Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
connecter et ce qu'il est autorisé à faire. Ces spécifications de conception sont identifiées dans la
politique de sécurité du réseau. La stratégie spécifie comment les administrateurs réseau, les
utilisateurs professionnels, les utilisateurs distants, les partenaires commerciaux et les clients
accèdent aux ressources réseau. La politique de sécurité du réseau peut également exiger la mise en
place d'un système de comptabilité qui surveille les personnes qui se sont connectées et quand et
ce qu'elles ont fait lorsqu'elles se sont connectées.
Les routeurs et commutateurs Cisco IOS peuvent être configurés pour utiliser AAA pour accéder à
une base de données de nom d'utilisateur et de mot de passe local. L'utilisation d'une base de
données de nom d'utilisateur et de mot de passe local offre une meilleure sécurité qu'un simple mot
de passe. C'est également une solution de sécurité rentable et facile à mettre en œuvre pour les
petites organisations.
Les grandes organisations ont besoin d'une solution d'authentification plus évolutive. Les routeurs et
commutateurs Cisco IOS peuvent être configurés pour utiliser AAA pour s'authentifier auprès d'un
système de contrôle d'accès sécurisé Cisco (ACS). L'utilisation de Cisco ACS est très évolutive car tous
les périphériques d'infrastructure accèdent à un serveur central. La solution Cisco Secure ACS est
également tolérante aux pannes car plusieurs serveurs peuvent être configurés.
Pour garantir que seules les bonnes personnes, avec les bons appareils, obtiennent le bon accès aux
services d'entreprise, Cisco a introduit le Cisco Identify Services Engine (ISE). ISE fournit une visibilité
sur les utilisateurs et les périphériques qui accèdent à un réseau. Cette solution de nouvelle
génération fournit non seulement des AAA, mais aussi des politiques de sécurité et d'accès pour les
périphériques d'extrémité connectés aux commutateurs et aux routeurs de l'organisation. Il simplifie
la gestion des différents périphériques et fournit des fonctionnalités telles que le profilage des
périphériques, l'évaluation des postures, la gestion des invités et l'accès au réseau basé sur l'identité.
L'accès au LAN peut être sécurisé en utilisant IEEE 802.1X. 802.1X est un protocole de contrôle
d'accès et d'authentification basé sur le port utilisé pour empêcher les postes de travail non autorisés
de se connecter à un réseau local via des ports de commutation accessibles au public.
SSH est une forme plus sécurisée d'accès à distance. Il nécessite à la fois un nom
d'utilisateur et un mot de passe, tous deux cryptés lors des transmissions. La méthode de
base de données locale fournit une sécurité supplémentaire, car un attaquant doit connaître
un nom d'utilisateur et un mot de passe. Il fournit également plus de responsabilité, car le
nom d'utilisateur est enregistré lorsqu'un utilisateur se connecte.
La méthode de base de données locale a certaines limitations. Les comptes d'utilisateurs
doivent être configurés localement sur chaque périphérique.
Une meilleure solution consiste à faire en sorte que tous les périphériques se réfèrent à la
même base de données de noms d'utilisateur et de mots de passe à partir d'un serveur
central. Ce chapitre explore les différentes méthodes de sécurisation de l'accès réseau à
l'aide de l'authentification, l'autorisation et la comptabilité (AAA) pour sécuriser les routeurs
Cisco.
Les services de sécurité réseau AAA fournissent le cadre principal pour configurer le contrôle
d'accès sur un périphérique réseau. AAA est un moyen de contrôler qui est autorisé à
accéder à un réseau (s'authentifier), ce qu'il peut faire pendant qu'il est là (autoriser) et
d'auditer les actions qu'il a effectuées lorsqu'il accède au réseau (comptabilité)
L’autorisation
Une fois les utilisateurs authentifiés avec succès sur la source de données AAA sélectionnée,
locale ou serveur, ils sont autorisés pour des ressources réseau spécifiques, comme indiqué dans
la figure. L'autorisation est essentiellement ce que les utilisateurs peuvent et ne peuvent pas
faire sur le réseau après leur authentification. Ceci est similaire à la façon dont les niveaux de
privilège et l'interface CLI basée sur les rôles accordent aux utilisateurs des droits et des
privilèges spécifiques sur certaines commandes du routeur.
