Vous êtes sur la page 1sur 25

Un réseau doit être conçu pour contrôler qui est autorisé à s'y connecter, quand il est autorisé à s'y

connecter et ce qu'il est autorisé à faire. Ces spécifications de conception sont identifiées dans la
politique de sécurité du réseau. La stratégie spécifie comment les administrateurs réseau, les
utilisateurs professionnels, les utilisateurs distants, les partenaires commerciaux et les clients
accèdent aux ressources réseau. La politique de sécurité du réseau peut également exiger la mise en
place d'un système de comptabilité qui surveille les personnes qui se sont connectées et quand et
ce qu'elles ont fait lorsqu'elles se sont connectées.

Les routeurs et commutateurs Cisco IOS peuvent être configurés pour utiliser AAA pour accéder à
une base de données de nom d'utilisateur et de mot de passe local. L'utilisation d'une base de
données de nom d'utilisateur et de mot de passe local offre une meilleure sécurité qu'un simple mot
de passe. C'est également une solution de sécurité rentable et facile à mettre en œuvre pour les
petites organisations.

Les grandes organisations ont besoin d'une solution d'authentification plus évolutive. Les routeurs et
commutateurs Cisco IOS peuvent être configurés pour utiliser AAA pour s'authentifier auprès d'un
système de contrôle d'accès sécurisé Cisco (ACS). L'utilisation de Cisco ACS est très évolutive car tous
les périphériques d'infrastructure accèdent à un serveur central. La solution Cisco Secure ACS est
également tolérante aux pannes car plusieurs serveurs peuvent être configurés.

Pour garantir que seules les bonnes personnes, avec les bons appareils, obtiennent le bon accès aux
services d'entreprise, Cisco a introduit le Cisco Identify Services Engine (ISE). ISE fournit une visibilité
sur les utilisateurs et les périphériques qui accèdent à un réseau. Cette solution de nouvelle
génération fournit non seulement des AAA, mais aussi des politiques de sécurité et d'accès pour les
périphériques d'extrémité connectés aux commutateurs et aux routeurs de l'organisation. Il simplifie
la gestion des différents périphériques et fournit des fonctionnalités telles que le profilage des
périphériques, l'évaluation des postures, la gestion des invités et l'accès au réseau basé sur l'identité.

L'accès au LAN peut être sécurisé en utilisant IEEE 802.1X. 802.1X est un protocole de contrôle
d'accès et d'authentification basé sur le port utilisé pour empêcher les postes de travail non autorisés
de se connecter à un réseau local via des ports de commutation accessibles au public.

QU’Est ce que AAA


La méthode la plus simple d'authentification à distance consiste à configurer une combinaison
de connexion et de mot de passe sur la console, les lignes vty et les ports auxiliaires. Cette
méthode est la plus simple à mettre en œuvre mais ne fournit aucune responsabilité. Toute
personne ayant le mot de passe peut accéder à l'appareil et modifier la configuration.

SSH est une forme plus sécurisée d'accès à distance. Il nécessite à la fois un nom
d'utilisateur et un mot de passe, tous deux cryptés lors des transmissions. La méthode de
base de données locale fournit une sécurité supplémentaire, car un attaquant doit connaître
un nom d'utilisateur et un mot de passe. Il fournit également plus de responsabilité, car le
nom d'utilisateur est enregistré lorsqu'un utilisateur se connecte.
La méthode de base de données locale a certaines limitations. Les comptes d'utilisateurs
doivent être configurés localement sur chaque périphérique.
Une meilleure solution consiste à faire en sorte que tous les périphériques se réfèrent à la
même base de données de noms d'utilisateur et de mots de passe à partir d'un serveur
central. Ce chapitre explore les différentes méthodes de sécurisation de l'accès réseau à
l'aide de l'authentification, l'autorisation et la comptabilité (AAA) pour sécuriser les routeurs
Cisco.
Les services de sécurité réseau AAA fournissent le cadre principal pour configurer le contrôle
d'accès sur un périphérique réseau. AAA est un moyen de contrôler qui est autorisé à
accéder à un réseau (s'authentifier), ce qu'il peut faire pendant qu'il est là (autoriser) et
d'auditer les actions qu'il a effectuées lorsqu'il accède au réseau (comptabilité)

Les modes d’authentification


Cisco fournit deux méthodes d’authentification communes de mise en œuvre des services
AAA
Authentification AAA locale -Local AAA utilise une base de données locale pour
l'authentification. Cette méthode est parfois appelée authentification autonome. Dans ce
cours, il sera appelé authentification locale AAA. Cette méthode stocke localement les noms
d'utilisateur et les mots de passe dans le routeur Cisco, et les utilisateurs s'authentifient sur
la base de données locale. Cette méthode est idéale pour les petits réseaux.
Authentification AAA basée sur serveur - Avec la méthode serveur, le routeur accède à un
serveur central AAA, tel que le système de contrôle d'accès sécurisé Cisco (ACS) pour
Windows. Le serveur central AAA contient les noms d'utilisateur et mot de passe pour tous
utilisateurs. Le routeur utilise les protocoles RADIUS (Remote Authentication Dial-In User
Service) ou TACACS + (Terminal Access Controller Access Control System) pour communiquer
avec le serveur AAA. Lorsqu'il y a plusieurs routeurs et commutateurs, le serveur AAA est
plus approprié.

