La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Comprendre et Configurer l'Authentification CHAP PPP

Publié parAdèle Fradette Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Comprendre et Configurer l'Authentification CHAP PPP"— Transcription de la présentation:

1 Comprendre et Configurer l'Authentification CHAP PPP
ccnp_cch ccnp_cch

2 Sommaire - Introduction - Avantages - Prérequis
- Configuration de CHAP - Authentification unidirectionnelle et bidirectionnelle - Commandes de configuration et Options - Exemple d'échange ccnp_cch

3 Introduction ccnp_cch
CHAP (Challenge Handshake Authentication potocol - RFC 1994) vérifie l'identité du proche en utilisant un échange en trois étapes. Les étapes générales réalisées par CHAP sont les suivantes: 1. Après l'établissement complet de la liaison, l'authentificateur transmet un message de challenge au proche. 2. Le proche répond avec une valeur calculée en utilisant une fonction de hachage unidirectionnelle (MD5). 3. L'authentificateur teste la réponse avec son propre calcul de la valeur attendue Si les deux valeurs correspondent, l'authentification est correcte sinon la connexion est libérée. Avantages: Cette méthode d'authentification dépend d'un "secret" connu uniquement par le proche et l'authentificateur. Le secret n'est pas transmis sur la ligne. Bien que l'authentification soit unidirectionnelle par défaut, en négociant CHAP dans les deux sens vous pouvez utiliser le même "secret" pour une authentification mutuelle. Prérequis: • Valider PPP (Point to Point Protocol) sur l'interface en utilisant la commande encapsulation ppp. • Vous devez être capable de lire et de comprendre les informations affichées par la commande debug ppp negotiation. • L'authentification ppp ne commence pas tant que la phase LCP ( Link Control Protocol) n'est pas achevée et à l'état "ouverte" (open). Si la commande debug ppp negotiation n'indique pas "LCP Open" alors essayez de résoudre le problème. Note: Ce document ne concerne pas MS-CHAP (Version 1 ou 2). Pour plus d'information reférerez-vous au document MS-CHAP support et MS-CHAP Version 2. ccnp_cch

4 Configuration de CHAP ccnp_cch
La configuration de CHAP est simple et rapide. Le schéma ci-dessous représente deux routeurs connectés à un réseau commuté . RTC/RNIS hostname RG username RD password zx123 interface async 0 encapsulation ppp ppp authentication CHAP hostname RD username RG password zx123 interface async 0 encapsulation ppp ppp authentication CHAP Réalisez les étapes suivantes comme guide de configuration pour l'authentification CHAP. 1. Sur l'interface choisie, spécifiez encapsulation ppp 2. Validez l'utilisation de l'authentification CHAP sur les deux routeurs avec la commande ppp authentication chap. 3. Configurez les noms d'utilisateurs et les mots de passe. Utilisez la commande username <username> password <password> dans laquelle username est le nom de host du proche. • Les mots de passe doivent être identiques à chaque extrémité • Le nom d'utilisateur et le mot de passe sont sensibles à la casse. Note: Par défaut, le routeur utilise son nom de host pour s'identifier avec le proche. Cependant, le nom d'utilisateur CHAP peut être changé en utilisant la commande ppp chap hostname. ccnp_cch

5 Authentification unidirectionnelle et bidirectionnelle
CHPAP est défini comme une méthode d'authentification unidirectionnelle. Cependant, l'utilisation de CHAP dans les deux sens crée une authentification bidirectionnelle. Même avec une authentification bidirectionnelle un échange en trois étapes est exécuté pour chaque sens par chaque extrémité. Dans l'implémentation Cisco de CHAP, par défaut la partie appelée doit authentifier la partie appelante (à moins que l'authentification ne soit pas validée). L'authentification unidirectionnelle est la fonction minimum. Si la partie appelante veut authentifier la partie appelée, cela entrainera une authentification bidirection- nelle. L'authentification unidirectionnelle est souvent requise pour une connexion avec des équipements autres que Cisco. Pour une authentification unidirectionnelle, il faut utiliser la comme suivante sur le routeur appelant : ppp authentication chap callin Le tableau suivant montre comment utiliser l'option callin. Type d'authentification Client (calling) Serveur d'accès (called) Unidirectionnelle ppp authentication chap callin chap Bidirectionnelle ccnp_cch