L'autorisation est généralement implémentée à l'aide d'une solution basée sur un serveur AAA.
L'autorisation utilise un ensemble d'attributs créé qui décrit l'accès de l'utilisateur au réseau.
Ces attributs sont comparés aux informations contenues dans la base de données AAA, et une
détermination des restrictions pour cet utilisateur est effectuée et transmise au routeur local
auquel l'utilisateur est connecté.
La comptabilisation (Accounting)
AAA Comptabilité collecte et rapporte les données d'utilisation. Ces données peuvent être
utilisées à des fins d'audit ou de facturation. Les données collectées peuvent inclure les heures
de connexion de démarrage et d'arrêt, les commandes exécutées, le nombre de paquets et le
nombre d'octets.
La comptabilité est implémentée à l'aide d'une solution basée sur un serveur AAA. Ce service
signale les statistiques d'utilisation au serveur ACS. Ces statistiques peuvent être extraites pour
créer des rapports détaillés sur la configuration du réseau.
Une utilisation largement déployée de la comptabilité est de le combiner avec l'authentification
AAA. Cela facilite la gestion de l'accès aux périphériques d'interconnexion de réseaux par le
personnel administratif du réseau. La comptabilité fournit plus de sécurité que la simple
authentification. Les serveurs AAA conservent un journal détaillé de ce que l'utilisateur
authentifié fait exactement sur le périphérique, comme illustré à la Figure 1. Cela inclut toutes
les commandes EXEC et de configuration émise par l'utilisateur. Le journal contient de
nombreux champs de données, y compris le nom d'utilisateur, la date et l'heure et la
commande réelle entrée par l'utilisateur. Cette information est utile lors du dépannage de
périphériques. Il fournit également un moyen de pression contre les personnes qui
effectuent des actions malveillantes.
Pour afficher une liste de tous les utilisateurs verrouillés, utilisez la commande show aaa
local user lockout en mode privilégié EXEC
Lorsqu'un utilisateur se connecte à un routeur Cisco utilisant AAA, un ID unique est attribué à
la session de cet utilisateur. Tout au long de la session, divers attributs liés à la session sont
collectés et stockés en interne dans la base de données AAA. Ces attributs peuvent inclure
l'adresse IP de l'utilisateur, le protocole utilisé pour accéder au routeur (par exemple, PPP), la
vitesse de la connexion et le nombre de paquets ou d'octets reçus ou transmis.
Pour afficher les attributs collectés pour une session AAA, utilisez la commande utilisateur
show aaa en mode d'exécution privilégié. Cette commande ne fournit pas d'informations pour
tous les utilisateurs connectés à un périphérique, mais uniquement pour ceux qui ont été
authentifiés ou autorisés via AAA ou dont les sessions sont prises en compte par le module
AAA.
La commande show aaa sessions peut être utilisée pour afficher l'identifiant unique d'une
session
Le système de contrôle d'accès sécurisé Cisco (ACS) est une solution centralisée qui
relie la stratégie d'accès réseau et la stratégie d'identité d'une entreprise.
Cisco Secure ACS prend en charge les protocoles TACACS + et RADIUS, comme le
montre la figure. TACACS + et RADIUS sont les deux protocoles prédominants
utilisés par les appliances de sécurité Cisco, les routeurs et les commutateurs pour
l'implémentation de AAA.
L’authentification TACACS+
TACACS + est une amélioration de Cisco au protocole TACACS original. Malgré son nom,
TACACS + est un protocole entièrement nouveau qui est incompatible avec toute version
précédente de TACACS. TACACS + est pris en charge par la famille Cisco de routeurs et de
serveurs d'accès.
TACACS + fournit des services AAA distincts. Séparer les services AAA offre une flexibilité
dans la mise en œuvre car il est possible d'utiliser TACACS + pour l'autorisation et la
comptabilité tout en utilisant une autre méthode d'authentification.
Les extensions du protocole TACACS + fournissent plus de types de demandes
d'authentification et de codes de réponse que dans la spécification TACACS d'origine.
