INGÉNIEURS 2000

Filière Informatique et Réseaux

3ème année

Etudes de cas réseau

TP de routage et authentification

Fabien Locussol
Adrien Machado
Nicolas Phalippon
Charles Wazana

Professeurs responsables :
M. Jacques
lja@laposte.net

Année 2003
 -2- Filière IR
ème
3 année

Table des matières

INTRODUCTION.................................................................................................................... 3

CONFIGURATION MISE EN PLACE................................................................................. 4

PRESENTATION DES ROUTEURS CISCO ..................................................................................... 4
Généralités ......................................................................................................................... 4
Commandes et configuration de base ................................................................................ 5
CONFIGURATION MISE EN PLACE ........................................................................................... 11
Schéma générale .............................................................................................................. 11
L’interface de configuration des routeurs........................................................................ 12
ROUTEUR LOCAL (CISCO 1700) ............................................................................................. 12
Description ....................................................................................................................... 12
Configuration ................................................................................................................... 14
MACHINES ET ROUTEUR DISTANT (CISCO 2500).................................................................... 16
Présentation ..................................................................................................................... 16
Configuration ................................................................................................................... 16
Machine distante .............................................................................................................. 18

MISE EN PLACE DES AUTHENTIFICATIONS ............................................................. 19

L’AUTHENTIFICATION ........................................................................................................... 19
Fonctionnement des protocoles d'authentification .......................................................... 19
Les Certificats .................................................................................................................. 20
LES PROTOCOLES TACACS ET RADIUS ................................................................................... 21
Le protocole TACACS+ (Terminal Access Controller Access Control System).............. 22
Le protocole RADIUS (Remote Access Dial-In User Service)......................................... 24
Comparaison entre TACACS+ et RADIUS...................................................................... 26
LE SERVEUR CISCO SECURE ACCESS CONTROL SERVER POUR WINDOWS 2000 .................... 26
Présentation ..................................................................................................................... 26
Caractéristiques principales ............................................................................................ 26
Fonctionnalités principales.............................................................................................. 26
RADIUS ............................................................................................................................... 27
Analyse des Débug ........................................................................................................... 28
TACACS .............................................................................................................................. 29
Configuration ................................................................................................................... 29

CONCLUSION....................................................................................................................... 30

ANNEXES............................................................................................................................... 31
CONFIGURATION FINALE DU ROUTEUR LOCAL ....................................................................... 32
CONFIGURATION FINALE DU ROUTEUR DISTANT .................................................................... 33

Année 2003 Promo IR2000

 -3- Filière IR
ème
3 année

Introduction

Avec l'inquiétante augmentation de la délinquance informatique, plus aucun ingénieur ne

peut se permettre d'ignorer les technologies permettant de sécuriser son réseau et les
accès qui s'y font.

En tant qu'élèves ingénieurs en informatique et réseau à Ingénieur 2000, nous avons

donc des cours ayant pour but de nous initier à cette problématique. Notamment, nous
avons des travaux pratiques de routage.

Ce compte-rendu est rédigé à l'issu d'un de ce dernier. Il a pour but de présenter les
manipulations réalisées par nous-même dont l'objectif était de configurer un serveur
local pour donner l'accès à un routeur distant. L'authentification des machines distantes,
se fera par un serveur RADIUS, puis un serveur TACACS situé sur un serveur.

Année 2003 Promo IR2000

 -4- Filière IR
ème
3 année

Configuration mise en place

Présentation des routeurs Cisco

Une des grandes parties partie du TP va être de configurer deux routeurs Cisco. Nous
allons donc commencer par rappeler les principes de base de ces routeurs, leader du
marché et donc, à connaître obligatoirement…

Généralités
Description
La majorité des routeurs CISCO sont dotés d’un port console et d’un port auxiliaire. Ils
ont tous un port de console, celui-ci étant prévu pour un accès administratif local à partir
d’un terminal ASCII ou d’un ordinateur avec émulation de terminal. Le port auxiliaire,
absent de certains modèles, est prévu pour un accès commuté asynchrone à partir d’un
terminal ASCII ou d’une émulation de terminal. Il est souvent utilisé comme une solution
de terminal.

Chaque routeur posséde différents types de mémoire :

• RAM. Parfois appelée DRAM (Dynamic Random Access Memory). A l’instar de
n’importe quel ordinateur, le routeur se sert de la mémoire RAM comme espace de
travail.
• ROM. Ce type de mémoire conserve une image amorçable du système IOS qui n’est
généralement pas utilisée dans des conditions normales de fonctionnement. La
mémoire ROM contient le code servant à démarrer le routeur jusqu’à ce que ce
dernier sache où obtenir l’image complète du système IOS.
• Mémoire flash. Une mémoire EEPROM ou une carte PCMCIA. La mémoire flash
conserve des images totalement fonctionnelles du système IOS et représente la
source par défaut utilisée par le routeur pour amorcer le système lors de
l’initialisation. Elle peut aussi servir à stocker les fichiers de configuration sur les
routeurs de la série Cisco 7500.
• NVRAM. Mémoire RAM non volatile dans laquelle est stocké le fichier de configuration
initial ou de démarrage.

Ces mémoires sont toutes permanentes, à l’exception de la RAM.

Système d’exploitation IOS

IOS (Internetwork Operating System) est le nom du système d’exploitation exécutée sur
la majorité des routeurs Cisco.

Les produits Cisco ont évolué au point que les fonctions de routage sont assurées par des
cartes placées dans des équipements de routage/commutation multifonctions de plus
grande taille. Ces équipements, plus complexes utilisent le système IOS à des fins de
routage et pour les services associés.

Interface en ligne de commande (CLI)

CLI (Command-Line Interface) est le sigle utilisé par Cisco pour désigner l’interface en
ligne de commande du terminal pour le système IOS. Cette interface implique que
l’utilisateur emploie un terminal, une émulation de terminal ou une connexion Telnet
pour émettre des commandes.

Année 2003 Promo IR2000

 -5- Filière IR
ème
3 année

Commandes et configuration de base

Les différents accès à l’interface de configuration (console, telnet, auxiliaire)
Le routeur peut être configuré à partir de nombreux endroits :
• Port de console. A chaque installation initiale, on configure le routeur à partir d’un
terminal de console qui est connecté au routeur via le port de console
• Port auxiliaire. Même principe que le précédent.
• Telnet. On peut se connecter sur le routeur à distance grâce à une adresse réseau.
• Serveur TFTP. On peut également télécharger des informations de configuration à
partir d’un serveur TFTP sur le réseau. Celui-ci peut être une station UNIX ou un PC
qui agit en temps qu’entrepôt central pour des fichiers. On peut conserver des fichiers
de configuration sur le serveur puis les télécharger vers le routeur.

Les différents niveaux de l’interface de configuration

Le système Cisco IOS dispose d’un interpréteur de commande appelé EXEC qui analyse
les commandes que vous entrez et exécute les opérations correspondantes.

EXEC dispose de deux niveaux d’accès aux commandes : le mode utilisateur et le mode
privilégié.