L’autorisation
Une fois les utilisateurs authentifiés avec succès sur la source de données AAA sélectionnée,
locale ou serveur, ils sont autorisés pour des ressources réseau spécifiques, comme indiqué dans
la figure. L'autorisation est essentiellement ce que les utilisateurs peuvent et ne peuvent pas
faire sur le réseau après leur authentification. Ceci est similaire à la façon dont les niveaux de
privilège et l'interface CLI basée sur les rôles accordent aux utilisateurs des droits et des
privilèges spécifiques sur certaines commandes du routeur.

L'autorisation est généralement implémentée à l'aide d'une solution basée sur un serveur AAA.
L'autorisation utilise un ensemble d'attributs créé qui décrit l'accès de l'utilisateur au réseau.
Ces attributs sont comparés aux informations contenues dans la base de données AAA, et une
détermination des restrictions pour cet utilisateur est effectuée et transmise au routeur local
auquel l'utilisateur est connecté.

La comptabilisation (Accounting)
AAA Comptabilité collecte et rapporte les données d'utilisation. Ces données peuvent être
utilisées à des fins d'audit ou de facturation. Les données collectées peuvent inclure les heures
de connexion de démarrage et d'arrêt, les commandes exécutées, le nombre de paquets et le
nombre d'octets.

La comptabilité est implémentée à l'aide d'une solution basée sur un serveur AAA. Ce service
signale les statistiques d'utilisation au serveur ACS. Ces statistiques peuvent être extraites pour
créer des rapports détaillés sur la configuration du réseau.
Une utilisation largement déployée de la comptabilité est de le combiner avec l'authentification
AAA. Cela facilite la gestion de l'accès aux périphériques d'interconnexion de réseaux par le
personnel administratif du réseau. La comptabilité fournit plus de sécurité que la simple
authentification. Les serveurs AAA conservent un journal détaillé de ce que l'utilisateur
authentifié fait exactement sur le périphérique, comme illustré à la Figure 1. Cela inclut toutes
les commandes EXEC et de configuration émise par l'utilisateur. Le journal contient de
nombreux champs de données, y compris le nom d'utilisateur, la date et l'heure et la
commande réelle entrée par l'utilisateur. Cette information est utile lors du dépannage de
périphériques. Il fournit également un moyen de pression contre les personnes qui
effectuent des actions malveillantes.

Authentification de l’accès administratif


L'authentification AAA locale doit être configurée pour les réseaux plus petits. Les réseaux plus
petits sont ceux qui ont un ou deux routeurs qui donnent accès à un nombre limité d'utilisateurs.
Cette méthode utilise les noms d'utilisateur locaux et les mots de passe stockés sur un routeur.
L'administrateur système doit remplir la base de données de sécurité locale en spécifiant des
profils de nom d'utilisateur et de mot de passe pour chaque utilisateur pouvant se connecter.
La méthode d'authentification Local AAA est similaire à l'utilisation de la commande local
login avec une exception. AAA fournit également un moyen de configurer les méthodes de
sauvegarde de l'authentification.
La configuration des services AAA locaux pour authentifier l'accès administrateur nécessite
quelques étapes de base:
Étape 1. Ajoutez des noms d'utilisateur et des mots de passe à la base de données du routeur
local pour les utilisateurs qui ont besoin d'un accès administratif au routeur.
Étape 2. Activez AAA globalement sur le routeur.
Étape 3. Configurez les paramètres AAA sur le routeur.

Étape 4. Confirmez et dépannez la configuration AAA.


Le mot clé default signifie que la méthode d'authentification s'applique à toutes les lignes, à
l'exception de celles pour lesquelles une configuration de ligne spécifique remplace la valeur
par défaut. L'authentification est sensible à la casse, indiquée par le mot clé local-case. Cela
signifie que le mot de passe et le nom d'utilisateur sont sensibles à la casse.

Les méthodes d’authentification


Pour activer AAA, la commande de configuration globale aaa new-model doit d'abord être
configurée. Pour désactiver AAA, utilisez la forme no de cette commande.
Remarque: Aucune autre commande AAA n'est disponible jusqu'à ce que cette commande soit
entrée.
Remarque: Il est important de savoir que lorsque la commande aaa new-model est entrée pour
la première fois, une authentification "par défaut" invisible utilisant la base de données locale
est automatiquement appliquée à toutes les lignes à l'exception de la console. Pour cette raison,
configurez toujours une entrée de base de données locale avant d'activer AAA.
La dernière partie de la commande identifie le type de méthodes qui seront interrogées pour
authentifier les utilisateurs. Jusqu'à quatre méthodes peuvent être définies, fournissant des
méthodes de secours si une méthode n'est pas disponible Lorsqu'un utilisateur tente de se
connecter, la première méthode répertoriée est utilisée. Le logiciel Cisco IOS tente
l'authentification avec la méthode d'authentification listée suivante uniquement lorsqu'il n'y a
pas de réponse ou qu'une erreur de la méthode précédente se produit. Si la méthode
d'authentification refuse l'accès de l'utilisateur, le processus d'authentification s'arrête et aucune
autre méthode d'authentification n'est autorisée.
Pour activer l'authentification locale à l'aide d'une base de données locale préconfigurée, utilisez
le mot-clé local ou local-case. La différence entre les deux options est que local accepte un
nom d'utilisateur quel que soit le cas, alors que local-case est sensible à la casse. Par exemple,
si une entrée de base de données locale avec le nom d'utilisateur ADMIN a été configurée, la
méthode locale acceptera ADMIN, Admin ou même admin. Si la méthode locale-case était
configurée, seule ADMIN serait acceptable.
Pour spécifier qu'un utilisateur peut s'authentifier à l'aide du mot de passe enable secret, utilisez
le mot clé enable. Pour vous assurer que l'authentification réussit même si toutes les méthodes
renvoient une erreur, spécifiez none comme méthode finale.
Remarque: Pour des raisons de sécurité, utilisez le mot-clé none uniquement lors du test de la
configuration AAA. Il ne devrait jamais être appliqué sur un réseau vivant.

