La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration de

Publié parEléonore Guérin Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Sécurité - Configuration de"— Transcription de la présentation:

1 Sécurité - Configuration de
l'Authentification Auth-Proxy Inbound IPSEC et Client VPN ccnp_cch

2 Sommaire - Introduction - Prérequis - Configurer Configurations Schéma du réseau - Vérification ccnp_cch

3 Introduction ccnp_cch
La fonctionnalité auth-proxy permet aux utilisateurs d'accéder à un réseau ou à Inter- net via HTTP avec leurs profils d'accès spécifiques récupérés à partir d'un serveur TACACS+ ou RADIUS. Les profils des utilisateurs sont actifs uniquement quand il y a du trafic généré par les utilisateurs authentifiés. Cette configuration est conçue pour que le navigateur web du host soit activé pour atteindre le serveur à l'adresse Comme le client VPN est con- figuré pour passer par l'extrémité du tunnel pour joindre le réseau , le tunnel IPSEC est construit et le PC récupère une adresse IP dans le pool RTP- POOL (car le mode configuration est réalisé). L'authentification est demandée par le routeur Cisco Quand l'utilisateur a entré son "username" et "password" ( enre- gistrés sur le serveur TACACS+ situé à l'adresse ), la liste d'accès est passée par le serveur et ajoutée dans la liste d'accès Prérequis Avant de réaliser cette configuration, assurez-vous que ces conditions sont remplies: • Le client VPN Cisco est configuré pour établir un tunnel IPSEC avec le routeur • Le serveur TACACS+ est configuré pour la fonctionnalité proxy d'authentification Composants matériels et logiciels utilisés Les informations utilisées dans ce document sont basées sur les versions de logiciel et de matériel suivantes: • Cisco IOS Release 12.3(7)T • Cisco Routeur • Cisco Client VPN Note: La commande ip auth-proxy a été introduite dans la version IOS 12.0(5).T. Cette configuration a été testée avec l'IOS Cisco release 12.3. ccnp_cch

4 Configurer Schéma du Réseau Configurations ccnp_cch
Dans cette section sont présentées les informations nécessaires pour configurer la fonctionnalité décrite dans ce document. Schéma du Réseau Fa0/0 Fa1/0 R3640 PC Client VPN Serveur TACACS+ Web Configurations Routeur 3640 Current configuration: ! version 12.3 service timestamps debug uptime service timestamps log uptime service password encryption ! hostname R3640 ! username rtpuser password 0 rtpuserpass ! !-- Username et password pour authentification locale ! aaa new-model aaa group server tacacs+ RTP server ! aaa authentication login default group RTP none aaa authentication login userauth local aaa autorization exec default group RTP none aaa autorization network groupauth local aaa autorization auth-proxy default group RTP enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 enable password ww ! ! ip subnet-zero ! ip auth-proxy auth-proxy-banner http ^C Please Enter Your Username and Password ^C ccnp_cch

5 ip auth-proxy auth-cache-time 10 ip auth-proxy name Liste_A http
ip auth-proxy auth-cache-time 10 ip auth-proxy name Liste_A http ! ip audit notify log ip audit po max-events 100 ! !-- définition de la politique ISAKMP ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! !-- Ces commandes définissent la politique de groupe qui est !-- mise en oeuvre pour le groupe RTPUSERS. !-- Le nom de groupe et la clé doivent correspondre avec ce qui !-- configuré sur le client VPN. Les utilisateurs de ce groupe !-- auront une adresse IP affectée prise dans le pool RTP-POOL ! crypto isakmp client configuration group RTPUSERS key cisco123 pool RTP-POOL ! !-- Définition du transform-set IPSEC et affectation à la !-- crypto map dynamique ! crypto ipsec transform-set RTP-TRANSFORM esp-des esp-md5-hmac ! crypto dynamic-map RTP-DYNAMIC 10 set transform-set RTP-TRANSFORM ! !-- Définition de l'authentification étendue (X-Auth) en !-- utilisant la base de données locale. Cela est fait pour !-- authentifier les utilisateurs avant d'utiliser le tunnel IPSEC !-- pour accéder aux ressources. ! crypto map RTPCLIENT client authentication list userauth ! !-- Définition des autorisations avec la base de données locale !-- Ceci est requis pour transmettre les "configurations mode" !-- vers le client VPN. ! crypto map RTPCLIENT isakmp authorization list groupauth crypto map RTPCLIENT client configuration address initiate crypto map RTPCLIENT client configuration address respond crypto map RTPCLIENT 10 ipsec-isakmp dynamic RTP-DYNAMIC ! interface Ethernet0/0 ip address ip access-group 118 in ip auth-proxy Liste_A crypto map RTPCLIENT no ip directed-broadcast no ip mroute-cache ! ccnp_cch