• Mode EXEC utilisateur

Après avoir ouvert une session sur le routeur, on se trouve automatiquement dans le
mode EXEC utilisateur. En général, les commandes disponibles dans ce mode ne sont pas
destructives et permettent de se connecter à des dispositifs distants, de modifier
temporairement des paramètres de terminal, d’effectuer des tests de base, et de stocker
des informations système. Ce mode est signalé par la présence du nom d’hôte du routeur
suivi du signe supérieur (>).

• Mode EXEC privilégié

Les commandes du mode privilégié configurent les paramètres de fonctionnement. Elles
incluent les commandes du mode utilisateur ainsi que la commande configure au moyen
de laquelle vous pouvez accéder aux autres modes de commande. Le mode privilégié
inclut également des commandes de test de haut niveau, comme debug.
Pour entrer dans le mode privilégié, tapez enable sur la ligne d’invite de commande. Ce
mode est signalé par le nom d’hôte du routeur suivi du signe dièse (#).

Le mode privilégié fournit des commandes destructives et son accès doit être protégé par
un mot de passe.

• Le mode de configuration globale

Les commandes de configuration globale s’appliquent aux fonctionnalités qui affectent
l’ensemble du système. On initie ce mode en tapant la commande configure à l’invite de
commande du mode EXEC privilégié. Ce mode est signalé par le nom d’hôte suivi de
(config) et du signe dièse (#). Pour quitter le mode EXEC privilégié, les commandes
sont : exit, end ou Ctrl+Z

Depuis ce mode, vous pouvez également accéder à d’autres modes de commande.

• Autres modes de configuration

Ces modes offrent des fonctions de configuration spécifiques sur plusieurs lignes qui
visent une interface ou une fonctionnalité individuelle, comme la modification du
fonctionnement d’une interface, la configuration de plusieurs interfaces virtuelles
(appelées « sous-interfaces ») sur une seule interface physique, ou la configuration d ‘un
protocole de routage IP.
Il existe plus de 17 modes de configuration spécifiques différents.

Année 2003 Promo IR2000

 -6- Filière IR
ème
3 année

Gestion des fichiers de configuration

Il existe deux fichiers de configuration en interne sur chaque routeur, excepté ceux de la
série 7xxx. Un fichier en mémoire NVRAM et l’autre en RAM. Ce dernier est celui que le
routeur utilise pendant son fonctionnement. Le routeur copie le fichier de la NVRAM dans
la RAM lors du processus d’initialisation. A l’extérieur du routeur, les fichiers de
configuration peuvent être stockés n’importe où sous forme de fichiers ASCII.

Il existe plusieurs méthodes de gestion des fichiers de configuration mais la méthode de

base la plus utilisée pour gérer et déplacer des fichiers depuis ou vers le routeur consiste
à utiliser un serveur TFTP.

La commande copy est utilisée pour déplacer ces fichiers d’un emplacement vers un
autre, quelle que soit la source et la destination : RAM, NVRAM ou serveur TFTP.

Les commandes peuvent être résumées ainsi :

copy {tftp|running-config|startup-config} {tftp|running-config|startup-config}
Le premier paramètre est l’emplacement source et le second l’emplacement de
destination.

• Stockage des fichiers

Le fichier de configuration utilisé au moment de l’initialisation du routeur est
généralement stocké en NVRAM ; s’il n’y a qu’un fichier de ce genre, il n’est pas
nécessaire de le nommer. Le système IOS supporte le stockage des fichiers de
configuration en mémoire flash, alors que la NVRAM n’accepte toujours qu’un seul fichier.
Le routeur sait quel fichier utiliser lors de son initialisation, ou si le mot clé startup-config
est utilisé en fonction de la valeur d’une variable globale. Cette variable peut se référer à
n’importe quel fichier dans n’importe quelle mémoire flash et en NVRAM. Comme il peut
y avoir de nombreux fichiers en mémoire flash, cette variable doit spécifier la mémoire
flash ainsi que le fichier concerné.

Gestion des images du système IOS

Le terme image du système IOS désigne le fichier contenant le système. La gestion des
fichiers images implique l’obtention d’une nouvelle image du système auprès de Cisco, la
sauvegarde de celle plus ancienne actuellement utilisée par le routeur, la mise à jour au
moyen de la nouvelle image et la réalisation d’un test. Elle implique aussi d’indiquer au
routeur de la nouvelle image à amorcer lors de son prochain démarrage.

La mémoire flash est l’emplacement qui héberge habituellement le système à utiliser par
le routeur. Elle constitue un espace de stockage permanent et modifiable, ce qui est idéal
pour stocker des fichiers qui ont besoin d’être conservés lorsque le routeur est éteint. De
plus, comme il n’y a pas de portions déplacables, les risques de pannes sont limités et la
disponibilité du routeur est mieux assurée.

Mise à jour d’une image du système IOS en mémoire flash :

copy tftp flash
Cette commande requiert de connaître l’adresse du serveur TFTP et le nom du fichier.

Vérification du contenu de la mémoire flash :

show flash

Choix de l’image système à amorcer :

Deux méthodes sont utilisées pour déterminer l’emplacement à partir duquel le routeur
doit tenter d'obtenir une image du système à exécuter. La première se fonde sur la
valeur du registre de configuration, qui est un registre logique de 16 bits sur les routeurs
Cisco récents. Certains routeurs plus anciens sont dotés d’un registre matériel, avec des

Année 2003 Promo IR2000

 -7- Filière IR
ème
3 année

cavaliers sur la carte processeur qui servent à définir la position des bits. La seconde
méthode consiste à utiliser la commande boot system.

Exemple d’une valeur binaire du registre de configuration : valeur hexadécimale 2102 :

15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0
0 0 10 0 0 0 1 0 0 0 0 0 0 1 0
Poids Faibles

Le champ d’amorçage est le nom des quatre bits de poids faibles du registre de
configuration. Ce champ peut être considéré comme une valeur de quatre bits
représentée sous forme hexadécimale. Cisco exprime les valeurs hexadécimales en les
faisant précéder des caractéres 0x (par exemple, 0xA pour la lettre A).

Résumé de l’emploi du registre de configuration et de la commande boot system au

moment de l’initialisation :

Valeur du
commande boot system Résultat
champ boot
Mode contrôle ROM, un mode bas
0x0 Ignorée si présente
niveau de détermination de problème.
Chargement du système IOS de la
0x1 Ignorée si présente
ROM
Chargement du système IOS de la
0x2-0xF boot system ROM
ROM
Chargement du premier fichier de la
0x2-0xF boot system flash
mémoire flash
Chargement du fichier IOS spécifié de
0x2-0xF boot system flash nomfichier
la mémoire flash
boot system tftp 10.1.1.1 Chargement du fichier IOS spécifié du
0x2-0xF
nomfichier serveur TFTP
Tentative de chargement du système
à partir de la première commande
Commandes multiples de toutes d’amorçage dans la configuration. Si
0x2-0xF
sortes elle échoue, la deuxième commande
est utilisée, et ainsi de suite jusqu’à
l’exécution réussie d’une commande.

Les commandes d’approche d’un routeur configuré

Lorsqu’un routeur est déjà configuré, on a besoin de connaître la version de l’IOS utilisé,
la configuration de l’équipement et le statut des interfaces.
Ces trois commandes sont les suivantes :
show version
show running-config
show interfaces

Les commandes “ping” et “trace”

Ces deux commandes permettent de vérifier la présence d’un PC et le bon fonctionnent
de l’interface utilisée et de savoir par ou passe les données.