La méthode default et les méthodes nommées


Pour plus de flexibilité, différentes listes de méthodes peuvent être appliquées à différentes
interfaces et lignes à l'aide de la commande aaa authentication login list-name.
Par exemple, un administrateur peut appliquer une connexion spéciale pour SSH, puis disposer
de la méthode de connexion par défaut pour la console de ligne, comme illustré dans la figure.
Dans cet exemple, la ligne vty n'utiliserait que la base de données locale pour l'authentification.
Toutes les autres lignes (c'est-à-dire, les lignes console et auxiliaires) utiliseraient la base de
données locale et utiliseraient le mot de passe d'activation comme solution de repli s'il n'y avait
pas d'entrées de base de données sur le dispositif.
Notez que la liste nommée doit être explicitement activée sur la ligne à l'aide de la commande
de configuration de la ligne d'authentification. Si une ligne est associée à une liste de méthodes
d'authentification personnalisée, cette liste de méthodes remplace la liste de méthodes par
défaut pour cette interface.

Lorsqu'une liste de méthodes d'authentification personnalisée est appliquée à une interface, il


est possible de revenir à la liste de méthodes par défaut en utilisant la commande no
authentication login.

Réglage précis de la configuration d'authentification


Une sécurité supplémentaire peut être implémentée sur la ligne à l'aide de la commande de
mode de configuration global aaa local authentification attemps max-fail number. Cette
commande sécurise les comptes utilisateur AAA en verrouillant les comptes dont les
tentatives d'échec sont excessives. Cette commande verrouille le compte utilisateur si
l'authentification échoue. Le compte utilisateur verrouillé reste verrouillé jusqu'à ce qu'il soit
effacé manuellement par un administrateur à l'aide de la commande de mode EXEC privilégié
de verrouillage d'utilisateur local AAA.

Pour afficher une liste de tous les utilisateurs verrouillés, utilisez la commande show aaa
local user lockout en mode privilégié EXEC
Lorsqu'un utilisateur se connecte à un routeur Cisco utilisant AAA, un ID unique est attribué à
la session de cet utilisateur. Tout au long de la session, divers attributs liés à la session sont
collectés et stockés en interne dans la base de données AAA. Ces attributs peuvent inclure
l'adresse IP de l'utilisateur, le protocole utilisé pour accéder au routeur (par exemple, PPP), la
vitesse de la connexion et le nombre de paquets ou d'octets reçus ou transmis.
Pour afficher les attributs collectés pour une session AAA, utilisez la commande utilisateur
show aaa en mode d'exécution privilégié. Cette commande ne fournit pas d'informations pour
tous les utilisateurs connectés à un périphérique, mais uniquement pour ceux qui ont été
authentifiés ou autorisés via AAA ou dont les sessions sont prises en compte par le module
AAA.
La commande show aaa sessions peut être utilisée pour afficher l'identifiant unique d'une
session

Débogage de l’authentification AAA


La commande Debug aaa authentication est instrumentale lors du dépannage des problèmes
AAA.
Recherchez spécifiquement les messages d'état GETUSER et GETPASS. Ces messages sont
également utiles lors de l'identification de la liste de méthodes référencée. Dans cet exemple,
la méthode de base de données locale a été utilisée. L'état de la connexion est indiqué par le
message PASS, ce qui signifie que la connexion a réussi.
Remarque: Pour désactiver cette commande, utilisez la commande no debug aaa
authentication ou l'instruction tout-englobant undebug all.
Comparer l’authentification Locale AAA et l’authentification
basée sur un serveur AAA
Les implémentations locales de AAA sont acceptables dans les très petits réseaux. Cependant,
l'authentification locale n'est pas bien adaptée.
La plupart des environnements d'entreprise comportent plusieurs routeurs, commutateurs et
autres périphériques d'infrastructure Cisco, plusieurs administrateurs de routeur et des
centaines ou des milliers d'utilisateurs ayant besoin d'accéder au réseau local de l'entreprise.
Maintenir une base de données locale sur chaque périphérique pour cette taille de réseau n'est
pas réalisable.
Pour résoudre ce problème, un ou plusieurs serveurs AAA, tels que Cisco Secure ACS,
peuvent être utilisés pour gérer les besoins d'accès utilisateur et administratif d'un réseau
d'entreprise entier. Cisco Secure ACS peut créer une base de données d'accès administrateur
et utilisateur centrale à laquelle tous les périphériques du réseau peuvent se référer. Il peut
également fonctionner avec de nombreuses bases de données externes, notamment *
Directory et LDAP (Lightweight Directory Access Protocol).
Introduction à Cisco Secure ACS (Access control System)

Le système de contrôle d'accès sécurisé Cisco (ACS) est une solution centralisée qui
relie la stratégie d'accès réseau et la stratégie d'identité d'une entreprise.

La famille de produits Cisco ACS comprend des serveurs de contrôle d'accès


hautement évolutifs et hautement performants. Ils peuvent être utilisés pour contrôler
l'accès et la configuration de l'administrateur pour tous les périphériques réseau d'un
réseau prenant en charge RADIUS ou TACACS +, ou les deux.

