Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parSandrine Clément Modifié depuis plus de 7 années
1
TP Sécurité - Sécuriser l’accès d’administration en utilisant
AAA et RADIUS CFI_Site_Paris
2
Objectifs Partie 1: Configuration de base des équipements réseau
▪ Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d’accès. ▪ Configurer le routage statique. Partie 2: Configurer l’authentification locale ▪ Configurer une base de données locale d’utilisateurs et l’accès local pour les lignes console, vty et aux. ▪ Tester la configuration Partie 3: Configurer l’authentification locale en utilisant AAA ▪ Configurer la base de données locale d’utilisateurs en utilisant la CLI. ▪ Configurer l’authentification locale AAA en utilisant la CLI. ▪ Configurer l’authentification locale en utilisant le SDM ▪ Test de la configuration Partie 4: Configurer l’authentification centralisée en utilisant AAA et RADIUS ▪ Installer un serveur RADIUS sur un ordinateur ▪ Configurer les utilisateurs sur le serveur RADIUS ▪ Configurer les services AAA sur un routeur pour accéder au serveur RADIUS pour l’authentification en utilisant la CLI. pour l’authentification en utilisant SDM. ▪ Test de la configuration RADIUS. Rappels La forme la plus basique d’accès sécurisé à un routeur est de créer des mots de passe pour les lignes console, vty et aux. Un utilisateur est invité à entrer uniquement un mot de passe quand il accède au routeur. Configurer un mot de passe enable secret pour le mode EXEC privilégié améliore la sécurité mais seul un mot de passe est toujours requis pour chaque mode d’accès. En plus des mots de passe de base, des noms d’utilisateurs ou des comptes avec des niveaux de privilège différents et qui s’appliquent au routeur dans sa totalité peuvent être définis dans la base de données locale du routeur . Quand les lignes console, vty ou aux sont configurées pour faire référence à cette base de données locale, l’utilisateur est invité à entre un nom d’utilisateur et un mot de passe quand il utilise une des ces lignes pour accéder au routeur. Un contrôle additionnel sur le processus de login peut être effectué en utilisant AAA (Authentication, Authorization, Accounting). Pour l’authentification de base, AAA peut être configuré pour accéder à la base de données locale pour les logins des utilisateurs. Toutefois cette approche n’est pas évolutive car il faut faire la configuration sur chaque routeur. Pour profiter pleinement de l’avantage de AAA et obtenir le maximum d’évolutivité, AAA est utilisé en conjonction avec une base de données externe de serveur TACACS+ ou RADIUS. Quand un utilisateur tente de se connecter, le routeur interroge la base de CFI_Site_Paris
3
données externe du serveur pour vérifier si cet utilisateur se connecte un nom d’utilisateur
et un mot de passe corrects. Dans ce lab, vous construisez un réseau avec plusieurs routeurs et vous configurez les routeurs et les hosts. Vous utilisez plusieurs commandes CLI et les outils SDM pour configurer les routeurs avec l’authentification locale de base, et l’authentification locale utilisant AAA. Vous installez le logiciel RADIUS sur un ordinateur externe et vous utilisez AAA pour authentifier les utilisateurs avec le serveur RADIUS. Note: Assurez-vous que les routeurs et les commutateurs n’ont pas de configuration de démarrage. Ressources requises • 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable) • 2 commutateurs (Cisco 2960 ou comparable) • PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible • PC-C : Windows XP ou Vista • Tous les câbles pour connecter le équipements. CFI_Site_Paris
4
R2 R1 R3 S1 S3 Table d'adressage IP CFI_Site_Paris Equipement
DCE DCE /30 /30 S0/0/0 S0/0/1 R1 R3 Fa0/1 Fa0/1 Fa0/5 Fa0/5 S1 S3 Fa0/6 Fa0/18 /24 /24 Table d'adressage IP Equipement Interface Adresse IP Masque Passerelle par défaut Port de commutateur R1 Fa0/ N/A S1 Fa0/5 S0/0/ R2 S0/0/ (DCE) S0/0/ R3 Fa0/ S3 Fa0/5 S0/0/ PC-A Carte S1 Fa0/6 PC-C Carte S3 fa0/18 CFI_Site_Paris
5
Partie 1: Configuration de base des équipements
Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de base tels que les adresse IP des interfaces et le routage statique. Etape 1: Câblage du réseau selon la topologie précédente. Etape 2: Configurer les paramètres de base de chaque routeur. a. Configurez les noms de hosts conformément à la topologie. b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni page précédente. c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés aux interfaces serial. R2(Config)# interface serial s0/0/0 R2(config-if)# clock rate d. Pour éviter que le routeur tente de traduire des commandes incorrectement entrées comme si elles étaient des noms de host, dévalidez la recherche DNS Exemple pour le routeur R1: R1(Config)# no ip domain lookup Etape 3: Configurer les routes statiques sur les routeurs. a. Configurez une route statique par défaut de R1 vers R2 et de R3 vers R2. b. Configurez une route statique sur R2 vers le LAN de R1 et vers le LAN de R3. Etape 4: Configurez les paramètres IP des hosts a. Configurez les adresses IP statiques, le masque de sous-réseau et la passerelle par défaut pour PC-A et PC-C conformément au tableau des adresses IP. Etape 5: Vérifiez la connectivité entre PC-A et R1 a. Faire un ping de R1 vers R3. La commande doit réussir. b. Faire un ping depuis PC-A vers PC-C. La commande doit réussir. Etape 6: Sauvegardez les configurations des trois routeurs sur un serveur TFTP Ces configurations de base pourront être réutilisées pour d'autres Labs. CFI_Site_Paris
6
Etape 7: Configurer des mots de passe cryptés pour R1 et R3.
Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production des mots de passe plus complexes sont requis. Dans cette étape, configurez les mêmes paramètres pour R1 et R3. Le routeur R1 est utilisé comme exemple. a. Utilisez la commande security passwords pour fixer une longueur minimum de 10 caractères pour les mots de passe R1(config)# security passwords min-length 10 b. Configurez le mot de passe enable secret sur les deux routeurs. R1(config)# enable secret cisco12345 c. Configurez un mot de passe console et validez le login pour le routeur R1. Pour plus de sécurité, la commande exec-timeout cause la déconnexion de la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous évite que les messages console perturbent l'entrée de commandes. Note: Pour éviter des logins répétitifs, la commande exec-timeout peut être entrée avec 0 0 ce qui empêche la déconnexion. Toutefois, ceci n'est pas une bonne pratique de sécurité. R1(config)# line console 0 R1(config-line)# password ciscoconpass R1(config-line)# exec-timeout 5 0 R1(config-line)# login R1(config-line)# logging synchronous d. Configurez un mot de passe pour le port AUX sur le routeur R1. R1(config-line)# password ciscoauxpass e. Configurez le mot de passe pour les lignes vty sur le routeur R R1(config)# line vty 0 4 R1(config-line)# password ciscovtypass f. Configurez le cryptage des mots de passe console, aux et vty. R1(config)# service password-encryption h. Entrez la commande show run. Pouvez-vous lire les mots de passe console, aux et vty? Pourquoi?_______________________________________________________ CFI_Site_Paris
7
Partie 2: Configuration de l'authentification locale
Etape 8: Configurer une bannière d'avertissement sur les routeurs R1 et R3 a. Configurez un avertissement pour les utilisateurs non autorisés avec une bannière MOTD (Message of the day) en utilisant la commande banner motd. Quand un utilisateur se connecte à un des routeurs, la bannière MOTD est affichée avant l'invite de login. Dans cet exemple, le signe $ est utilisé pour délimiter le début et la fin du message R1(config)# banner motd $L'acces non autorise est strictement prohibe. Des poursuites judiciaires peuvent etre engagees$ R1(config)# exit b. Utilisez la commande show run. Comment est converti le signe $ dans la sortie?__________________________________________________________________ c. Sortez du mode EXEC privilégié en utilisant la commande disable ou exit et pressez la touche Enter pour recommencer. Est-ce que la bannière MOTD apparaît telle que vous l'avez créée avec la commande banner motd?_____ Note: Si la bannière MOTD n'est pas celle que vous vouliez, recréez la avec la commande banner motd. Etape 9: Sauvegarde de la configuration de base Sauvegardez la configuration courante dans la configuration de démarrage. R1# copy running-config startup-config Partie 2: Configuration de l'authentification locale Dans la partie 2 de ce lab, vous configurez un nom d'utilisateur et un mot de passe et vous changez l'accès au lignes console, aux et vty pour qu'il soit fait référence à la base de données locale du routeur pour vérifier les noms d'utilisateurs et les mots de passe. Exécutez toutes les étapes sur R1 et R3. La procédure pour R1 est celle présentée ici. Etape 1: Configurer la base de données utilisateur locale. a. Créez un compte utilisateur local avec MD5 pour crypter le mot de passe R1(config)# username user01 secret user01pass b. Sortez du mode ce configuration global et afficher la configuration courante. Pouvez-vous lire le mot de passe de l'utilisateur.___________________________ Etape 2: Configurez l'authentification locale pour la ligne console et le login. a. Configurez la ligne console pour qu'elle utilise les noms d'utilisateurs et les mots de passe définis localement. R1(config)# line console 0 R1(config-line)# login local R1(config-line)# end R1# exit CFI_Site_Paris
8
b. Revenez à l'écran initial du routeur qui affiche: R1 con0 is now available,
Press RETURN to get started. c. Connectez-vous en utilisant le compte user01 et le mot passe prédéfini. d. Quelle est la différence entre le login précédent et l'actuel?__________________ ____________________________________________________________________________ e. Après vous être connecté, entrez la commande show run. Pouvez-vous entrer cette commande? Pourquoi?________________________________________________ f. Entrez en mode EXEC privilégié en utilisant la commande enable. Est-ce qu'un mot de passe est demandé? Pourquoi?________________________________ Etape 3: Test du nouveau compte en se connectant par une session Telnet a. A partir de PC-A établissez une session Telnet avec R1. PC-A> telnet b. Avez-vous été invité à entrez un nom d'utilisateur? Pourquoi?_________________ _____________________________________________________________________________ c. Quel mot de passe avez-vous utilisé pour vous connecter?____________________ d. Configurez les lignes vty pour utiliser des comptes utilisateurs définis localement. R1(config)# line vty 0 4 R1(config-line)# login local e. De nouveau à partir de PC-A établissez une session Telnet avec R1. f. Avez-vous été invité à entrez un nom d'utilisateur? Pourquoi?_________________ g. Connectez vous avec user01 et le mot de passe user01pass. h. Lorsque la session Telnet est établie, accédez au mode EXEC privilégié avec la commande enable i. Quel mot de passe avez-vous utilisé?________________________________________ j. Pour plus de sécurité, configurez le port AUX pour utiliser des comptes utilisateurs définis localement. R1(config)# line aux 0 k. Terminez la session Telnet avec la commande exit. CFI_Site_Paris
9
Etape 4: Sauvegarde de la configuration de R1.