• Commande ping simple

La commande ping envoie des paquets d ‘écho ICMP. Elle est supportée dans les deux
modes EXEC, utilisateur et privilégié. Lorsqu’un paquet d’écho ICMP est reçu par un
équipement, celui-ci renvoie un écho en retournant le paquet vers la source.
Voici la définition des caractères affichés lors d’un ping :

Année 2003 Promo IR2000

 -8- Filière IR
ème
3 année

• ! Réception réussie d’un retour d’écho

• . Expiration du délai d’attente d’une réponse à un datagramme
• U Erreur de destination non accessible
• C Paquet ayant rencontré une congestion
• I Ping interrompu (exemple : Ctrl+Maj+6+X )
• ? Type de paquet inconnu
• & Paquet TTL dépassé

• Commande ping étendue

La commande ping étendue n’est supportée que dans le mode EXEC privilégié. On
l’utilise pour spécifier des options d’en-tête Internet supportées : On répond par Y à
l’invite de commande étendue pour avoir ces options.

• Commande trace
La commande trace, souvent appelée traceroute, sert à analyser un itinéraire de bout en
bout. Cette commande permet d’identifier les défaillances sur un itinéraire entre la
source et la destination.

Les noms d’hôtes sont affichés si les adresses sont traduites dynamiquement ou au
moyen d’un table d’hôte statique. Les durées indiquées représentent le temps requis
pour recevoir la réponse à chacune des trois tentatives.

Lorsque la commande atteint la destination, un astérisque (*) apparaît sur l’écran de

résultat. L’affichage d’un ou plusieurs de ces caractères est normalement provoqué par la
réception d ‘un paquet, dont le port est inaccessible, et l’expiration du délai d’attente de
réponse au paquet de test.

Les informations recueillies incluent :

• !H Le paquet de test a été reçu par le routeur, mais non retransmis,
généralement e en raison de la présence d ‘une liste d’accès.
• P Le protocole est inaccessible.
• N Le réseau est inaccessible.
• Expiration du délai d’attente de réponse.

Configuration d’un mot de passe

Le logiciel Cisco IOS supporte une variété de fonctions de sécurité qui permettent de
contrôler l’accès aux routeurs. La forme de sécurité la plus élémentaire consiste à
contrôler qui peut ouvrir une session sur un routeur. Cet accès peut être contrôlé par une
ou plusieurs des méthodes suivantes :
• Un mot de passe d’accès à une ligne de commande
• Un mot de passe pour le mode EXEC privilégié
• Des mots de passe cryptés

Les mots de passe sont définis lors de la configuration initiale dans le mode de
configuration ou en tapant la commande enable password. Si aucun mot de passe n’a
été défini, l’accès au mode privilégié ne peut être obtenu qu’à partir de la console du
routeur.

• Mots de passe de lignes de commandes individuelles

On peut sécuriser l’accès au routeur en protégeant par mot de passe les lignes de
commande individuelles. Ce niveau de sécurité entraîne une vérification des droits de
l’utilisateur avant qu’il ne puisse accéder à n’importe quelle ligne, y compris à celle de la
console.

Année 2003 Promo IR2000

 -9- Filière IR
ème
3 année

• Mot de passe du mode EXEC privilégié

On peut également contrôler l’accès au mode EXEC privilégié en lui associant un mot de
passe lors de la configuration initiale du routeur.

• Mots de passe cryptés

Cisco fournit une fonction qui permet de crypter les mots de passe. Lorsqu’on les utilise,
les mots de passe sont stockés sur le routeur sous une forme codée et sont masqués lors
de l’affichage des paramètres de configuration.
Ce cryptage est activé par la commande : service password-encryption

• Emploi d’un mot de passe

On peut configurer le routeur pour disposer d’un contrôle de mot de passe utilisateur. Le
mot de passe entré n’apparaît pas à l’écran. Si aucun mot de passe n’est tapé, le
processus d’ouverture de session expire après un certain délai et on dispose de trois
tentatives pour donner le mot de passe correct.

Identification du routeur
Une des premières tâches lors de la configuration d’un routeur est de le nommer. Le
réseau est mieux géré si chaque routeur possède un identifiant unique. Ce nom est
considéré comme le nom d’hôte, et c’est celui qui est affiché sur la ligne de l’invite de
commande système. Si aucun nom n’est configuré, le nom pris par défaut est « router ».

• Nom du routeur :
hostname nom
• Bandeau de message :
banner motd # service public accès privés #
• Description de l’interface :
description LAN Ingénierie, Niveau 5

Configuration d’une adresse IP sous une interface

La commande ip address définit l’adresse IP de réseau d’une interface. La commande
est elle-même suivie d’une adresse IP et d’un masque de sous-réseau, exprimé tous les
deux en décimal avec un point séparateur entre les 4 nombres.

Les masques de réseau peuvent être définis dans plusieurs formats :

bitcount/decimal/hexadecimal. la commande utilisée est :
term ip netmask-format
Par défaut, on est en décimal.

Configuration de routes
• Route par défaut
Un routeur peut ne pas connaître les routes vers tous les autres réseaux. Pour fournir
des capacités complètes de routage, la pratique courante est d’exploiter certains routeurs
comme équipements à utiliser par défaut et de configurer sur les autres routeurs des
routes par défaut vers ces routeurs.

Pour définir un routeur par défaut, on utilise la commande suivante dans le mode de
configuration globale :
ip default-network numéro-réseau

où numéro-réseau représente l’adresse IP de réseau, ou de sous-réseau, définie comme

adresse par défaut.

Année 2003 Promo IR2000

 - 10 - Filière IR
ème
3 année

Lorsqu’une entrée pour un réseau de destination n’existe pas dans la table de routage, le
paquet est envoyé vers le réseau par défaut. Celui-ci doit donc figurer dans la table de
routage. Un avantage de l’utilisation des routes par défaut est qu’elles réduisent la taille
des tables de routage.

On utilise une adresse par défaut, lorsqu’on a besoin d’une route et que l’on ne dispose
que d’informations partielles sur le réseau de destination. Comme un routeur ne possède
pas toutes les informations sur tous les réseaux, il peut utiliser une adresse par défaut
pour indiquer la direction à prendre pour les adresse inconnues.

Outre l’emploi d’adresses IP normales, le protocole RIP utilise 0.0.0.0 comme route par
défaut.

• Configuration de routes statiques

Une route statique est un chemin défini par l’utilisateur pour forcer un paquet à prendre
un itinéraire spécifique. Elle représente une information importante lorsque le système ne
peut établir de route vers une destination donnée. Les routeurs peuvent transmettre des
paquets uniquement vers des routes connues. Si un routeur ne peut prendre
connaissance d’un chemin de façon dynamique, l’entrée statique est utilisée pour lui
permettre d’aiguiller le paquet entrant. Une route statique peut aussi être utile pour
désigner une passerelle de derniers recours, vers laquelle un paquet non routable sera
envoyé. Cette passerelle, qui est en fait un routeur, est employée en dernier ressort pour
localiser un équipement capable de gérer le paquet.