Cisco Secure ACS prend en charge les protocoles TACACS + et RADIUS, comme le
montre la figure. TACACS + et RADIUS sont les deux protocoles prédominants
utilisés par les appliances de sécurité Cisco, les routeurs et les commutateurs pour
l'implémentation de AAA.

Introduction à TACAS et RADIUS


TACACS + et RADIUS sont deux protocoles d'authentification qui sont utilisés pour
communiquer avec les serveurs AAA. Comme le montre la figure, chacun prend en charge
différentes capacités et fonctionnalités. Que TACACS + ou RADIUS soit sélectionné dépend
des besoins de l'organisation. Par exemple, un FAI important peut sélectionner RADIUS car il
prend en charge la comptabilité détaillée requise pour les utilisateurs de facturation. Une
organisation avec plusieurs groupes d'utilisateurs peut sélectionner TACACS + car elle
nécessite l'application de stratégies d'autorisation par utilisateur ou par groupe.
Il est important de comprendre les nombreuses différences entre les protocoles TACACS + et
RADIUS.
Les trois facteurs critiques pour TACACS +:
 Sépare l'authentification et l'autorisation
 Crypte toutes les communications
 Utilise le port TCP 49
Les quatre facteurs critiques pour RADIUS:
 Combine l'authentification RADIUS et l'autorisation en tant que processus unique
 Chiffre uniquement le mot de passe
 Utilise UDP
 Prise en charge des technologies d'accès distant, 802.1X et SIP (Session Initiation
Protocol)
Alors que les deux protocoles peuvent être utilisés pour communiquer entre un routeur et des
serveurs AAA, TACACS + est considéré comme le protocole le plus sécurisé. En effet, tous
les échanges de protocole TACACS + sont cryptés, tandis que RADIUS chiffre uniquement le
mot de passe de l'utilisateur. RADIUS ne crypte pas les noms d'utilisateur, les informations de
comptabilité ou toute autre information contenue dans le message RADIUS

L’authentification TACACS+
TACACS + est une amélioration de Cisco au protocole TACACS original. Malgré son nom,
TACACS + est un protocole entièrement nouveau qui est incompatible avec toute version
précédente de TACACS. TACACS + est pris en charge par la famille Cisco de routeurs et de
serveurs d'accès.
TACACS + fournit des services AAA distincts. Séparer les services AAA offre une flexibilité
dans la mise en œuvre car il est possible d'utiliser TACACS + pour l'autorisation et la
comptabilité tout en utilisant une autre méthode d'authentification.
Les extensions du protocole TACACS + fournissent plus de types de demandes
d'authentification et de codes de réponse que dans la spécification TACACS d'origine.
TACACS + offre un support multiprotocole, tel que IP et AppleTalk hérité. L'opération
TACACS + normale chiffre le corps entier du paquet pour des communications plus
sécurisées et utilise le port TCP 49.

L’authentification RADIUS
RADIUS, développé par Livingston Enterprises, est un protocole ouvert AAA standard IETF
pour des applications telles que l'accès au réseau ou la mobilité IP. RADIUS fonctionne à la
fois en local et en itinérance et est couramment utilisé à des fins comptables. RADIUS est
actuellement défini par les RFC 2865, 2866, 2867, 2868, 3162 et 6911.
Le protocole RADIUS masque les mots de passe pendant la transmission, même avec le
protocole PAP (Password Authentication Protocol), en utilisant une opération assez complexe
qui implique le hachage Message Digest 5 (MD5) et un secret partagé. Cependant, le reste du
paquet est envoyé en clair.
RADIUS combine l'authentification et l'autorisation en un seul processus. Lorsqu'un
utilisateur est authentifié, cet utilisateur est également autorisé. RADIUS utilise le port UDP
1645 ou 1812 pour l'authentification et le port UDP 1646 ou 1813 pour la comptabilité.
RADIUS est largement utilisé par les fournisseurs de services VoIP. Il transmet les
identifiants de connexion d'un point de terminaison SIP, tel qu'un téléphone à large bande, à
un bureau d'enregistrement SIP à l'aide de l'authentification Digest, puis à un serveur
RADIUS à l'aide de RADIUS. RADIUS est également un protocole d'authentification
commun utilisé par la norme de sécurité 802.1X.

Intégration de TACAS+ et ACS


De nombreux serveurs d'authentification au niveau de l'entreprise sont actuellement sur le
marché, mais ils n'ont pas la capacité de combiner les protocoles TACACS + et RADIUS en
une seule solution. Heureusement, Cisco Secure ACS pour Windows Server est une solution
unique qui offre AAA pour TACACS + et RADIUS, comme le montre la figure.
Cisco Secure ACS version 5.6 est une plate-forme de contrôle d'accès hautement sophistiquée
basée sur des règles. Certaines fonctionnalités de Cisco Secure ACS incluent:
 Une architecture distribuée pour les déploiements de moyenne et grande envergure
 Une interface graphique Web légère avec navigation intuitive, accessible depuis les
clients IPv4 et IPv6
 Authentification de l'administrateur via Microsoft Active Directory et LDAP
(Lightweight Directory Access Protocol)
 Rapports planifiés (automatisés) envoyés par courrier électronique
 Fonctionnalités avancées intégrées de surveillance, de création de rapports et de
dépannage pour un excellent contrôle et une excellente visibilité grâce aux
interruptions SNMP pour l'état d'intégrité Cisco Secure ACS
 Syslogs (sécurisés) chiffrés
 Administration flexible et détaillée des périphériques dans les réseaux IPv4 et IPv6,
avec des fonctionnalités d'audit et de reporting complètes, conformément aux normes

Intégration de AAA avec ActiveDirectory


Microsoft Active Directory (AD) est un service d'annuaire pour les réseaux de domaine
Windows et fait partie de la plupart des systèmes d'exploitation Windows Server. Le
contrôleur de domaine AD est utilisé pour appliquer les stratégies de sécurité en authentifiant
et en autorisant les utilisateurs lorsqu'ils se connectent au domaine Windows. Microsoft AD
peut également être utilisé pour gérer l'authentification et l'autorisation sur les périphériques
Cisco IOS.