a. Sauvegardez la configuration courante dans la configuration de démarrage. R1# copy running-config startup-config b. Utilisez HyperTerminal ou tout autre moyen pour sauvegarder la configuration courante de R1 ainsi elle pourra être utilisée plus tard dans ce lab. Etape 5: Exécution des étapes 1 à 4 sur R3 et sauvegarde de la configuration R3# copy running-config startup-config courante de R3 ainsi elle pourra être utilisée plus tard dans ce lab. Partie 3: Configuration de l'authentification locale sur R3 en utilisant AAA Tâche 1: Configurer la base de données utilisateurs locale en utilisant l'IOS Cisco Note: Si vous voulez configurer AAA avec SDM, allez à la Tâche 3. Etape 1: Configurer la base de données utilisateur locale. a. Créez un compte utilisateur local avec MD5 pour crypter le mot de passe R3(config)# username Admin01 privilege 15 secret Admin01pass b. Sortez du mode ce configuration global et afficher la configuration courante. Pouvez-vous lire le mot de passe de l'utilisateur?___________________________ Tâche 2: Configuration de l'authentification locale AAA en utilisant l'IOS Cisco Etape 1: Valider les services AAA a. Sur R3, validez les services avec la commande aaa new-model en mode configuration global. Comme vous implémentez l'authentification locale, utilisez l'authentification locale comme première méthode et pas d'authentification comme seconde méthode Si vous aviez utilisé une méthode d'authentification avec un serveur distant ,tel que TACACS+ ou RADIUS, vous auriez du configurer une méthode d'authentification secondaire pour le retour en arrière au cas ou le serveur ne répondrait pas. Normalement la méthode secondaire est la base de données locale. Dans ce cas si aucun nom d'utilisateur n'est configuré dans la base de données locale, le routeur autorise tous les logins d'accès utilisateur à l'équipement. b. Valider les services AAA. R3(config)# aaa new-model CFI_Site_Paris
10
Etape 2: Implémenter les services AAA pour l'accès console en utilisant la base de
données locale. a. Créez la liste d'authentification de login par défaut en entrant la commande aaa authentication login default method1[method2][method3] avec une liste de méthodes utilisant les mots clé local et none. R3(config)#aaa authentication login default local none Note: Si vous ne configurez pas une liste de méthodes d'authentification par défaut, vous pourriez verrouiller le routeur et être forcé d'utiliser la procédure de récupération de mot de passe pour ce routeur. b. Revenez à l'écran initial du routeur qui affiche: R3 con0 is now available, Press RETURN to get started. c. Connectez-vous avec la console en utilisant Admin01 et le mot de passe Admin01pass. Les mots de passe sont sensibles à la casse. Pouvez-vous vous connecter? Pourquoi?_______________________________________________________ ____________________________________________________________________________ d. Revenez à l'écran initial du routeur qui affiche: R3 con0 is now available, e. Connectez-vous avec la console en utilisant un nom d'utilisateur quelconque avec un mot de passe quelconque. Pouvez-vous vous connecter? Pourquoi? ___________________________________________________________________________ f. Si aucun compte utilisateur n'est configuré dans la base de données locale, quels utilisateurs sont autorisés à accéder au routeur?______________________ Etape 3: Création d'un profil d'authentification pour Telnet en utilisant la base de a. Créez une liste d'authentification unique pour les accès Telnet au routeur. Il n'y a pas la possibilité de retour en arrière sans authentification ainsi s'il n'y a aucun nom d'utilisateur dans la base de données locale, l'accès Telnet est impossible. Pour créer un profil d'authentification qui n'est pas celui par défaut, spécifiez un nom de liste TELNET_LINES et appliquez la aux lignes vty R3(config)#aaa authentication login TELNET_LINES local R3(config)#line vty 0 4 R3(config-line)#login authentication TELNET_LINES b. Vérifiez que ce profil d'authentification est bien utilisé en ouvrant une session Telnet à partir de PC-C vers R3. PC-C> telnet Trying Open CFI_Site_Paris
11
c. Connectez-vous avec Admin01 et le mot de passe Admin01pass
c. Connectez-vous avec Admin01 et le mot de passe Admin01pass. Pouvez-vous vous connecter? Pourquoi?_________________________________________________ ___________________________________________________________________________ d. Fermez la session Telnet avec la commande exit et ouvrez de nouveau une session Telnet avec R3. e. Connectez-vous avec un nom d'utilisateur quelconque et un mot de passe quelconque. Pouvez-vous vous connecter? Pourquoi? Tâche 3: (Optionnel) configuration de l'authentification AAA locale en utilisant SDM Vous pouvez aussi utiliser SDM pour configurer le routeur pour le support de AAA. Note: Si vous avez configuré l'authentification AAA sur R3 en utilisant les commandes de l'IOS dans tâches 1 et 2, vous pouvez passer cette tâche. Si vous avez exécuté les tâches 1 et 2 et que vous voulez exécuter cette tâche, vous devez restaurer R3 avec sa configuration de base. Même si vous n'exécutez pas cette tâche, lisez les différentes étapes pour vous familiariser avec le processus SDM. Etape 1: Implémenter les services AAA et l'accès HTTP au routeur pour démarrer SDM a. A partir de la CLI en mode de configuration global, validez AAA. R3(config)#aaa new-model b. Validez le serveur HTTP sur R3 pour un accès SDM. R3(config)#ip http server Note: Pour un maximum de sécurité, validez le serveur http sécurisé en utilisant la commande ip http secure-server. Etape 2: Accédez au SDM et fixez les préférences de remise des commandes a. Ouvrez un navigateur sur PC-C et démarrez SDM en entrant l'adresse IP de R3 dans le champ adresse b. Connectez-vous sans nom d'utilisateur et avec le mot de passe enable secret cisco12345. c. Dans la boîte de dialogue Password Needed - Networking, entre cisco12345 dans le champ Password puis cliquez sur Yes d. Configurez SDM pour vous permettre de prévisualiser les commandes avant de les transmettre au routeur. Sélectionnez Edit> Preferences. e. Dans la fenêtre User Preferences cochez la case Preview commands before delivering to routeur puis cliquez sur OK. CFI_Site_Paris
12
Etape 3: Créer un utilisateur d'administration avec SDM.