6 Commandes de configuration CHAP et options
Le tableau suivant liste les commandes CHAP et les options Commande Description ppp authentication {chap|ms-chap| pap} [callin|default] Valide l'authentification locale du proche PPP distant avec le protocole spécifié ppp chap hostname username Définit un CHAP hostname spécifique ppp chap password password Définit un mot de passe CHAP ppp direction <callin|callout|dedicated> Force le sens de l'appel Cette commande est utilisée quand un routeur ne peut déterminer seul si l'appel est entrant ou sortant. ppp chap refuse [callin] Dévalide l'authentification distante par un proche (validé par défaut). Avec cette commande, l'authentification CHAP est dévalidée pour tous les appels ce qui signifie que toutes les tentatives d'appel du proche avec authentification seront refusées. L'option callin spécifie que le routeur refuse de répondre à l'authentification CHAP reçue du proche mais demande au proche de répondre à l'authentification CHAP ppp chap wait L'appelant doit s'authentifier en premier ppp max-bad-auth value Autorise plusieurs tentatives d'authentitification (0 par défaut) ppp chap splitnames Cette commande cachée autorise différents "hostname" pour une identification CHAP ( dévalidé par défaut) ppp chap ignoreus Cette commande cachée ignore le challenge CHAP avec le nom local ( validé par défaut) ccnp_cch ccnp_cch

7 Exemple d'échange Appel Challenge ccnp_cch
Les schémas et commentaires suivants montrent les évènements qui se produisent durant une authentification CHAP entre deux routeurs. Ceci ne représente pas les messages affichés par la commande debug ppp negotiation. Appel L'utilisateur appelle 3640-1 766-1 Les étapes suivantes sont liées au schéma ci-dessus: 1. L'appel arrive sur le routeur L'interface d'entrée est configurée avec la commande ppp authentication chap. 2. La couche LCP négocie CHAP et MD5. 3. Un challenge CHAP du vers le routeur appelant est requis pour cet appel. Challenge L'utilisateur appelle 3640-1 766-1 id random 01 La figure ci-dessus illustre l'échange du message de challenge entre les deux routeurs: 1. Un paquet Challenge est formé avec les champs suivants: - 01 = Identificateur du type de paquet Challenge - id = Numéro de séquence identifiant le paquet Challenge - random = Valeur aléatoire générée par le routeur = Nom d'authentificationdu challenger 2. Les valeurs id et ramdom sont mémorisées par le routeur appelé 3. Le paquet Challenge est transmis au routeur appelant. Une liste des challenges en attente est maintenue. ccnp_cch

8 Réponse(1) ccnp_cch L'utilisateur appelle 3640-1 766-1 id random 01
user pass pc1 hash MD5 La figure ci-dessus illustre la réception et le traitement MD5 du message Challenge reçu du proche . Le routeur traite le paquet challenge entrant de la façon suivante: 1. La valeur id est entrée dans le générateur de "hash" MD5 2. La valeur ramdom est entrée dans le générateur MD5 3. Le nom est utilisé pour rechercher le mot de passe et le vérifier. Le routeur cherche une entrée dans la configuration correspondant au username du message challenge. username password pc1 4. Le mot de passe est entré dans le générateur de "hash" MD5 Le résultat est un Challenge CHAP MD5 qui seraransmis en réponse. ccnp_cch