Bien que Cisco Secure ACS puisse être intégré pour utiliser le service AD, Microsoft
Windows Server peut également être configuré en tant que serveur AAA. L'implémentation
Microsoft d'un serveur AAA utilisant RADIUS est connue sous le nom de service
d'authentification Internet (IAS). Cependant, depuis Windows Server 2008, IAS a été
renommé Network Policy Server (NPS).

La configuration de Cisco IOS est la même que la communication avec n'importe quel serveur
RADIUS. La seule différence est que le contrôleur AD du serveur Microsoft est utilisé pour
exécuter les services d'authentification et d'autorisation. La configuration de RADIUS et de
TACACS + est traitée plus loin dans ce chapitre.

Intégration de AAA aves ISE (Identity Service Engine)


Cisco Identity Services Engine (ISE) est une plate-forme de stratégie de contrôle des identités
et des accès qui permet aux entreprises de renforcer la conformité, d'améliorer la sécurité de
l'infrastructure et de rationaliser leurs opérations de service. L'architecture de Cisco ISE permet
aux entreprises de recueillir des informations contextuelles en temps réel à partir de réseaux,
d'utilisateurs et de périphériques. L'administrateur peut ensuite utiliser ces informations pour
prendre des décisions de gouvernance proactives en liant l'identité à divers éléments de réseau.
Ces éléments de réseau comprennent des commutateurs d'accès, des contrôleurs de réseau local
sans fil (WLC), des VPN, des passerelles et des commutateurs de centre de données.

BYOD (Bring Your Own Device) est de plus en plus commun et même nécessaire dans de
nombreuses entreprises. Cisco ISE définit des règles d'accès équitables et applique la
conformité pour tous les périphériques finaux, y compris BYOD.
Cisco ISE est le principal composant de la politique de Cisco TrustSec et est une technologie
Cisco qui protège les ressources telles que les données, les applications et les appareils mobiles
contre tout accès non autorisé. Cisco ISE combine la définition de la stratégie, le contrôle et la
création de rapports dans une même appliance. ISE fonctionne avec l'infrastructure réseau
existante pour fournir aux administrateurs réseau des informations sur les périphériques finaux
(appelés points de terminaison) qui se connectent au réseau.

Il y a quatre fonctionnalités dans l'ensemble d'outils ISE:

Profilage de périphérique - Il peut être utilisé pour déterminer s'il s'agit d'un périphérique
personnel ou d'entreprise.
Évaluation de la posture - Détermine si l'appareil est exempt de virus et d'applications suspectes
avant d'entrer dans le réseau. L'évaluation de la posture peut également vous assurer que le
logiciel antivirus d'un appareil est à jour.
Gestion des invités - Accorde et applique l'accès temporaire pour les utilisateurs invités.
AAA - Combine l'authentification, l'autorisation, la comptabilité, en une seule appliance avec
le profilage de l'appareil, l'évaluation de la posture et la capacité de gestion des invités.
Une fonction principale de l'ISE est l'accès au réseau basé sur l'identité. ISE fournit une gestion
d'identité contextuelle:

Pour déterminer si les utilisateurs accèdent au réseau sur un périphérique autorisé conforme aux
règles
Pour établir l'identité de l'utilisateur, l'emplacement et l'historique des accès, qui peuvent être
utilisés pour la conformité et la création de rapports
Pour affecter des services en fonction du rôle d'utilisateur attribué, du groupe et de la stratégie
associée (rôle, emplacement, type de périphérique, etc.)
Pour accorder aux utilisateurs authentifiés l'accès à des segments spécifiques du réseau, ou à
des applications et services spécifiques, ou les deux, en fonction des résultats de
l'authentification

Configurer AAA
Contrairement à l'authentification AAA locale, AAA sur serveur doit identifier les différents
serveurs TACACS + et RADIUS que le service AAA doit consulter lors de l'authentification
et de l'autorisation des utilisateurs.

Il existe quatre étapes de base pour configurer l'authentification basée sur le serveur, comme
indiqué dans la figure:
Étape 1. Autoriser globalement AAA à permettre l'utilisation de tous les éléments AAA. Cette
étape est une condition préalable à toutes les autres commandes AAA.

Étape 2. Spécifiez le Cisco Secure ACS qui fournira des services AAA pour le routeur. Cela
peut être un serveur TACACS + ou RADIUS.

Étape 3. Configurez la clé de chiffrement nécessaire pour chiffrer le transfert de données entre
le serveur d'accès au réseau et Cisco Secure ACS.

Étape 4. Configurez la liste des méthodes d'authentification AAA pour faire référence au
serveur TACACS + ou RADIUS. Pour la redondance, il est possible de configurer plus d'un
serveur.