TACACS + offre un support multiprotocole, tel que IP et AppleTalk hérité. L'opération
TACACS + normale chiffre le corps entier du paquet pour des communications plus
sécurisées et utilise le port TCP 49.
L’authentification RADIUS
RADIUS, développé par Livingston Enterprises, est un protocole ouvert AAA standard IETF
pour des applications telles que l'accès au réseau ou la mobilité IP. RADIUS fonctionne à la
fois en local et en itinérance et est couramment utilisé à des fins comptables. RADIUS est
actuellement défini par les RFC 2865, 2866, 2867, 2868, 3162 et 6911.
Le protocole RADIUS masque les mots de passe pendant la transmission, même avec le
protocole PAP (Password Authentication Protocol), en utilisant une opération assez complexe
qui implique le hachage Message Digest 5 (MD5) et un secret partagé. Cependant, le reste du
paquet est envoyé en clair.
RADIUS combine l'authentification et l'autorisation en un seul processus. Lorsqu'un
utilisateur est authentifié, cet utilisateur est également autorisé. RADIUS utilise le port UDP
1645 ou 1812 pour l'authentification et le port UDP 1646 ou 1813 pour la comptabilité.
RADIUS est largement utilisé par les fournisseurs de services VoIP. Il transmet les
identifiants de connexion d'un point de terminaison SIP, tel qu'un téléphone à large bande, à
un bureau d'enregistrement SIP à l'aide de l'authentification Digest, puis à un serveur
RADIUS à l'aide de RADIUS. RADIUS est également un protocole d'authentification
commun utilisé par la norme de sécurité 802.1X.
Bien que Cisco Secure ACS puisse être intégré pour utiliser le service AD, Microsoft
Windows Server peut également être configuré en tant que serveur AAA. L'implémentation
Microsoft d'un serveur AAA utilisant RADIUS est connue sous le nom de service
d'authentification Internet (IAS). Cependant, depuis Windows Server 2008, IAS a été
renommé Network Policy Server (NPS).
La configuration de Cisco IOS est la même que la communication avec n'importe quel serveur
RADIUS. La seule différence est que le contrôleur AD du serveur Microsoft est utilisé pour
exécuter les services d'authentification et d'autorisation. La configuration de RADIUS et de
TACACS + est traitée plus loin dans ce chapitre.
BYOD (Bring Your Own Device) est de plus en plus commun et même nécessaire dans de
nombreuses entreprises. Cisco ISE définit des règles d'accès équitables et applique la
conformité pour tous les périphériques finaux, y compris BYOD.
Cisco ISE est le principal composant de la politique de Cisco TrustSec et est une technologie
Cisco qui protège les ressources telles que les données, les applications et les appareils mobiles
contre tout accès non autorisé. Cisco ISE combine la définition de la stratégie, le contrôle et la
création de rapports dans une même appliance. ISE fonctionne avec l'infrastructure réseau
existante pour fournir aux administrateurs réseau des informations sur les périphériques finaux
(appelés points de terminaison) qui se connectent au réseau.
Profilage de périphérique - Il peut être utilisé pour déterminer s'il s'agit d'un périphérique
personnel ou d'entreprise.
Évaluation de la posture - Détermine si l'appareil est exempt de virus et d'applications suspectes
avant d'entrer dans le réseau. L'évaluation de la posture peut également vous assurer que le
logiciel antivirus d'un appareil est à jour.
Gestion des invités - Accorde et applique l'accès temporaire pour les utilisateurs invités.
AAA - Combine l'authentification, l'autorisation, la comptabilité, en une seule appliance avec
le profilage de l'appareil, l'évaluation de la posture et la capacité de gestion des invités.
Une fonction principale de l'ISE est l'accès au réseau basé sur l'identité. ISE fournit une gestion
d'identité contextuelle:
Pour déterminer si les utilisateurs accèdent au réseau sur un périphérique autorisé conforme aux
règles
Pour établir l'identité de l'utilisateur, l'emplacement et l'historique des accès, qui peuvent être
utilisés pour la conformité et la création de rapports
Pour affecter des services en fonction du rôle d'utilisateur attribué, du groupe et de la stratégie
associée (rôle, emplacement, type de périphérique, etc.)
