routeur. 3. Un écran Application Access s'affiche. Vous pouvez accéder à une application avec le numéro de port local et votre adresse IP locale de loopback. Par exemple pour l'accès Telnet au routeur1, entrez telnet Le petit Applet Java trans met l'information à la passerelle WebVPN qui ensuite relie les deux extrémités de la session de manière sécurisée. Les connexions réussies font croître les valeurs des colonnes Bytes Out et Bytes In. CFI_Site_Paris
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.