Profilage de périphérique - Il peut être utilisé pour déterminer s'il s'agit d'un périphérique
personnel ou d'entreprise.
Évaluation de la posture - Détermine si l'appareil est exempt de virus et d'applications
suspectes avant d'entrer dans le réseau. L'évaluation de la posture peut également vous assurer
que le logiciel antivirus d'un appareil est à jour.
Gestion des invités - Accorde et applique l'accès temporaire pour les utilisateurs invités.
AAA - Combine l'authentification, l'autorisation, la comptabilité, en une seule appliance avec
le profilage de l'appareil, l'évaluation de la posture et la capacité de gestion des invités.
Une fonction principale de l'ISE est l'accès au réseau basé sur l'identité. ISE fournit une
gestion d'identité contextuelle:

Pour déterminer si les utilisateurs accèdent au réseau sur un périphérique autorisé conforme
aux règles
Pour établir l'identité de l'utilisateur, l'emplacement et l'historique des accès, qui peuvent être
utilisés pour la conformité et la création de rapports
Pour affecter des services en fonction du rôle d'utilisateur attribué, du groupe et de la stratégie
associée (rôle, emplacement, type de périphérique, etc.)
Pour accorder aux utilisateurs authentifiés l'accès à des segments spécifiques du réseau, ou à
des applications et services spécifiques, ou les deux, en fonction des résultats de
l'authentification
Cliquez sur Lecture dans la Figure 1 pour afficher une vidéo qui traite des principes de base
de Cisco ISE.

Configurer TACAS+
Les protocoles TACACS + et RADIUS sont utilisés pour communiquer entre les clients et les
serveurs de sécurité AAA. La figure 1 affiche la topologie de référence AAA pour ce sujet.

Pour configurer un serveur TACACS +, activez globalement AAA à l'aide de la commande


aaa new-model. Ensuite, utilisez la commande tacacs server name. En mode de configuration
du serveur TACACS +, configurez l'adresse IPv4 du serveur TACACS + à l'aide de la
commande address ipv4. La commande address ipv4 permet de modifier le port
d'authentification et le port de comptabilité.

Ensuite, utilisez la commande single-connection pour améliorer les performances TCP en


maintenant une seule connexion TCP pendant la durée de la session. Sinon, par défaut, une
connexion TCP est ouverte et fermée pour chaque session. Si nécessaire, plusieurs serveurs
TACACS + peuvent être identifiés en entrant leurs adresses IPv4 respectives à l'aide de la
commande tacacs server name.

La commande key key est utilisée pour configurer la clé secrète partagée afin de chiffrer le
transfert de données entre le serveur TACACS + et le routeur compatible AAA. Cette clé doit
être configurée exactement de la même manière sur le routeur et le serveur TACACS +

Configurer RADIUS
Pour configurer un serveur RADIUS, utilisez la commande radius server name. Cela vous
met en mode de configuration du serveur radius.

Parce que RADIUS utilise UDP, il n'y a pas de mot-clé à connexion unique équivalente. Si
nécessaire, plusieurs serveurs RADIUS peuvent être identifiés en entrant une commande de
nom de serveur radius pour chaque serveur.

En mode de configuration du serveur radius, configurez l'adresse IPv4 du serveur radius à


l'aide de la commande ipv4-address address ipv4.

Par défaut, les routeurs Cisco utilisent le port 1645 pour l'authentification et le port 1646 pour
la comptabilité. Toutefois, l'IANA a réservé les ports 1812 pour le port d'authentification
RADIUS et 1813 pour le port de comptabilisation RADIUS. Il est important de s'assurer que
ces ports correspondent entre le routeur Cisco et le serveur RADIUS.

Pour configurer la clé secrète partagée pour le cryptage du mot de passe, utilisez la commande
clé. Cette clé doit être configurée exactement de la même manière sur le routeur et le serveur
RADIUS.

Configurer l'authentification pour utiliser AAA basé sur


un serveur
Lorsque les serveurs de sécurité AAA ont été identifiés, les serveurs doivent être inclus dans
la liste des méthodes de la commande aaa authentication login. Les serveurs AAA sont
identifiés en utilisant les mots-clés group tacacs + ou radius group.
Pour configurer une liste de méthodes pour la connexion par défaut pour s'authentifier d'abord
avec un serveur TACACS +, puis avec un serveur RADIUS et enfin avec une base de données
locale, spécifiez l'ordre avec la commande aaa authentication login default, comme indiqué.
Il est important de réaliser que R1 tentera seulement d'authentifier en utilisant RADIUS si le
serveur TACACS + n'est pas joignable. De même, R1 tenterait uniquement d'authentifier en
utilisant la base de données locale si les serveurs TACACS + et RADIUS sont indisponibles.

Surveillance du trafic d'authentification


Lorsque AAA est activé, il est souvent nécessaire de surveiller le trafic d'authentification et de
dépanner les configurations.
La commande debug aaa authentication est une commande de dépannage AAA utile car
elle fournit une vue de haut niveau de l'activité de connexion.
La commande indique un message d'état de PASS lorsqu'une tentative de connexion
TACACS + a réussi. Si le message d'état renvoyé est FAIL, vérifiez la clé secrète et résolvez
les problèmes si nécessaire

Deux autres commandes de dépannage AAA basées sur le serveur et très utiles comprennent
les commandes debug radius et debug tacacs, respectivement. Ces commandes peuvent être
utilisées pour fournir des informations de débogage AAA plus détaillées. Pour désactiver la
sortie de débogage, utilisez la forme no de ces commandes.
Similairement à la commande d'authentification debug aaa, les tacacs de débogage indiquent
également les messages d'état PASS ou FAIL.