Pour accorder aux utilisateurs authentifiés l'accès à des segments spécifiques du réseau, ou à
des applications et services spécifiques, ou les deux, en fonction des résultats de
l'authentification
Configurer AAA
Contrairement à l'authentification AAA locale, AAA sur serveur doit identifier les différents
serveurs TACACS + et RADIUS que le service AAA doit consulter lors de l'authentification
et de l'autorisation des utilisateurs.
Il existe quatre étapes de base pour configurer l'authentification basée sur le serveur, comme
indiqué dans la figure:
Étape 1. Autoriser globalement AAA à permettre l'utilisation de tous les éléments AAA. Cette
étape est une condition préalable à toutes les autres commandes AAA.
Étape 2. Spécifiez le Cisco Secure ACS qui fournira des services AAA pour le routeur. Cela
peut être un serveur TACACS + ou RADIUS.
Étape 3. Configurez la clé de chiffrement nécessaire pour chiffrer le transfert de données entre
le serveur d'accès au réseau et Cisco Secure ACS.
Étape 4. Configurez la liste des méthodes d'authentification AAA pour faire référence au
serveur TACACS + ou RADIUS. Pour la redondance, il est possible de configurer plus d'un
serveur.
Profilage de périphérique - Il peut être utilisé pour déterminer s'il s'agit d'un périphérique
personnel ou d'entreprise.
Évaluation de la posture - Détermine si l'appareil est exempt de virus et d'applications
suspectes avant d'entrer dans le réseau. L'évaluation de la posture peut également vous assurer
que le logiciel antivirus d'un appareil est à jour.
Gestion des invités - Accorde et applique l'accès temporaire pour les utilisateurs invités.
AAA - Combine l'authentification, l'autorisation, la comptabilité, en une seule appliance avec
le profilage de l'appareil, l'évaluation de la posture et la capacité de gestion des invités.
Une fonction principale de l'ISE est l'accès au réseau basé sur l'identité. ISE fournit une
gestion d'identité contextuelle:
Pour déterminer si les utilisateurs accèdent au réseau sur un périphérique autorisé conforme
aux règles
Pour établir l'identité de l'utilisateur, l'emplacement et l'historique des accès, qui peuvent être
utilisés pour la conformité et la création de rapports
Pour affecter des services en fonction du rôle d'utilisateur attribué, du groupe et de la stratégie
associée (rôle, emplacement, type de périphérique, etc.)
Pour accorder aux utilisateurs authentifiés l'accès à des segments spécifiques du réseau, ou à
des applications et services spécifiques, ou les deux, en fonction des résultats de
l'authentification
Cliquez sur Lecture dans la Figure 1 pour afficher une vidéo qui traite des principes de base
de Cisco ISE.
Configurer TACAS+
Les protocoles TACACS + et RADIUS sont utilisés pour communiquer entre les clients et les
serveurs de sécurité AAA. La figure 1 affiche la topologie de référence AAA pour ce sujet.
La commande key key est utilisée pour configurer la clé secrète partagée afin de chiffrer le
transfert de données entre le serveur TACACS + et le routeur compatible AAA. Cette clé doit
être configurée exactement de la même manière sur le routeur et le serveur TACACS +
Configurer RADIUS
Pour configurer un serveur RADIUS, utilisez la commande radius server name. Cela vous
met en mode de configuration du serveur radius.
Parce que RADIUS utilise UDP, il n'y a pas de mot-clé à connexion unique équivalente. Si
nécessaire, plusieurs serveurs RADIUS peuvent être identifiés en entrant une commande de
nom de serveur radius pour chaque serveur.
Par défaut, les routeurs Cisco utilisent le port 1645 pour l'authentification et le port 1646 pour
la comptabilité. Toutefois, l'IANA a réservé les ports 1812 pour le port d'authentification
RADIUS et 1813 pour le port de comptabilisation RADIUS. Il est important de s'assurer que
ces ports correspondent entre le routeur Cisco et le serveur RADIUS.