a. Cliquez sur le bouton Configure en haut de l'écran. b. Sélectionnez Additional Tasks> Router Access> User Accounts/View. c. Dans la fenêtre User Accounts/View, cliquez sur Add d. Dans la fenêtre Add an Account, entrez Admin01 dans le champ Username. e. Entrez le mot de passe Admin01pass dans les champs New Password et Confirm New Password f. Vérifiez que la case Encrypt Password using MD5 Hash Algorithm est cochée. g. Sélectionnez 15 dans la liste déroulante Privilege Level puis cliquez sur OK. h. Dans la fenêtre Deliver Configuration to Router, assurez-vous que la case à cocher Save running config to router's startup config est cochée puis cliquez sur Deliver. i. Dans la fenêtre Commands Delivery Status, cliquez sur OK. CFI_Site_Paris
13
Etape 3: Création de la liste de méthodes AAA pour le login.
a. Cliquez sur le bouton Configure en haut de l'écran. b. Sélectionnez Additional Tasks> AAA> Authentication Policies> Login. c. Dans la fenêtre Authentication Login, cliquez sur Add d. Dans la fenêtre Add a Method List for Authentication Login, vérifiez que la valeur du champ Name est Default. e. Cliquez sur Add dans la section Methods. f. Dans la fenêtre Select Method List(s) for Authentication Login, choisissez local puis cliquez sur OK. Prenez note des autres méthodes listées qui comprennent RADIUS (groupe radius) et TACACS+ (groupe tacacs+). CFI_Site_Paris
14
g. Cliquez sur OK pour fermer la fenêtre.
h. Répétez les étapes 4f et 4g puis choisissez none comme seconde méthode d'authentification. i. Dans la fenêtre Deliver Configuration to Router, assurez-vous que la case à cocher Save running config to router's startup config est cochée puis cliquez sur Deliver. Dans la fenêtre Commands Delivery Status cliquez sur OK. j. Quelles commandes ont été transmises au routeur? _____________________________________________________________________________ _____________________________________________________________________________ Etape 5: Vérifiez le nom d'utilisateur AAA et le profil pour le login console a. Revenez à l'écran initial du routeur qui affiche R3 con0 is now available, Press ENTER to get started. b. Connectez-vous avec la console avec Admin01 et le mot de passe Admin01pass. Pouvez-vous vous connecter? Pourquoi? ______________________________________ ______________________________________________________________________________ c. Revenez à l'écran initial du routeur qui affiche R3 con0 is now available, d. Tentez de vous connecter avec la console en utilisant un nom d'utilisateur quelconque. Pouvez-vous vous connecter? Pourquoi? ________________________ Si aucun compte n'est configuré sur la base de données locale, quels utilisateurs sont autorisés à accéder à l'équipement?_________________________ CFI_Site_Paris
15
e. Connectez-vous avec la console en utilisant le Admin01 et le mot de passe
Admin01pass. Accéder au mode EXEC privilégié en utilisant le mot de passe enable secret cisco12345 puis entrez la commande show run. Quelles commandes sont associées à la session SDM? _____________________________________________________________________________ Tâche 4: Observation de l'authentification AAA locale en utilisant debug de l'IOS Cisco Dans cette tâche, vous allez utiliser la commande debug pour observer des tentatives authentification réussies ou avec échec . Etape 1: Vérifiez que l'horloge et que l'horodatage debug sont configurés correctement. a. A partir du mode EXEC privilégié sur R3, utilisez la commande show clock pour déterminer quel est l'heure courant sur le routeur. Si l'heure et la date ne sont pas correctes, modifiez les avec la commande clock set HH:MN:SS DD month YYYY en mode EXEC privilégié. R3# clock set 14:15:00 07 September 2009 b. Vérifiez que l'information d'horodatage détaillée est disponible pour votre sortie debug en utilisant la commande sh run. Cette commande affiche toutes les lignes de la running config qui comprennent le texte "timestamps" R3# show run | include timestamps service timestamps debug datetime msec service timestamps log datetime msec c. Si la commande service timestamps debug n'est pas présente, entrez la en mode de configuration global. R3(config)# service timestamps debug datetime msec R3(config)# exit d. Sauvegardez la configuration courante dans la configuration de démarrage. R3#copy running-config startup-config Etape 2: Utilisez debug pour vérifier l'accès utilisateur. a. Activez le debugging pour l'authentification AAA. R3#debug aaa authentication AAA Authentication debugging is on b. Démarrez une session Telnet à partir de PC-C vers R3. CFI_Site_Paris
16
c. Connectez-vous avec le nom d'utilisateur Admin01 et le mot de passe