Pour voir tous les messages TACACS +, utilisez la commande debug tacacs. Pour affiner les
résultats et afficher les informations du processus d'assistance TACACS +, utilisez la
commande debug tacacs events en mode d'exécution privilégié. La commande debug tacacs
events affiche l'ouverture et la fermeture d'une connexion TCP à un serveur TACACS +, les
octets lus et écrasés sur la connexion, ainsi que l'état TCP de la connexion. Utilisez la
commande debug tacacs events avec précaution, car elle peut générer une quantité importante
de sortie. Pour désactiver la sortie de débogage, utilisez la forme no de ces commandes.

Introduction à l’autorisation AAA basée sur le serveur

Alors que l'authentification doit garantir que l'appareil ou l'utilisateur final est légitime,
l'autorisation concerne l'autorisation et l'interdiction d'accès des utilisateurs authentifiés à
certaines zones et certains programmes du réseau.

Le protocole TACACS + permet de séparer l'authentification de l'autorisation. Un routeur peut


être configuré pour empêcher l'utilisateur de n'effectuer que certaines fonctions après une
authentification réussie. Gardez à l'esprit que RADIUS ne sépare pas l'authentification du
processus d'autorisation.

Un autre aspect important de l'autorisation est la possibilité de contrôler l'accès des utilisateurs
à des services spécifiques. Le contrôle de l'accès aux commandes de configuration simplifie
grandement la sécurité de l'infrastructure dans les grands réseaux d'entreprise. Les autorisations
par utilisateur sur Cisco Secure ACS simplifient la configuration des périphériques réseau.

Configuration de l’autorisation AAA


Pour configurer l'autorisation de commande, utilisez la commande aaa authorization. Le type
de service peut spécifier les types de commandes ou de services:

network - For network services such as PPP


exec - For starting an exec (shell)
commands level - For exec (shell) commands

Lorsque l'autorisation AAA n'est pas activée, tous les utilisateurs ont un accès total. Une fois
l'authentification démarrée, la valeur par défaut est modifiée pour ne pas autoriser l'accès. Cela
signifie que l'administrateur doit créer un utilisateur avec des droits d'accès complets avant que
l'autorisation ne soit activée. Si vous ne le faites pas, l'administrateur est immédiatement exclu
du système au moment où la commande aaa authorization est entrée. La seule façon de
récupérer de ceci est de redémarrer le routeur. S'il s'agit d'un routeur de production, le
redémarrage peut être inacceptable. Assurez-vous qu'au moins un utilisateur a toujours les
droits complets.

Introduction à la Comptabilisation AAA basée sur serveur


Les entreprises ont souvent besoin de suivre les ressources utilisées par les individus ou les
groupes. La comptabilité AAA permet le suivi de l'utilisation. Un exemple de suivi de
l'utilisation est lorsqu'un département demande un accès à un autre service ou lorsqu'une
entreprise fournit un support interne à une autre entreprise.

Bien que la comptabilité soit généralement considérée comme un problème de gestion de réseau
ou de gestion financière, elle est brièvement abordée ici parce qu'elle est étroitement liée à la
sécurité. Un problème de sécurité traité par la comptabilité est la création d'une liste
d'utilisateurs et l'heure à laquelle ils se sont connectés au système. Si, par exemple,
l'administrateur sait qu'un travailleur se connecte au système au milieu de la nuit, cette
information peut être utilisée pour étudier plus avant le but de la connexion.
Cisco Secure ACS sert de référentiel central pour les informations comptables. Il suit les
événements qui se produisent sur le réseau, de la même manière que l'activité financière est
suivie pour un compte de carte de crédit. Chaque session établie via Cisco Secure ACS peut
être entièrement prise en compte et stockée sur le serveur. Ces informations stockées peuvent
être très utiles pour la gestion, les audits de sécurité, la planification de la capacité et la
facturation de l'utilisation du réseau.
Comme les listes de méthodes d'authentification et d'autorisation, les listes de méthodes pour
la comptabilité définissent la façon dont la comptabilité est effectuée et la séquence dans
laquelle ces méthodes sont effectuées. Une fois activée, la liste de méthodes de comptabilisation
par défaut est automatiquement appliquée à toutes les interfaces, à l'exception de celles qui ont
une liste de méthodes de comptabilisation définie par l'utilisateur ou personnalisée,
explicitement définie.
La configuration de la comptabilisation

Pour configurer la comptabilité AAA, utilisez la commande aaa accounting, comme indiqué
dans la Figure suivante.