Pour configurer une route statique, la commande utilisée est la suivante dans le mode de
configuration globale :
ip route réseau [masque] {adresse|interface} [distance] [permanent]
Les arguments de cette commande ont la signification suivante :
• réseau : le réseau ou sous-réseau de destination
• maque : le masque de sous-réseau
• adresse : l’adresse IP du routeur de prochain saut
• interface : le nom de l’interface à utiliser pour atteindre le réseau de destination
• distance : la distance administrative
• permanent : optionnel : spécifie que la route ne sera supprimée, même si
l’activité de l’interface venait à s’interrompre.

Configuration du protocole de routage RIP

Voici quelques-unes des caractéristiques clés :
• C’est un protocole de routage par vecteur de distance
• Le nombre de sauts est utilisé comme métrique pour la sélection d’itinéraire
• Le nombre de sauts maximal autorisé est de 15. Une route dont le coût est
supérieur à 15 est considérée comme inaccessible.
• Par défauts, les mises à jour de routage sont diffusées en mode broadcast toutes
les trente secondes
• RIP peut assurer l’équilibrage de charge sur plusieurs chemins

L’équilibrage de charge permet à un routeur d’utiliser deux ou plusieurs chemins,

possédant un coût égal, pour atteindre une destination (essentiellement en transformant
une route à une voie en deux routes ou plus). Sur les routeurs Cisco, cette fonction est
activée en définissant le nombre maximal de chemins parallèles que le protocole peut
définir dans une table de routage. Si le nombre maximal est 1, la fonction est désactivée.
Comme il est par défaut de 4, elle est automatiquement activée.

Les deux principales commandes utilisées pour configurer un routeur RIP sont les
suivantes :

Année 2003 Promo IR2000

 - 11 - Filière IR
ème
3 année

Router(config)#router rip
Router(config-router)#network numéro-réseau

La commande router rip sélectionne RIP comme protocole de routage.

La commande network donne la permission au protocole de routage d’annoncer les
sous-réseaux connectés aux voisins du routeur.

Les commandes debug

La commande debug permet d’afficher les informations au fur et à mesure qu’elles sont
envoyées ou reçues d’un protocole donné.

exemple : debug ip rip.

La sauvegarde d’une configuration

Lorsque les paramètres sont corrects, on les enregistre dans le fichier de configuration de
démarrage.

Pour enregistrer les paramètres de configuration dans le fichier de configuration de

démarrage en mémoire NVRAM, il faut utiliser l’instruction suivante à l’invite de
commande du mode EXEC privilégié :
Router#copy running-config statup-config

Pour enregistrer les paramètres de configuration sur un serveur distant du réseau,

l’instruction suivante à l’invite de commande du mode EXEC privilégié est utilisé :
Router#copy running-config tftp
où l’argument tftp représente le type de serveur cible.

Configuration mise en place

Schéma générale
Dans ce TP, nous allons devoir mettre en place la configuration suivante. Par manque de
temps, nous n’aurons pas le temps de mettre place la connexion par RNIS.

172.30.2.100
172.16.0.0 / 16
172.16.100.100

PC distant
Serveur
eth0 : 172.30.2.254 serial0 : 172.29.2.1 serial0 : 172.29.2.2 eth0 : 172.16.2.1 d’authentification
RADIUS
LAN site distant

172.30.2.0 / 24 Routeur 2500 Routeur 1700

Serveur FTP
Site Local

Année 2003 Promo IR2000

 - 12 - Filière IR
ème
3 année

L’interface de configuration des routeurs

Pour configurer les routeurs, nous avons décidé d'utiliser l'Hyperterminal de Windows
avec cette configuration :

Routeur local (Cisco 1700)

Description
Présentation
Le routeur local qui délimite le réseau interne et interconnecte le site distant est un Cisco
1720.

Ce routeur dispose des éléments suivants :

• Un port Fast Ethernet 10/100 à détection automatique

• Deux emplacements pour cartes d'interface WAN (WIC) supportant les mêmes
cartes d'interfaces WAN de données que les routeurs des gammes Cisco 1600,
2600 et 3600

Année 2003 Promo IR2000

 - 13 - Filière IR
ème
3 année

• Un port auxiliaire (AUX), pour connexion série asynchrone à 115,2 kbits/s

maximum
• Un port de console
• Un processeur RISC supportant des fonctions de cryptage et de large bande
hautes performances
• Un emplacement interne pour la carte de cryptage à accélération matérielle
(MOD1700-VPN), avec des performances pouvant atteindre les débits T1/E1
• Connectivité à large bande par ligne d'abonné numérique (xDSL) ou par câble

Il supporte jusqu'à deux cartes d'interface WAN répertoriées. Ces cartes prennent en
charge un grand choix de technologies WAN : RNIS (Réseau Numérique à Intégration de
Services), série asynchrone, série synchrone (lignes louées, par exemple), Frame Relay,
Switched 56, X.25 et SMDS (Switched Multimegabit Data Service).

Interfaces physiques/ports

• Un port Fast Ethernet 10/100BaseTX (RJ-45)

o Détection automatique du débit
o Négociation automatique du mode bidirectionnel
• Deux emplacements pour carte d'interface WAN
o Supporte toute combinaison de cartes d'interfaces WAN (deux maximum),
comme illustré dans le tableau 1. WIC-1T, WIC-2T, WIC-1DSU-56K4, WIC-
1DSU-T1, WIC-1B-S/T, WIC-1B-U, WIC-2A/S, WIC-1ADSL, WIC-1ENET
• Interfaces série synchrones sur cartes d'interface WAN série
o Débit d'interface : jusqu'à 2 Mbits/s (T1/E1)
o Protocoles série synchrones : PPP, HDLC (High-Level Data Link Control),
LAPB (Link Access Procedure, Balanced), IBM SNA
o Services WAN série synchrones : Frame Relay, X.25 et SMDS
o Interfaces série synchrones supportées sur les cartes WIC-1T, WIC-2T et
WIC-2A/S : V.35, EIA/TIA-232, EIA/TIA-449, X.21 et EIA-530

Année 2003 Promo IR2000

 - 14 - Filière IR
ème
3 année

• Interfaces série asynchrones sur cartes d'interface WAN série

o Débit d'interface : jusqu'à 115,2 kbits/s
o Protocoles série asynchrones : Protocoles PPP, SLIP (Serial Line Internet
Protocol)
o Interface asynchrone : EIA/TIA-232
• Carte d'interface WAN ADSL
o Compatible avec les services et application d'adaptation ATM de couche 5
(AAL5)
o Interopérable avec le multiplexeur d'accès DSL Alcatel (DSLAM) avec jeu
de composants Alcatel et le DSLAM Cisco 6130/6260 avec jeu de
composants Globespan
o Compatible avec la norme ANSI T1.413 révision 2 et ITU 992.1 (G.DMT)
• Carte d'interface WAN RNIS
o Connexions commutées RNIS et IDSL (ISDN DSL) à 64 et 128 kbits/s
o Encapsulation sur relais de trame IDSL et PPP
• Un port auxiliaire (AUX)
o Jack RJ-45 avec interface EIA/TIA-232 (compatible avec le port auxiliaire
de la gamme Cisco 2500)
o DTE (Data Terminal Equipment) série asynchrone avec contrôle complet du
modem par CD (Carrier Detect), DSR (Data Set Ready), RTS (Request To
Send) et CTS (Clear To Send)
o Débits série asynchrones jusqu'à 115,2 kbits/s
• Un port de console
o Jack RJ-45 avec interface EIA/TIA-232 (compatible avec les ports de
console des gammes Cisco 1000, 1600, 2500 et 2600)
o DTE série asynchrone
o Débit d'émission/réception jusqu'à 115,2 kbits/s (par défaut :
9600 bits/s) - À ne pas confondre avec un port de données
o Pas d'échange bidirectionnel matériel tel que RTS/CTS
• Un emplacement d'extension interne pour le support de services assistés par
matériel, tels que le cryptage (jusqu'à T1/E1)