Admin01pass. Observez les événements d'authentification AAA dans la fenêtre de la session console. Les messages debug similaires à ceux qui suivent doivent être affichés R3# Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list 'default' d. A partir de la fenêtre Telnet entrez en mode EXEC privilégié. Utilisez le mot de passe enable secret cisco Les messages debug similaires aux suivants doivent s'afficher. Dans la troisième entrée, notez le nom d'utilisateur (Admin01), le numéro de port virtuel (194) et l'adresse du client Telnet distant ( ). Notez également que la dernière entrée Status est 'PASS'. R3# Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1 Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=194 channel=0 Dec 26 14:40:54.431: AAA/MEMORY: create_user (0x64BB5510) user='Admin01' ruser=' NULL' ds0=0 port='tty194' rem_addr=' ' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0',vrf=(id=0) Dec 26 14:40:54.431: AAA/AUTHEN/START ( ): port='tty194' list='' action=LOGIN service=ENABLE Dec 26 14:40:54.431: AAA/AUTHEN/START ( ): non-console enable – default to enable password Dec 26 14:40:54.431: AAA/AUTHEN/START ( ): Method=ENABLE Dec 26 14:40:54.435: AAA/AUTHEN( ): Status=GETPASS Dec 26 14:40:59.275: AAA/AUTHEN/CONT ( ): continue_login (user='(undef)') Dec 26 14:40:59.275: AAA/AUTHEN( ): Status=GETPASS Dec 26 14:40:59.275: AAA/AUTHEN/CONT ( ): Method=ENABLE Dec 26 14:40:59.287: AAA/AUTHEN( ): Status=PASS Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL' ruser='NULL' port='tty194' rem_addr=' ' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) e. A partir de la fenêtre Telnet sortez du mode EXEC privilégié en utilisant la commande disable. Essayez de nouveau d'entrer en mode EXEC privilégié mais utilisez un mot de passe incorrect cette fois-ci. Observez la sortie de debug sur R3, notez cette fois que le status est 'FAIL'. Dec 26 15:46:54.027: AAA/AUTHEN( ): Status=GETPASS Dec 26 15:46:54.027: AAA/AUTHEN/CONT ( ): Method=ENABLE Dec 26 15:46:54.039: AAA/AUTHEN( ): password incorrect Dec 26 15:46:54.039: AAA/AUTHEN( ): Status=FAIL Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL' CFI_Site_Paris
17
f. A partir de la fenêtre Telnet, fermez la session vers le routeur
f. A partir de la fenêtre Telnet, fermez la session vers le routeur. Ensuite essayez d'ouvrir une nouvelle session Telnet mais cette-fois-ci connectez vous avec le nom d'utilisateur Admin01 et un mot de passe incorrect. Dans la fenêtre de la console, la sortie debug doit ressembler à la suivante: Dec 26 15:49:32.339: AAA/AUTHEN/LOGIN (000000AA): Pick method list 'default' Quel message est affiché sur l'écran du client Telnet?_________________________ _____________________________________________________________________________ g. Arrêter le debugging en utilisant la commande undebug en mode EXEC privilégié. Partie 4: Configuration de l'authentification centralisée en utilisant AAA et RADIUS Dans la partie 4 de ce lab, vous allez installer un logiciel serveur RADIUS sur PC-A. Vous allez ensuite configurer le routeur R1 pour qu'il accède au serveur externe pour l'authentification utilisateur. Le logiciel gratuit WinRadius est utilisé dans cette partie de lab. Tâche 1: Restaurer R1 avec sa configuration de base Pour éviter toute confusion entre ce qui avait déjà été entré et la configuration RADIUS, commencez par restaurer le routeur R1 avec sa configuration de base. Etape 1: Effacement de la configuration et redémarrage du routeur. a. Connectez à la console de R1 puis connectez-vous avec le nom d'utilisateur Admin01 et le mot de passe Admin01pass. b. Entrez en mode EXEC privilégié avec le mot de passe cisco12345. c. Effacez la configuration de démarrage puis entrez la commande reload pour redémarrer le routeur. Etape 2: Restaurer la configuration de base. a. Quand le routeur a redémarré, entrez en mode EXEC privilégié avec la commande enable puis entrez en mode de configuration global. Utilisez la fonction Transfer> Send File de HyperTerminal ou toute autre méthode pour charger la configuration de base créée dans la partie 2 de ce lab sur R b. Testez la connectivité avec un ping entre PC-A et PC-C c. Si vous êtes déconnecté de la console, connectez-vous de nouveau avec le nom d'utilisateur user01 et le mot de passe user01pass puis accédez au mode EXEC privilégié en entrant le mot de passe cisco d. Sauvegardez la configuration courante dans la configuration de démarrage en utilisant la commande copy run start. CFI_Site_Paris
18
Tâche 2: Téléchargement et installation d'un serveur RADIUS sur PC-A
Il a plusieurs serveurs RADIUS disponibles, gratuits ou commerciaux. Ce lab utilise WinRadius, un serveur RADIUS standardisé gratuit qui opère sur Windows XP et la majorité des autres systèmes d'exploitation Windows. La version gratuite de WinRadius supporte uniquement 5 noms d'utilisateurs. Etape 1: Téléchargement du logiciel WinRadius a. Créez un dossier nommé WinRadius sur votre ordinateur pour stocker les fichiers. b. Téléchargez la dernière version à partir du site soft/itconsult2000/winradius/. c. Sauvegardez le zip téléchargé dans le dossier crée à l'étape 1a et l'extraire dans le même dossier. Il n' ya pas d'installation. Le fichier extrait est directement exécutable. d. Vous pouvez une icône sue le bureau pour WinRadius. Etape 2: Configurer la base de données du serveur WinRadius a. Lancer l'application WinRadius.exe. WinRadius utilise une base de données locale dans lequel il stocke l'information utilisateur. Quand l'application est démarrée pour la première fois, les messages suivants sont affichés: Please go to “Settings/Database and create the ODBC for your RADIUS database. Launch ODBC failed b. Sélectionnez Settings> Database à partir du menu principal . L'écran suivant est affiché. Cliquez sur le bouton Configure ODBC automatically et ensuite cliquez sur OK. Vous devez voir un message que l'ODBC a été créée avec succès. Sortez de WinRadius et redémarrer l'application pour que les modifications prennent effet. CFI_Site_Paris