Les trois paramètres suivants sont couramment utilisés:


network - Exécute la comptabilisation de toutes les demandes de service liées au réseau, y
compris PPP.
exec - Exécute la comptabilisation de la session shell EXEC.
connection - Exécute la comptabilisation sur toutes les connexions sortantes telles que SSH et
Telnet.
Comme pour l'authentification AAA, le mot clé default ou un nom de liste peut être utilisé.
Ensuite, le type d'enregistrement, ou trigger, est configuré. Le déclencheur spécifie les actions
qui entraînent la mise à jour des enregistrements de comptabilité. Les déclencheurs possibles
comprennent:
start-stop - Envoie un avis de comptabilisation "start" au début d'un processus et un avis de
comptabilisation "stop" à la fin d'un processus.
stop-only - Envoie un enregistrement de comptabilisation "stop" pour tous les cas, y compris
les échecs d'authentification.
none - Désactive les services de comptabilité sur une ligne ou une interface.
L’authentification 802.1X

La norme IEEE 802.1X définit un protocole de contrôle d'accès et d'authentification basé sur le
port qui empêche les stations de travail non autorisées de se connecter à un réseau local via des
ports de commutation accessibles au public. Le serveur d'authentification authentifie chaque
poste de travail connecté à un port de commutateur avant de rendre disponibles les services
offerts par le commutateur ou le réseau local.
Supplicant (Client) - L'appareil (poste de travail) qui demande l'accès au LAN et commute les
services, puis répond aux demandes du commutateur. Le poste de travail doit exécuter un
logiciel client compatible 802.1X. (Le port auquel le client est attaché est le demandeur [client]
dans la spécification IEEE 802.1X.)
Authenticator (Switch) - Contrôle l'accès physique au réseau en fonction de l'état
d'authentification du client. Le commutateur agit comme un intermédiaire (proxy) entre le client
(demandeur) et le serveur d'authentification, demandant des informations d'identification au
client, vérifiant ces informations avec le serveur d'authentification, et relayant une réponse au
client. Le commutateur utilise un agent logiciel RADIUS, qui est chargé d'encapsuler et de
désencapsuler les trames EAP (Extensible Authentication Protocol) et d'interagir avec le
serveur d'authentification.
Serveur d'authentification - Effectue l'authentification réelle du client. Le serveur
d'authentification valide l'identité du client et notifie le commutateur si le client est autorisé à
accéder au réseau local et à changer de service. Parce que le commutateur agit en tant que proxy,
le service d'authentification est transparent pour le client. Le système de sécurité RADIUS avec
extensions EAP est le seul serveur d'authentification pris en charge.
L'état du port du commutateur détermine si le client a accès au réseau. Lorsqu'il est configuré
pour l'authentification basée sur le port 802.1X, le port démarre à l'état non autorisé. Dans cet
état, le port interdit tout trafic d'entrée et de sortie, à l'exception des paquets de protocole
802.1X. Lorsqu'un client est authentifié avec succès, le port passe à l'état autorisé, permettant à
tout le trafic pour le client de circuler normalement. Si le commutateur demande l'identité du
client (lancement de l'authentificateur) et que le client ne prend pas en charge 802.1X, le port
reste dans l'état non autorisé et le client n'a pas accès au réseau.

En revanche, lorsqu'un client compatible 802.1X se connecte à un port et que le client initie le
processus d'authentification (lancement du demandeur) en envoyant la trame EAPOL-start à un
commutateur qui n'exécute pas le protocole 802.1X, aucune réponse n'est reçue. le client
commence à envoyer des trames comme si le port était dans l'état autorisé.

L’état d’autorisation du port 802.1X

Si le client est authentifié avec succès (reçoit une trame "accept" du serveur d'authentification),
l'état du port devient autorisé et toutes les trames du client authentifié sont activées via le port.
Si l'authentification échoue, le port reste dans l'état non autorisé, mais l'authentification peut
être réessayée. Si le serveur d'authentification ne peut pas être atteint, le commutateur peut
retransmettre la demande. Si aucune réponse n'est reçue du serveur après le nombre de
tentatives spécifié, l'authentification échoue et l'accès au réseau n'est pas accordé.
Lorsqu'un client se déconnecte, il envoie un message EAPOL-logout, provoquant la transition
du port du commutateur vers l'état non autorisé.
Utilisez la commande authentication port-control pour contrôler l'état d'autorisation du port.
La syntaxe de la commande et une description des paramètres sont montrées sur la figure. Par
défaut, un port est dans l'état autorisé par la force, ce qui signifie qu'il peut envoyer et recevoir
du trafic sans authentification 802.1x.
Le mot-clé auto doit être entré pour activer l'authentification 802.1X. Si le client est authentifié
avec succès (reçoit un cadre d'acceptation du serveur d'authentification), l'état du port devient
autorisé et toutes les trames du client authentifié sont autorisées via le port. Si l'authentification
échoue, le port reste dans l'état non autorisé, mais l'authentification peut être réessayée. Si le
serveur d'authentification ne peut pas être atteint, le commutateur peut renvoyer la demande. Si
aucune réponse n'est reçue du serveur après le nombre de tentatives spécifié, l'authentification
échoue et l'accès au réseau n'est pas accordé.

Configurer L’authentification 802.1X


La figure ci-dessous montre un scénario dans lequel un PC est connecté à F0 / 1 sur le
commutateur et le périphérique est authentifié via 802.1X avec un serveur RADIUS. La
configuration de 802.1X nécessite quelques étapes de base:
Étape 1. Activez AAA à l'aide de la commande aaa new-model et configurez le serveur
RADIUS.
Étape 2. Créez une liste de méthodes d'authentification basée sur le port 802.1X à l'aide de la
commande aaa authentication dot1x.
Étape 3. Activez globalement l'authentification basée sur le port 802.1X à l'aide de la
commande dot1x system-auth-control.
Étape 4. Activez l'authentification basée sur le port sur l'interface à l'aide de la commande
d'authentification port-control auto.
Étape 5. Activez l'authentification 802.1X sur l'interface à l'aide de la commande dot1x pae.
Les options d'authentification définissent le type PAE (Port Access Entity) afin que l'interface
agisse uniquement en tant qu'authentificateur et ne réponde à aucun message destiné à un
demandeur.