Processeur

• Motorola MPC860T PowerQUICC à 48 MHz

Mémoires DRAM et flash

• Exécution à partir de la RAM

• DRAM
o Embarquée (fixe/par défaut) : 32 Mo
o Un emplacement DIMM
o DRAM maximum : 48 Mo
• Flash
o Type : carte miniflash embarquée (sur emplacement)
o Par défaut : 8 Mo
o Formats disponibles : 16 Mo
o Flash maximum : 16 Mo
o Support de double banc de flash

Configuration
Configuration globale :
Pour faire le paramétrage, on passe en mode privilégié avec la commande enable :
Router> enable

Année 2003 Promo IR2000

 - 15 - Filière IR
ème
3 année

Router#
Maintenant, passons en mode configuration :
Router# configure terminal (ou conf t)
Router(config)#
On commence par changer le nom réseau du routeur en Local :
Router(config)# hostname Local
Local(config)#
On indique un mot de passe pour des raisons de sécurité : esitcom1 avec la
commande :
Local(config)#enable password esitcom1
Local(config)#

Configuration de l’interface Ethernet :

Nous allons maintenant configurer l’interface Ethernet eth0 qui va relier le routeur au
réseau local en indiquant son adrsse IP et son masque de sous-réseau. On peut, pour
s’assurer de l’opération, faire précéder cette action de la commande no ip address qui
va supprimer l’adresse courante.
Local(config)# interface Ethernet0
Local(config-if)# ip address 172.16.2.1 255.255.0.0

Comme on va connecter le routeur à un hub, on met comme type de communication half

duplex.

Rappel : Le chiffre /32 qui suit une adresse est le masque de réseau. Il indique le nombre
de bit à 1 du masque.

Pour indiquer à notre routeur de remplir sa fonction de routage, on entre la commande

ip routing et on lui donne la route à respecter pour faire transiter du réseau local à
l’extérieur et vice-versa :
Local(config-if)# ip route 172.30.2.0 255.255.255.0 172.29.2.2
Local(config-if)# ip routing

Configuration de l’interface Série :

L’interface série va nous permettre de relier nos deux routeurs, en simulant la ligne
spécialisée. Nous configurons donc l’interface Serial0, après être rentré dans son module
de configuration, sans oublier de changer le type d’encapsulation pour le mettre en HDLC
et mettre une horloge sur le routeur DCE de 64000
Local(config)# interface Serial0 (ou int Serial0)
Local(config-if)# ip address 172.29.2.2 255.255.255.252
Local(config-if)# encapsulation hdlc
Le clock rate qui est la vitesse de l’interface série est aussi à paramétrer.
Après être sortie, on regarde si le lien du serial est en DCE ou DTE car il faudra que nos
serveur n’ait pas le même type :
Local(config-if)# exit
Local(config)# show controller serial0
Remarque : généralement, les routeurs sont par défaut en DTE car les FAI (fournisseur
d’accès internet) sont en DCE.

Il ne faut pas oublier d’indiquer au routeur de ne pas faire de résolution de nom ce qui
est fait lorsque l’on entre une commande inconnue car il prend cette commande inconnue
comme un hostname et fait débute donc un telnet :
Local(config)# no ip domain lookup

NB : pour s’assurer que les interfaces ne se mettent pas en veille (down), on entre la
commande :
Local(config-if)# no shutdown

Année 2003 Promo IR2000

 - 16 - Filière IR
ème
3 année

Maintenant que ce premier routeur est configuré, on passe au deuxième. Avant cela, on
enregistre la configuration dans la mémoire non volatile avec la commande suivante. On
peut aussi l’enregistrer sur le serveur ftp avec la commande copy source dest.

write memory

Puis, on connecte les routeurs avec un câble croisé.

Machines et routeur distant (Cisco 2500)

Présentation
Le routeur distant qui permet de gérer les connexions des machines distantes est un
Cisco 2503.

Ce routeur est constitué d’une interface ethernet AUI, qui sera pour l’IOS (Internetwork
Operating System) l’interface ethernet 0. Elle fonctionne en 10 Mbts half duplex. On peut
y connecter un autre routeur ou plutôt un réseau LAN tel qu’un hub ou switch de
backbone. Pour y brancher un câble ethernet RJ-45, on utilise un transciever AUI-RJ45.
Dans le TP, nous relions notre PC à cette interface Ethernet.
Ce routeur est aussi constitué de 2 interfaces séries, serial 0 et serial 1 qui permettent
entre autre de relier des réseaux WAN par l’intermédiaire de LS, liaison modem de 64 ko
par exemple.
Nous avons également un port BRI, Basic Rate Interface qui est utilisé pour les liaisons
ISDN (RNIS).
Nous avons ensuite le port console, qui est un port de configuration, ainsi qu’un autre
port auxiliaire qui permet aussi de configurer le routeur.
On peut configurer le routeur par ces ports, ou à distance en telnet ou indiquer à l’IOS de
booter en TFTP sur une configuration présente sur une station.

La machine distante sera notre PC sur laquelle nous configuration l'interface réseau. Nous
ne devons pas aussi oublier de rentrer dans sa table de routage le chemin du serveur
distant.

Configuration
Configuration globale :
De la même façon que pour l’autre routeur, on passe en mode de configuration :
Router> enable
Router# configure terminal (ou conf t)
On indique Distant comme hostname et on met le mot de passe esitcom1 :
Router(config)# hostname Distant

Année 2003 Promo IR2000

 - 17 - Filière IR
ème
3 année

Distant(config)# enable password esitcom1

Configuration de l’interface Ethernet :

On configure maintenant l’interface FastEthernet qui va relier le routeur au réseau distant
Distant(config)# interface FastEthernet0
Distant(config-if)# ip address 172.30.2.254 255.255.255.0

Configuration de l’interface Série :

On configure l’interface série ensuite avec les même paramètres que l’autre routeur :
Distant(config)# interface Serial0 (ou int Serial0)
Distant(config-if)# ip address 172.29.2.1 255.255.255.252
Distant(config-if)# encapsulation hdlc
On paramètre ensuite la connexion :
Distant(config-if)# exit
Distant(config)# show controller serial0
Distant(config-if)# clock rate 64000
On fini avec la route :
Distant(config-if)# ip route 172.16.0.0 255.255.0.0 172.29.2.2

Le résultat des configuration est consultable en annexe. Elle a été obtenu avec la
commande show run qui donne la configuration actuelle ou show conf qui donne celle
sauvegardé dans la ROM.

Maintenant, on peut faire des ping sur chaque interface des routeurs depuis chaque
routeur puisque toute sont accessible depuis toute grâce aux routes.