19
c. Quand le serveur WinRadius démarre de nouveau, vous voir des messages
similaires à ceux-ci: d. Sur quels ports WinRadius écoute-t-il pour l'authentification et l'accounting? ___________________________________________________________________________ CFI_Site_Paris
20
Etape 3: Configuration des utilisateurs et des mots de passe sur le serveur WinRadius Note: La version gratuite de WinRadius peut supporter uniquement cinq utilisateurs. Les noms d'utilisateurs sont perdus si vous sortez de l'application et si vous la redémarrer. Tout utilisateur crée dans les sessions précédentes devra être recrée. Notez que le premier message dans le premier écran montre qu'aucun utilisateur n'a été créé. Aucun utilisateur n'a été créé auparavant mais ce message est affiché chaque fois que WinRadius est démarré que des utilisateurs aient été créés ou non a. A partir du menu principal, sélectionnez Operation> Add User b. Entrez RadUser dans le champ User name avec le mot de passe RadUserpass dans le champ Password. Attention les mots de passe sont sensibles à la casse. c. Cliquez sur OK. Vous devez voir un message indiquant que l'utilisateur a été créé sur l'écran. Etape 4: Effacer l'affichage du log. A partir du menu principal, sélectionnez Log> Clear. Etape 5: Test du nouvel utilisateur ajouté en utilisant l'utilitaire de test de WinRadius à partir de R3. a. Un utilitaire de test de WinRadius est inclus dans le fichier zip téléchargé. Naviguez vers le dossier dans lequel se trouve le fichier décompressé et localisez le fichier RadiusTest.exe. CFI_Site_Paris
21
b. Démarrez l'application RadiusTest et entrez l'adresse IP de ce serveur RADIUS.
( ), le nom d'utilisateur RadUser et le mot de passe RadUserpass. Ne changez par le numéro de port Radius par défaut 1813 et le mot de passe RADIUS de WinRadius c. Cliquez sur Send et vous devez voir un message Send Access_Request indiquant que le serveur à l'adresse port 1813 a reçu 44 caractères hexadécimaux. Sur l'affichage du log WinRadius, vous devez également voir un message indiquant que l'utilisateur RadUser a été authentifié avec succès. d. Fermez l'application RadiusTest. Tâche 3: Configuration des services AAA sur R1 et l'accès au serveur Radius en utilisant la CLI de l'IOS Cisco Note: Si vous voulez configurer AAA en utilisant SDM, allez à la Tâche 5. Etape 1: Validez AAA sur R1. Utilisez la commande aaa new-model en mode de configuration global pour valider AAA. R1(config)# aaa new-model Etape 2: Configurez la liste d'authentification default login a. Configurer la liste pour la première utilisation de RADIUS pour le service d'authentification et ensuite "none" Si aucun serveur RADIUS ne peut être atteint et que l'authentification ne peut pas être faite, le routeur autorise l'accès globalement sans authentification. C'est une mesure de précaution si le routeur démarre sans connectivité vers un serveur RADIUS actif. R1(config)#aaa authentication login default group radius none CFI_Site_Paris
22
b. Vous pouvez configurer de manière alternative une authentification locale
comme méthode d'authentification de remplacement. Note: Si vous ne configurer pas de liste de méthode d'authentification par défaut, vous pourriez verrouiller le routeur et être obligé d'utiliser la procédure de récupération de mot de passe pour votre routeur. Etape 3: Spécifier un serveur RADIUS. Utilisez la commande radius-server host hostname key key pour désigner le serveur RADIUS. Le paramètre hostname accepte soit un nom de host soit une adresse IP. Utilisez l'adresse Ip du serveur RADIUS PC-A ( ). La clé est un mot de passe secret partagé entre le serveur RADIUS et le client RADIUS (R1 dans ce cas) et utilisé pour authentifier la connexion entre le serveur et le routeur avant que le processus d'authentification soit mis en place. Le client RADIUS peut peut être un NAS (Network Access Server) mais c'est le routeur R1 qui joue ce rôle dans ce lab. Utilisez le mot de passe secret du NAS de WinRadius spécifié sur le serveur RADIUS (Tâche 2, Etape 5). Attention les mots de passe sont sensibles à la casse. R1(config)#radius-server host key WinRadius Tâche 4: Test de la configuration AAA RADIUS Etape 1: Vérification de la connectivité entre R1 et l'ordinateur sur lequel opère le serveur RADIUS. Ping depuis R1 vers PC-A. R1#ping Si le ping ne fonctionne pas vous devez résoudre le problème avant de passer à l'étape suivante. Etape 2: Test de la configuration. a. Si vous redémarrez le serveur WinRadius, vous devez recréer l'utilisateur RadUser avec le mot de passe RadUserpass en sélectionnant Operation> Add User. b. Effacez les logs sur le serveur WinRadius en sélectionnant Log> Clear dans le menu principal. c. Sur R1 revenez à l'écran initial du routeur qui affiche R1 con0 is now available, Press RETURN to get started. d. Testez votre configuration en vous connectant sur R1 par la console en utilisant le nom d'utilisateur RadUser et le mot de passe RadUserpass. Pouvez-vous vous connecter et si cela est le cas, avez-vous remarqué un délai?______________ ______________________________________________________________________________ e. Sur R1 revenez à l'écran initial du routeur qui affiche R1 con0 is now CFI_Site_Paris
23
suivants sont affichés sur le routeur après des tentatives de login.