9 Réponse(2) ccnp_cch L'utilisateur appelle 3640-1 766-1 id random 01
user pass pc1 hash MD5 La figure ci-dessus illustre comment le paquet de réponse CHAP transmis vers l'authentificateur est construit. Les étapes sont: 1. Le paquet de réponse est formé avec les champs d'information suivants: - 02 = Identificateur du type de paquet CHAP (Réponse) - id = Numéro de séquence recopié du paquet Challenge reçu - hash = Résultat du générateur de "hash" MD5 = Nom d'authentification de cet équipement. Ce nom est utilisé par le proche pour vérifier l'identité avec l'entrée username/password configurée. 2. Le paquet de réponse est transmis au challenger 02 ccnp_cch

10 Vérification ccnp_cch L'utilisateur appelle 3640-1 766-1 id random 01
user pass pc1 hash MD5 La figure ci-dessus illustre comment l'authentificateur traite le paquet de réponse CHAP reçu. 1. L'id est utilisé pour retrouver le paquet de Challenge original. 2. L'id est entré dans le générateur de "hash" MD5. 3. La valeur originale random du challenge est entrée dans le générateur de "hash" MD5. 4. Le nom est utilisé pour vérifier le mot de passe d'après une des sources suivantes: • Base de données locale (routeur) contenant le nom et le mot de passe • Serveur Radius ou TACACS+ 5. Le mot de passe est entré dans le générateur de "hash" MD5 6. La valeur "hash" reçue dans le paquet de réponse est comparée à celle calculée L'authentification CHAP réussie si les deux valeurs sont identiques. 02 pc1 = ? ccnp_cch

11 Résultat ccnp_cch L'utilisateur appelle 3640-1 766-1 3640-1 id random
01 user pass pc1 user pass pc1 766-1 id hash 02 hash MD5 hash MD5 03 id OK Authentifié La figure ci-dessus illustre la transmission du message authentification réussie au routeur appelant. Si l'authentificaton est réussie, un message est formé avec les champs suivants: - 03 = Type de message CHAP ( Succès) - id = id copié du message de réponse - OK Authentifié - Message en clair pour informer l'utilisateur Si l'authentificaton ne réussit pas, un message est formé avec les champs suivants: - 04 = Type de message CHAP ( Echec) - Non Authentifié - Message en clair pour informer l'utilisateur Note: Cet exemple décrit une authentification unidirectionnelle. Pour une authentification bidirectionnelle, le processus entier est exécuté par les deux extrémités, cependant le routeur appelant initie le premier challenge. ccnp_cch

Télécharger ppt "Comprendre et Configurer l'Authentification CHAP PPP"

Présentations similaires

Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.

Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne

Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Support et Maintenance SIAN : MDEL partenaires

Support et Maintenance SIAN : MDEL partenaires
Ecran d’accueil Une fois le compte de votre entreprise créé et validé par notre service clients, vous recevrez par , un lien vous invitant à vous.

Ecran d’accueil Une fois le compte de votre entreprise créé et validé par notre service clients, vous recevrez par , un lien vous invitant à vous.
Suivi des démarches en ligne via le Gestionnaire de Suivi Services Instructeurs Paris – 29/08/2012.

Suivi des démarches en ligne via le Gestionnaire de Suivi Services Instructeurs Paris – 29/08/2012.
show dialer interface bri

show dialer interface bri
Sécurité - Quiz ccnp_cch.

Sécurité - Quiz ccnp_cch.
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
CCNP Routage Chapitre 4 - Questionnaire N°1

CCNP Routage Chapitre 4 - Questionnaire N°1
Sécurité - Cisco ASA Supervision du contenu

Sécurité - Cisco ASA Supervision du contenu
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback

BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès

Configuration de base de AAA sur un Server d'accès
SNMP - Comment calculer l'utilisation de la Bande passante

SNMP - Comment calculer l'utilisation de la Bande passante
PIX/ASA - Configuration Serveur et Client DHCP

PIX/ASA - Configuration Serveur et Client DHCP
Configuration Routeur SOHO77

Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast

OSPF - Configuration initiale sur Liaisons Non-Broadcast
Comportement de RIP & IGRP avec les mises à jour de Routage

Comportement de RIP & IGRP avec les mises à jour de Routage
Commande show ip dhcp binding

Commande show ip dhcp binding

Présentations similaires

Annonces Google