Distant#ping 172.29.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.29.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/31/36 ms

Distant#ping 172.16.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms

---------------------------------------

Local#ping 172.29.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.29.2.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms

Local#ping 172.30.2.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.30.3.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms

Le serveur est aussi accessible des deux routeurs :

Distant#ping 172.16.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms

Année 2003 Promo IR2000

 - 18 - Filière IR
ème
3 année

---------------------------------------

Local#ping 172.16.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.16.100.100, timeout is 2
seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Machine distante
Sur la machine qui va simuler la machine distante, on configure son adresse ip et on
entre la route, avec ipconfig et route add.

On vérifie la bonne connexion au serveur avec un ping :

c:\>ping 172.16.100.100
Pinging 172.16.100.100 avec 32 octets de donnees :
Reponse de 172.16.100.100 : octets=32 temps=20ms TTL=126
Reponse de 172.16.100.100 : octets=32 temps=10ms TTL=126

Pour faire ces tests avec des telnet sur les routeurs, on doit créer au moins un
utilisateur autorisé sur chaque routeur, de cette façon :

Local#: conf t
Local(config)#: username user1 password user
Local(config)#: line vty 0 4
Local(config-line)#: login local
Local(config-line)#:

---------------------------------------

Distant#: conf t
Distant(config)#: username user2 password user
Distant(config)#: line vty 0 4
Distant(config-line)#: login local
Distant(config-line)#:

Année 2003 Promo IR2000

 - 19 - Filière IR
ème
3 année

Mise en place des authentifications

L’authentification
Après avoir configuré nos routeur, nous allons mettre en place une authentification.
Voyons maintenant qu’est-ce que l’authentification.

Fonctionnement des protocoles d'authentification

L’authentification des utilisateurs intervient :

- Sur un réseau local
- Sur un réseau étendu local client-serveur de type Intranet
- Sur un réseau Internet pour accéder à des parties confidentielles ou payantes des sites
web.
- Sur un réseau local client-serveur classique : Windows NT, Novell Netware.
- Sur un réseau étendu avec accès distant : Windows NT RAS (Remote Access Service)
- Accès à des serveurs confidentiels ou payants, téléservice bancaire, ordre de bourse,
commerce électronique, EDI, etc.

Les protocoles d’authentification ont chacun leur propre manière d’authentifier un

utilisateur ou une machine. Ils utilisent différent algorithmes, différentes techniques.
Cependant, tous ont quasiment le même principe de fonctionnement qui est à base de
clés.

Empreinte d’un message

Il s’agit de générer l’empreinte d’un message afin de certifier que le contenu de celui-ci
n’a pas été modifié. Il s’agit en fait d’une somme de contrôle obtenue par un calcul
numérique.
Il existe différents algorithmes certifiés tels que MD2, MD4, MD5 ou SHA1.
Ce sont généralement des fonctions de hachages. Pour qu’un tel algorithme soit efficace,
il faut que la probabilité d’obtenir une même empreinte à partir de deux documents
différents soit minimale.

Intégrité d’un message

Cette empreinte ainsi obtenue est cryptée par l’émetteur à l’aide de sa clef privée, et
ajoutée au message.

A la réception, le destinataire réalise la même empreinte et décrypte l’empreinte envoyée

à l’aide de la clef publique de l’émetteur. Si les deux empreintes sont égales, le
destinataire peut être sur de l’intégrité du message et de son émetteur. (à condition
d’être sur de la relation Clef publique/émetteur)

Avantages : Le destinataire est sur de l'intégrité du message et de son origine.

Inconvénients : Le destinataire doit posséder de manière fiable la clef publique de
l'émetteur.

Année 2003 Promo IR2000

 - 20 - Filière IR
ème
3 année

Les Certificats

Un Certificat est un document électronique attestant qu’une clef publique appartient

réellement à un individu ou à une organisation.

Les certificats sont délivrés par des autorités de certification. Elles sont appelées CAs
(Certificates Authorities).

L’entité contacte une de ces autorités et lui transmet sa clef publique. L’autorité vérifie
les informations : identité de l’individu, propriétaire de la clef, etc.; et délivre un certificat
attestant la relation entre le propriétaire et sa clef publique. L’entité peut ainsi distribuer
son certificat librement et sans risque.

Serveurs et clients peuvent utiliser les certificats lorsqu’ils établissent une connexion afin
de pouvoir s’authentifier ; cela évite le transfert d’un secret du type "login/password ".
Les certificats peuvent ainsi remplacer les multiples mot de Passe. Il est ainsi possible de
configurer tous les serveurs d’une entreprise de manière à ce que le client n’ait qu’à
retenir le mot de passe débloquant sa clef secrète.

Avantages : Il est possible de transmettre une clef publique en authentifiant son

propriétaire.

Inconvénients : Tous les destinataires doivent faire confiance à l’autorité de certification.

Contenu d’un certificat

Le format d’un certificat te que définit par le standard X.509 est constitué de 2 parties :

Données du Certificat (partie une) :

1.1 : Numéro de version X.509 pour la compatibilité avec de futures versions
1.2 : Numéro de série du certificat. Tous les certificats issus d’une même autorité de
certification (CA) doivent avoir un numéro de série différent.
1.3 : Algorithme de signature utilisé par l’autorité de certification (CA).
1.4 : Le Nom Complet (Distinguished Name) de l’autorité (CA) qui est à l’origine de ce
certificat. Ex : CN=CertificateServer01, O=phenix-informatique, C=fr
1.5 : La période durant laquelle le certificat est valide.
1.6 : Le Nom Complet (Distinguished Name) de l’entité certifiée. Ex : CN=job,
OU=techniques, O=phenix-informatique, C=fr
1.7 : L’algorithme de clef publique de l’entité certifiée.
1.8 : La clef publique de l’entité certifiée.

Validité du Certificat (partie deux) :

2.1 : La signature des données ci-dessus par l’autorité de certification (CA).
2.2 : L’algorithme de signature utilisée par l’autorité de certification (CA).

Exemple de certificat

Ex : Certificat personnel Verisign

"
This Certificate belongs to:
Olivier GROSJEANNE
job@phenix-informatique.fr
Digital ID Class 1 - Netscape
Persona Not Validated

Année 2003 Promo IR2000

 - 21 - Filière IR
ème
3 année

www.verisign.com/repository/RPA Incorp.
by Ref.,LIAB.LTD(c)98
VeriSign Trust Network
VeriSign, Inc.
This Certificate was issued by:
VeriSign Class 1 CA Individual
Subscriber-Persona Not Validated
www.verisign.com/repository/RPA Incorp.
By Ref.,LIAB.LTD(c)98
VeriSign Trust Network
VeriSign, Inc.

Serial Number: 44:E1:C5:AE:F4:AB:79:2F:31:35:30:93:8E:0B:25:C1

This Certificate is valid from Tue Nov 17, 1998 to Sun Jan 17, 1999
Certificate Fingerprint:1C:D5:A2:33:CD:4D:F9:62:55:4C:1D:80:82:80:30:9E
"

Vérification d’un certificat

Le destinataire du certificat fait confiance à l’autorité de certification :

- Il possède donc la clef publique de l’autorité de certification.
- Il réalise l’empreinte des données du certificat.
- Il décode l’emprunte transmise à l’aide de la clef publique de l’autorité de certification.
- Il compare les deux résultats.