Pour configurer la clé secrète partagée pour le cryptage du mot de passe, utilisez la commande
clé. Cette clé doit être configurée exactement de la même manière sur le routeur et le serveur
RADIUS.
Deux autres commandes de dépannage AAA basées sur le serveur et très utiles comprennent
les commandes debug radius et debug tacacs, respectivement. Ces commandes peuvent être
utilisées pour fournir des informations de débogage AAA plus détaillées. Pour désactiver la
sortie de débogage, utilisez la forme no de ces commandes.
Similairement à la commande d'authentification debug aaa, les tacacs de débogage indiquent
également les messages d'état PASS ou FAIL.
Pour voir tous les messages TACACS +, utilisez la commande debug tacacs. Pour affiner les
résultats et afficher les informations du processus d'assistance TACACS +, utilisez la
commande debug tacacs events en mode d'exécution privilégié. La commande debug tacacs
events affiche l'ouverture et la fermeture d'une connexion TCP à un serveur TACACS +, les
octets lus et écrasés sur la connexion, ainsi que l'état TCP de la connexion. Utilisez la
commande debug tacacs events avec précaution, car elle peut générer une quantité importante
de sortie. Pour désactiver la sortie de débogage, utilisez la forme no de ces commandes.
Alors que l'authentification doit garantir que l'appareil ou l'utilisateur final est légitime,
l'autorisation concerne l'autorisation et l'interdiction d'accès des utilisateurs authentifiés à
certaines zones et certains programmes du réseau.
Un autre aspect important de l'autorisation est la possibilité de contrôler l'accès des utilisateurs
à des services spécifiques. Le contrôle de l'accès aux commandes de configuration simplifie
grandement la sécurité de l'infrastructure dans les grands réseaux d'entreprise. Les autorisations
par utilisateur sur Cisco Secure ACS simplifient la configuration des périphériques réseau.
Lorsque l'autorisation AAA n'est pas activée, tous les utilisateurs ont un accès total. Une fois
l'authentification démarrée, la valeur par défaut est modifiée pour ne pas autoriser l'accès. Cela
signifie que l'administrateur doit créer un utilisateur avec des droits d'accès complets avant que
l'autorisation ne soit activée. Si vous ne le faites pas, l'administrateur est immédiatement exclu
du système au moment où la commande aaa authorization est entrée. La seule façon de
récupérer de ceci est de redémarrer le routeur. S'il s'agit d'un routeur de production, le
redémarrage peut être inacceptable. Assurez-vous qu'au moins un utilisateur a toujours les
droits complets.
Bien que la comptabilité soit généralement considérée comme un problème de gestion de réseau
ou de gestion financière, elle est brièvement abordée ici parce qu'elle est étroitement liée à la
sécurité. Un problème de sécurité traité par la comptabilité est la création d'une liste
d'utilisateurs et l'heure à laquelle ils se sont connectés au système. Si, par exemple,
l'administrateur sait qu'un travailleur se connecte au système au milieu de la nuit, cette
information peut être utilisée pour étudier plus avant le but de la connexion.
Cisco Secure ACS sert de référentiel central pour les informations comptables. Il suit les
événements qui se produisent sur le réseau, de la même manière que l'activité financière est
suivie pour un compte de carte de crédit. Chaque session établie via Cisco Secure ACS peut
être entièrement prise en compte et stockée sur le serveur. Ces informations stockées peuvent
être très utiles pour la gestion, les audits de sécurité, la planification de la capacité et la
facturation de l'utilisation du réseau.
Comme les listes de méthodes d'authentification et d'autorisation, les listes de méthodes pour
la comptabilité définissent la façon dont la comptabilité est effectuée et la séquence dans
laquelle ces méthodes sont effectuées. Une fois activée, la liste de méthodes de comptabilisation
par défaut est automatiquement appliquée à toutes les interfaces, à l'exception de celles qui ont
une liste de méthodes de comptabilisation définie par l'utilisateur ou personnalisée,
explicitement définie.
La configuration de la comptabilisation
Pour configurer la comptabilité AAA, utilisez la commande aaa accounting, comme indiqué
dans la Figure suivante.