f. Testez de nouveau votre configuration en vous connectant sur R1 par la console et en utilisant un nom d'utilisateur inexistant Userxxx et le mot de passe Userxxxpass. Pouvez-vous vous connecter ? Pourquoi?________________________ ______________________________________________________________________________ g. Est-ce que des messages de log ont été affichés sur le serveur RADIUS pour chacune des connexions?____________________________________________________ h. Pourquoi un utilisateur non existant est-il capable de se connecter au routeur et qu'aucun message n'est affiché dans l'écran de log du serveur RADIUS? _____________________________________________________________________________ i. Quand le serveur RADIUS est indisponible, des messages similaires aux suivants sont affichés sur le routeur après des tentatives de login. *Dec 26 16:46:54.039: %RADIUS-4-RADIUS_DEAD: RADIUS server :1645,1646 is not responding. *Dec 26 15:46:54.039: %RADIUS-4-RADIUS_ALIVE: RADIUS server :1645,1646 is being marked alive. Etape 3: Résolution du problème de communication entre serveur RADIUS et routeur. a. Vérifiez les numéros de ports UDP par défaut utilisés sur R1 par l'IOS Cisco avec la commande radius-server host et la fonction d'aide de l'IOS Cisco. R1(config)#radius-server host ? acct-port UDP port for RADIUS accounting server (default is 1646) alias 1-8 aliases for this server (max. 8) auth-port UDP port for RADIUS authentication server (default is 1645) < Partie supprimée> b. Vérifiez la configuration courante de R1 pour les lignes contenant radius. La commande suivante affiche toutes les lignes de la configuration courante qui contiennent le mot "radius". R1#show run | include radius aaa authentication login default group radius none radius-server host auth-port 1645 acct-port 1646 key 7 097B47072B04131B1E1F c. Quels sont les numéros de ports UDP par défaut de l'IOS Cisco pour le serveur RADIUS?___________________________________________________________________ CFI_Site_Paris
24
Etape 4: Vérification des numéros de ports par défaut du serveur WinRadius sur PC-A.
a. A partir du menu principal de WinRadius sélectionnez Settings> System. b. Quels sont les numéros de ports UDP par défaut de WinRadius?_______________ ______________________________________________________________________________ Note: Le déploiement initial de RADIUS a été fait avec les numéros de ports 1645 pour l'authentification et 1646 pour l'accounting lesquels entraient en conflit avec le service datametrics. A cause de ce conflit, le RFC 2865 a officiellement attribué les ports numéros 1812 et 1813 au service RADIUS. Etape 5: Changement des numéros de ports sur R1 pour qu'ils correspondent avec ceux du serveur WinRadius. A moins que cela spécifié autrement, la configuration par défaut des numéros de ports UDP de l'IOS Cisco pour RADIUS spécifie les ports 1645 et 1646. On peut changer soit les numéros de ports pour l'IOS Cisco du routeur pour qu'ils correspondent avec ceux du serveur RADIUS soit les numéros de ports du serveur RADIUS pour qu'ils correspondent avec ceux de l'IOS Cisco du routeur. Dans cette étape, vous devez modifiez les numéros de ports de l'IOS Cisco pour ceux du serveur RADIUS qui sont spécifiés par le RFC a. Retirez la configuration précédente en utilisant la commande suivante: R1(config)#no radius-server host auth-port 1645 acct-port 1646 b. Entrez de nouveau la commande serveur-radius host et cette fois-ci en spécifiant les numéros de ports 1812 et 1813 avec l'adresse IP et la clé secrète pour le serveur RADIUS. R1(config)#radius-server host auth-port 1812 acct-port 1813 key WinRadius CFI_Site_Paris
25
Etape 6: Test de la configuration en se connectant par la console sur R1.