6 interface Ethernet1/0 ip address 14. 14. 14. 14 255. 255. 255
! interface Ethernet1/0 ip address no ip directed-broadcast ! !-- Définition du pool d'adresses ! ip local pool RTP-POOL ! ip classless ! ip route ip route ! ! !-- Valide le serveur HTTP et l'authentification ! ip http server ip http authentication aaa ! !-- La liste d'accès 118 permet le passage des paquets IPSEC !-- et ISAKMP pour que le client VPN Cisco établisse le tunnel !-- IPSEC. La dernière ligne de la liste d'accès 118 permet !-- la communication entre le serveur TACACS+ et le routeur !-- Cisco 3640 pour l'authentification et l'autorisation. !-- Tout autre trafic est rejeté. ! access-list 118 permit esp host access-list 118 permit udp host eq isakmp access-list 118 permit tcp host host ! !-- Définition de l'adresse IP et de la clé pour le serveur TACACS+ ! tacacs-server host key cisco ! ! line cons 0 transport input none line aux 0 line vty 0 4 paswword ww ! end ccnp_cch

7 Vérification Cette section fournit des informations que vous pouvez utiliser pour vérifier votre con- figuration. Etablissez un tunnel IPSEC entre le PC et le routeur Ouvrez un navigateur sur le PC et accédez à Le routeur Cisco intercepte ce trafic HTTP, déclenche le proxy d'authentification et demande un "username" et un mot de passe. Le routeur Cisco 3640 transmet le mot de passe et le "username" au serveur TACAS+ pour l'authentification. Si l'authentification est réussie, vous devez pouvoir afficher les pages du serveur Web à l'adresse Commandes show • show ip access-lists -- Affiche les ACLs standards et étendues configurées sur le routeur pare-feu (entrées dynamiques des ACLS incluses). Les entrées dynamiques des ACLS sont ajoutées ou retirées si l'authentification réussit ou échoue La sortie ci-dessous montre la liste d'accès 118 avant l'activation du proxy d'au thentification R3640# show ip access-lists Extended IP access-list permit esp host (321 matches) permit udp host eq isakmp (276 matches) permit tcp host host (174 matches) La sortie ci-dessous montre la liste d'accès 118 après l'activation du proxy d'au thentification et une authentification réussie de l'utilisateur R3640# show ip access-lists Extended IP access-list permit tcp host any (7 matches) permit udp host any (14 matches) permit icmp host any permit esp host (321 matches) permit udp host eq isakmp (276 matches) permit tcp host host (174 matches) Les trois premières lignes de la liste d'accès sont les entrées définies pour cet utili sateur et téléchargées depuis le serveur TACACS+. ccnp_cch

8 • show ip auth-proxy-cache -- Affiche soit les entrées du proxy d'authentification soit la configuration courante du proxy d'authentification. Le mot clé cache permet de lister l'adresse IP du host, le numéro de port source, la valeur du timeout pour le proxy d'authentification et l'état des connexions qui utilisent le proxy d'authen tification. Si l'état du proxy d'authentification est ESTAB, alors l'authentification de l'utilisateur est réussie R3640# show ip auth-proxy Authentication Proxy Cache Client IP port: 1705, timeout 5, state ESTAB ccnp_cch

Télécharger ppt "Sécurité - Configuration de"

Présentations similaires

Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.

Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.

Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.

Sécurité - Quiz ccnp_cch.
Sécurité - Configuration d'un

Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Examen Final Sécurité - TRCT - 2011 Cfi_CCH.

Examen Final Sécurité - TRCT Cfi_CCH.
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77
Configuration d'un accès

Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration

Sécurité - Listes d'Accès - Standards et Etendues - Configuration
Configuration de base de AAA sur un Server d'accès

Configuration de base de AAA sur un Server d'accès
CBAC - Introduction et Configuration

CBAC - Introduction et Configuration

Présentations similaires

Annonces Google