Les protocoles Tacacs et Radius

Un protocole d’authentification est un moyen de contrôle d’accès. Il comprend
les trois A (AAA) :

Authentication (authentification)
Cela correspond à l’identification de l’utilisateur, que ce soit une personne physique ou un
service. Cette identification passe par la présentation de l’identité de l’utilisateur. Cette
information est unique à chaque utilisateur et non secrète. Elle sert de référence dans la
base des utilisateurs.
Le contrôle de cette information consiste à vérifier un secret partagé entre l’utilisateur et
le serveur d’authentification. Elle peut être de plusieurs types :
statique : l’information transmise est alors la même lors d’authentifications successives :
mot de passe type UNIX par exemple.
Dynamique : on passe alors par un challenge entre le serveur et l’utilisateur, ce qui
permet d’avoir une information différente à chaque nouvelle authentification : calculette,
carte à puce, badge...
Physique : reconnaissance vocale, empreintes, iris...

Authorization (autorisation)
C’est le fait de déterminer quels sont les droits de l’utilisateur. Par exemple,
après s’être loggué, l’utilisateur peut essayer d’utiliser certaines commandes.
L’autorisation détermine alors si l’utilisateur peut ou non les utiliser. Dans certaines
implémentations, l’identification et l’autorisation sont regroupés en une seule étape.

Accounting (rapports)
Cela consiste à mesurer les ressources qu’un utilisateur consomme, en terme
d’échange réseau, de ressources système,... Cela sert en fait à logguer un certain

Année 2003 Promo IR2000

 - 22 - Filière IR
ème
3 année

nombre d’informations sur l’utilisateur. Cela permet de connaître à la fois les services
demandés par l’utilisateur et la quantité de ressources requises.
Les trois points définis ci-dessus sont importants pour une bonne gestion et une
bonne sécurité d’un réseau. Ils devraient être disponibles au point d’entrée d’un réseau.

Tous les utilisateurs distants accèdent au réseau au travers d’un NAS (Network Access
Server), aussi appelé Remote Access Server, ou Terminal Server. Un NAS est une
interface qui accepte un accès distant à travers une ligne téléphonique ou RNIS. Le NAS
connecte les utilisateurs distants au réseau interne (Local Area Network).
Après s’être connecté, l’utilisateur distant a accès à toutes les ressources du réseau
interne (serveurs, partages, communication avec les autres utilisateurs, ...)
La mise en place des AAA au point d’entrée du réseau garantit un contrôle sur
les connexions des utilisateurs au réseau, ainsi que sur ce qu’ils sont autorisés ou non à
faire.

Le protocole TACACS+ (Terminal Access Controller Access Control

System)
TACACS+ est la dernière version du protocole TACACS développé à l’origine par
BBN, puis repris par Cisco qui va l’étendre une première fois par XTACACS (eXtended
TACACS) compatible avec TACACS, puis par TACACS+. Mais cette dernière version n’est
plus compatible avec les versions originelles, bien que basée sur celles-ci.
TACACS+ utilise TCP pour son transport (contrairement à TACACS qui était basé sur
l’UDP). Il utilise le port 49 (login). Il gère séparément les trois fonctions AAA
(authentification, autorisation, accounting), contrairement à d’autres protocoles
d’authentification.
TACACS+ prévoit une implémentation pour chacune des trois, mais une configuration
n'exige pas de toutes les utiliser

Session
TACACS+ utilise la notion de session pour ses communications entre le client
(NAS) et le serveur. Une session ne contient qu’un échange, ou d’authentification, ou
d’autorisation, ou d’accounting. TACACS+ peut utiliser l’identifiant des sessions pour
chiffrer les paquets.
Si le client et le serveur le supportent, plusieurs sessions peuvent être réalisées sur la
même connexion TCP. Mais, pour des raisons de compatibilité, ce dispositif est à éviter,
et il vaut mieux rouvrir une nouvelle connexion pour chaque session.

Authentification avec TACACS+

TACACS+ peut aussi bien utiliser des techniques d’authentification classiques
type login/mot de passe statique, ou bien des procédés plus évolués à base de challenge
avec authentification réciproque, par exemple.
Lors d’une nouvelle connexion, le NAS émet un message START au serveur décrivant le
type d’authentification à utiliser. En retour, le démon envoie un message REPLY. Ce type
de message peut indiquer ou bien que l’authentification est terminée, ou bien qu’elle doit
continuer, auquel cas, le client récupère l’information manquante et la retourne dans un
message CONTINUE.
Le type de requête provenant du serveur peut être une demande GETDATA, GETUSER ou
GETPASS. GETDATA est une requête générique de récupération d’information du profil
utilisateur.

Autorisation avec TACACS+

Lors d’un accès à un service particulier, le NAS ouvre une session d’autorisation.
Cette session consiste juste en l’échange d’une paire de messages :

Année 2003 Promo IR2000

 - 23 - Filière IR
ème
3 année

REQUEST/RESPONSE. La requête décrit l’authentification pour l’utilisateur ou le

processus qui demande l’accès au service.
La réponse du serveur contient un ensemble d’attributs pouvant restreindre ou modifier
les actions du client, plutôt qu’une simple réponse affirmative de type oui/non.

Accounting avec TACACS+

Les échanges utilisés lors de l’accounting sont similaires à ceux employés lors de
l’autorisation (REQUEST/RESPONSE).
Au démarrage et à la terminaison d’un service, on émet un paquet START et STOP.
De plus, le protocole TACACS+ propose l’émission de paquets UPDATE servant à
confirmer qu’un service est en cours d’utilisation.
On peut retrouver les spécifications du fonctionnement du protocole TACACS+ dans le
draft draft-grant-tacacs-02.txt

Les attributs de TACACS+

Les serveurs d'authentification supportent les paires "attribut-valeur" (AV pair)
de TACACS+. Ce sont des couples 'attribut'='valeur' qui permettent de définir tous les
paramètres d'autorisation que l'on désire mettre en œuvre.
Le but de TACACS+ est de fournir une méthodologie permettant de gérer les différents
points d'accès distants depuis un simple ensemble de services de gestion. La famille de
serveurs d'accès et de routeurs de Cisco peuvent être des points d'accès distants.
Les points d'accès distants permettent aux terminaux basiques, aux émulateurs de
terminaux, aux stations de travail, aux PCs et aux routeurs, de communiquer en utilisant
des protocoles sur les lignes séries comme le PPP (Point-to-Point Protocol), le SLIP
(Serial Line Internet Protocol), le CSLIP (Compressed SLIP) ou l'ARAP (AppleTalk Remote
Access Protocol). En d'autres termes, un point d'accès distant fournit des connexions à
un simple utilisateur, vers un réseau. Les entités connectées par l'intermédiaire d'un
point d'accès distant sont appelées clients distants (network access clients).