a. Sur R1 revenez à l'écran initial du routeur qui affiche 'R1 con0 is now available, Press RETURN to get started'. b. Connectez-vous en utilisant le nom d'utilisateur RadUser et le mot de passe RadUserpass. Pouvez-vous vous connecter et si cela est le cas, avez-vous remarqué un délai cette fois-ci?______________________________________________ _____________________________________________________________________________ c. Le message suivant doit être affiché sur l'écran de log du serveur RADIUS User (RadUser) authenticate OK. d. Revenez à l'écran initial du routeur qui affiche 'R1 con0 is now available, Press RETURN to get started'. e. Connectez-vous de nouveau en utilisant le nom d'utilisateur invalide Userxxx et le mot de passe Userxxxpass. Pouvez-vous vous connecter ?________________ Quel message affiché sur le routeur?_________________________________________ Les messages suivants doivent être affichés par le log du serveur RADIUS. Reason: Unknown username User (Userxxx) authenticate failed Etape 7: Création d'une liste de méthode d'authentification pour Telnet et la tester. a. Créez une liste de méthode d'authentification pour l'accès Telnet sur le routeur. Il n'y a pas de solution de repli pour l'authentification, aussi s'il n'y a pas d'accès au serveur RADIUS, l'accès Telnet n'est plus validé. Nommer la liste de méthode d'authentification TELNET_LINES. R1(config)#aaa authentication login TELNET_LINES group radius b. Appliquez la liste aux lignes vty sur le routeur en utilisant la commande login authentication. R1(config)#line vty 0 4 R1(config-line)#login authentication TELNET_LINES c. Ouvrez une session Telnet depuis PC-A vers R1 et connectez-vous avec le nom d'utilisateur RadUser et le mot de passe RadUserpass. Pouvez-vous vous connecter?_________________________________________________________________ CFI_Site_Paris
26
d. Fermez la session Telnet puis ouvrez de nouveau une session Telnet depuis
PC-A vers R1. Connectez-vous avec le nom d'utilisateur Userxx et le mot de passe Userxxxpass. Pouvez-vous vous connecter?___________________________ _______________________________________________________________ Tâche 5: (Optionnel) Configurer les services AAA sur R1 et l'accès au serveur RADIUS avec SDM Vous pouvez également utiliser SDM pour configurer le routeur pour qu'il accède au serveur RADIUS externe Note: Si vous avez configuré R1 pour qu'il accède à un serveur RADIUS externe en utilisant l'IOS Cisco dans la tâche 3, vous pouvez passer cette tâche. Si vous avez effectué la tâche 3 et que vous voulez effectuer cette tâche, restaurer le routeur avec sa configuration de base comme cela est décrit dans la tâche sauf la connexion initiale avec RadUser et le mot de passe RadUserpass. Si le serveur RADIUS n'est pas disponible à ce moment là, vous pouvez toujours vous connecter en utilisant la console. Si vous n'exécutez pas cette tâche, lisez les étapes pour vous familiariser avec le processus SDM. Etape 1: Implémenter les services AAA et l'accès HTTP du routeur avant de démarrer SDM. a. A partir du mode de configuration global de la CLI, valider le modèle AAA. R1(config)#aaa new-model b. Validez le serveur HTTP sur R1. R1(config)#ip http server Etape 2: Accéder au SDM et valider la prévisualisation des commandes. a. Ouvrez un navigateur web sur PC-A. Démarrez SDM en entrant l'adresse IP de R1 , dans le champ adresse. b. Connectez-vous sans nom d'utilisateur et avec le mot de passe enale secret cisco12345. c. Dans la boîte de dialogue 'Password Needed - Networking', entrez cisco12345 dans le champ Password puis cliquez sur Yes. d. Configurez le SDM pour autoriser la prévisualisation des commandes avant de les transmettre au routeur. Sélectionnez Edit> Preferences e. Dans la fenêtre User Preferences , cochez la case Preview commands before delivering to router puis cliquez sur OK. CFI_Site_Paris
27
Etape 3: Configuration des services AAA et l'accès au serveur WinRadius sur R1.
a. Cliquez sur le bouton Configure dans le menu en haut de l'écran. b. Sélectionnez Additional Tasks> AAA> AAA servers and Groups> AAA Servers. c. Dans la fenêtre AAA Servers cliquez sur Add. d. Dans la fenêtre Add AAA Servers Vérifiez que le champ Server Type contient RADIUS . e. Dans le champ Server IP or Host, entrez l'adresse IP de PC-A f. Changez Authorization Port de 1645 à 1812 et changez Accounting Port de 1645 à 1813 pour que cela corresponde avec les paramètres de port du serveur RADIUS g. Cochez la case Configure key. h. Entrez WinRadius dans les champs New Key et Confirm Key. i. Dans la fenêtre Deliver Configuration to Routeur cliquez sur Deliver puis cliquez sur OK dans la fenêtre Commands Delivery Status. j. Quelles commandes ont été transmises au routeur?___________________________ ______________________________________________________________________________ CFI_Site_Paris
28
Etape 4: Configuration de la liste de méthode AAA pour RADIUS sur R1.
a. Cliquez sur le bouton Configure dans le menu en haut de l'écran. b. Sélectionnez Additional Tasks> AAA> Authentication Policies> Login. c. Dans la fenêtre Authentication Login cliquez sur Add. d. Dans la fenêtre Select Method List(s) for Authentication Login, choisissez group radius puis cliquez sur OK. e. Dans la fenêtre Select Method List(s) for Authentication Login, choisissez local comme seconde méthode puis cliquez sur OK. f. Dans la fenêtre Deliver Configuration to Routeur cliquez sur Deliver puis cliquez sur OK dans la fenêtre Commands Delivery Status. g. Quelles commandes ont été transmises au routeur?___________________________ ______________________________________________________________________________ CFI_Site_Paris
29
Etape 5: Test de la configuration.
a. Si vous avez redémarré le serveur RADIUS, vous devez recréer l'utilisateur RadUser avec le mot de passe RadUserpass en sélectionnant Operation> Add User. b. Effacez le log sur WinRadius en sélectionnant Log> Clear. c. Testez votre configuration en ouvrant une session Telnet à partir de PC-A vers R1. C:>telnet d. A l'invite de connexion, entrez le nom d'utilisateur RadUser défini sur le serveur RADIUS et le mot de passe RadUserpass. e. Pouvez-vous vous connecter à R1? ________________ Tâche 6: Réflexion a. Pourquoi une organisation utilise-t-elle une authentification centralisée au lieu de configurer les utilisateurs et les mots de passe sur chaque routeur? ______________________________________________________________________________ b. Comparez l'authentification locale et l'authentification locale avec AAA. c. En faisant des recherches web sur et par l'utilisation de RADIUS dans ce lab, comparez TACACS+ et RADIUS. CFI_Site_Paris
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.