La norme IEEE 802.1X définit un protocole de contrôle d'accès et d'authentification basé sur le
port qui empêche les stations de travail non autorisées de se connecter à un réseau local via des
ports de commutation accessibles au public. Le serveur d'authentification authentifie chaque
poste de travail connecté à un port de commutateur avant de rendre disponibles les services
offerts par le commutateur ou le réseau local.
Supplicant (Client) - L'appareil (poste de travail) qui demande l'accès au LAN et commute les
services, puis répond aux demandes du commutateur. Le poste de travail doit exécuter un
logiciel client compatible 802.1X. (Le port auquel le client est attaché est le demandeur [client]
dans la spécification IEEE 802.1X.)
Authenticator (Switch) - Contrôle l'accès physique au réseau en fonction de l'état
d'authentification du client. Le commutateur agit comme un intermédiaire (proxy) entre le client
(demandeur) et le serveur d'authentification, demandant des informations d'identification au
client, vérifiant ces informations avec le serveur d'authentification, et relayant une réponse au
client. Le commutateur utilise un agent logiciel RADIUS, qui est chargé d'encapsuler et de
désencapsuler les trames EAP (Extensible Authentication Protocol) et d'interagir avec le
serveur d'authentification.
Serveur d'authentification - Effectue l'authentification réelle du client. Le serveur
d'authentification valide l'identité du client et notifie le commutateur si le client est autorisé à
accéder au réseau local et à changer de service. Parce que le commutateur agit en tant que proxy,
le service d'authentification est transparent pour le client. Le système de sécurité RADIUS avec
extensions EAP est le seul serveur d'authentification pris en charge.
L'état du port du commutateur détermine si le client a accès au réseau. Lorsqu'il est configuré
pour l'authentification basée sur le port 802.1X, le port démarre à l'état non autorisé. Dans cet
état, le port interdit tout trafic d'entrée et de sortie, à l'exception des paquets de protocole
802.1X. Lorsqu'un client est authentifié avec succès, le port passe à l'état autorisé, permettant à
tout le trafic pour le client de circuler normalement. Si le commutateur demande l'identité du
client (lancement de l'authentificateur) et que le client ne prend pas en charge 802.1X, le port
reste dans l'état non autorisé et le client n'a pas accès au réseau.
En revanche, lorsqu'un client compatible 802.1X se connecte à un port et que le client initie le
processus d'authentification (lancement du demandeur) en envoyant la trame EAPOL-start à un
commutateur qui n'exécute pas le protocole 802.1X, aucune réponse n'est reçue. le client
commence à envoyer des trames comme si le port était dans l'état autorisé.
Si le client est authentifié avec succès (reçoit une trame "accept" du serveur d'authentification),
l'état du port devient autorisé et toutes les trames du client authentifié sont activées via le port.
Si l'authentification échoue, le port reste dans l'état non autorisé, mais l'authentification peut
être réessayée. Si le serveur d'authentification ne peut pas être atteint, le commutateur peut
retransmettre la demande. Si aucune réponse n'est reçue du serveur après le nombre de
tentatives spécifié, l'authentification échoue et l'accès au réseau n'est pas accordé.
Lorsqu'un client se déconnecte, il envoie un message EAPOL-logout, provoquant la transition
du port du commutateur vers l'état non autorisé.
Utilisez la commande authentication port-control pour contrôler l'état d'autorisation du port.
La syntaxe de la commande et une description des paramètres sont montrées sur la figure. Par
défaut, un port est dans l'état autorisé par la force, ce qui signifie qu'il peut envoyer et recevoir
du trafic sans authentification 802.1x.
Le mot-clé auto doit être entré pour activer l'authentification 802.1X. Si le client est authentifié
avec succès (reçoit un cadre d'acceptation du serveur d'authentification), l'état du port devient
autorisé et toutes les trames du client authentifié sont autorisées via le port. Si l'authentification
échoue, le port reste dans l'état non autorisé, mais l'authentification peut être réessayée. Si le
serveur d'authentification ne peut pas être atteint, le commutateur peut renvoyer la demande. Si
aucune réponse n'est reçue du serveur après le nombre de tentatives spécifié, l'authentification
échoue et l'accès au réseau n'est pas accordé.