Les services de sécurité réseau AAA accomplissent les fonctions suivantes :

• Authentification – Fournit un contrôle complet de l'authentification à travers un
échange de login et mot de passe, un challenge et une réponse, un support de
transmission de messages, et un système de chiffrement utilisant l'algorithme MD5
(Message Digest 5).
Le mécanisme d'authentification donne la possibilité, après la transaction du login et du
mot de passe, de vérifier son identité en lui posant un certain nombre de questions, par
exemple son adresse postale ou le nom de jeune fille de sa mère… L'administrateur
TACACS+ peut augmenter l'intégrité de l'authentification en changeant régulièrement ces
questions (challenge). Le service d'authentification TACACS+ est assez flexible pour
pouvoir envoyer des messages sur l'écran de l'utilisateur. Par exemple, un message peut
prévenir les utilisateurs qu'ils doivent changer leur mot de passe à cause de la politique
de gestion de leur durée de vie.
• Autorisation – Fournit un contrôle d'accès distant incluant une seule autorisation
globale ou bien une autorisation pour chaque service, un support pour les groupes
d'utilisateurs et un support pour IP, IPX, ARA et telnet. En plus de cela, on peut créer des
permissions et des restrictions d'accès ou de commandes.
Pour de plus grands niveaux de contrôles sur les actions des utilisateurs après qu'ils se
soient authentifiés, la composante d'autorisation de TACACS+ permet de créer différents
groupes basés sur les fonctionnalités des utilisateurs. Avec l'autorisation TACACS+, un
administrateur réseau peut limiter un utilisateur à un nombre restreint de fonctions sur
l'interface utilisateur d'un routeur (autocommands).
• Accounting – Rassemble et envoie les informations regroupant les actions des
utilisateurs.
Les administrateurs réseau peuvent utiliser cette fonctionnalité pour tracer l'activité d'un
utilisateur pour un audit de sécurité ou simplement pour des statistiques.

Année 2003 Promo IR2000

 - 24 - Filière IR
ème
3 année

Un rapport peut être réalisé pour fournir différentes informations comme l'identité de
l'utilisateur, les heures de début et de fin de sessions, les commandes exécutées (comme
PPP), les nombres de paquets et les nombres d'octets échangés.

Le protocole RADIUS (Remote Access Dial-In User Service)

Le protocole RADIUS (Remote Authentication Dial In User Service) a été créé par
Livingston et normalisé par l’IETF (Internet Engineering Task Force) sous la forme de RFC
(Request For Comments). Actuellement il s’agit des RFC 2138 et 2139.
Tous les clients RADIUS communiquent généralement à travers le réseau local sur un
serveur unique, ce qui rend la tâche de l’administrateur plus simple. La gestion des
utilisateurs et de leurs droits est alors plus facile par rapport à plusieurs serveurs qu’il
faudrait mettre à jour simultanément sur le réseau.
Le standard RADIUS est basé sur un ensemble d’attributs relatifs aux utilisateurs. Ils sont
tous stockés dans la base RADIUS du serveur. Au cours d’une connexion, un échange
d’information a lieu entre le serveur et le client (NAS). Le standard RADIUS propose un
certain nombre d’attributs qui doivent être mis en œuvre. Mais beaucoup
d’implémentations spécifiques du protocole apportent leur propre jeu d’attributs.
Le protocole RADIUS permet une authentification utilisateur/mot de passe ou
utilisateur/challenge/réponse ou les deux, qui peut être configurée spécifiquement pour
chaque utilisateur. La vérification est réalisée par le serveur RADIUS, qui retourne alors
un “authentication reply” au NAS qui a émis la requête.
L’autorisation, elle, est réalisée par le NAS, en utilisant les informations sur l’utilisateur
retournées par le serveur.
Le protocole RADIUS est basé sur un échange de paquets utilisant le protocole
UDP. Le port généralement employé est le 1645, bien qu’il devrait être normalement
configuré sur le port 1812 pour éviter des conflits avec le service Datametrics. Il existe 4
types de paquets différents :
• “Access-Request”
• “Access-Accept”
• “Access-Reject”
• “Access-Challenge”

Authentification avec RADIUS

Afin de se connecter au NAS, le client RADIUS récupère d’abord toutes les
informations nécessaires (login, mot de passe). La méthode de récupération de ces
informations dépend de la configuration du client. Il peut s’agir directement d’un prompt
invitant l’utilisateur à entrer ces informations, ou bien d’utiliser les valeurs transmises par
le protocole de communication (ex : PPP).

A la suite de cela, le client RADIUS crée un paquet de type “Access-Request” contenant

les informations dont le serveur RADIUS a besoin (nom, mot de passe, ID du client, ID
du port). Si un mot de passe est présent, il sera chiffré en utilisant MD5.
Une fois que le serveur reçoit la requête, il vérifie d’abord que le client partage un secret
avec lui, puis récupère les informations concernant l’utilisateur. Celles-ci sont extraites
d’une base de données qui peut être locale au serveur RADIUS, ou bien appartenir à un
autre serveur du réseau (dans ce cas, le serveur RADIUS jouera lui-même le rôle de
client). Si un mot de passe doit être communiqué, il sera vérifié par le serveur.
D’autres vérifications peuvent être effectuées sur l’ID du client ou du port selon le
contenu de la base concernant l’utilisateur.

Année 2003 Promo IR2000

 - 25 - Filière IR
ème
3 année

Dans le cas où l’une des conditions ne seraient pas remplies, le serveur retourne un
paquet “Access-Reject” qui indiquerait au client que la connexion a été refusée et
pourrait contenir un message d’explication. Sinon, le serveur retourne un “Access-
Challenge”. Le paquet contient un nombre aléatoire que le client doit chiffrer. Pour cela, il
peut utiliser une calculette, ou un logiciel permettant de faciliter le calcul de la réponse.
En retour, le client émet de nouveau le paquet “Access-Request” mais contenant cette
fois la réponse au challenge. Le serveur peut alors renvoyer :
• un “Access-Accept” si l’authentification est validée
• un “Access-Reject” dans le cas contraire
• un “Access-Challenge” si un complément d’information est nécessaire

Autorisation avec RADIUS

Lors de l’ “Access-Accept”, le serveur ajoute, dans le paquet, une liste de valeurs
correspondant aux paramètres de l’utilisateur. Elles sont utilisées par le NAS qui réalise
la phase d’autorisation.
Si elles sont valides, l’utilisateur est alors connecté. Suivant la configuration du Network
Access Server, elle peut ne pas être réalisée, auquel cas, aucune autorisation ne sera
effectuée.

Accounting avec RADIUS

Au démarrage d’un service, le NAS émet un paquet “Accounting-Start” au
serveur RADIUS. Le NAS centralise les informations, puis les envoie au serveur au
moment de la fermeture du service dans un paquet “Accounting Stop” (quantité
transmise, débit, bande passante, temps d’émission, ...).

Les attributs de RADIUS

Tout comme TACACS+, RADIUS (Remote Dial-In User Service) fonctionne à
l'aide des AV-pairs.
Contrairement à TACACS+, RADIUS intègre, dans son implémentation, une notion de
type de donnée.

Année 2003 Promo IR2000

 - 26 - Filière IR
ème
3 année

Comparaison entre TACACS+ et RADIUS

Protocole
Chiffrement
Architecture AAA
Emission du profile
Protocoles supportés
Challenge / Réponse
TACACS+ RADIUS
UDP : port 1645
TCP : port 46
(1812 normalement)
Chiffrement du paquet Chiffrement du mot de
entier passe
Autorisation liée à
Les AAA sont indépendants
l’authentification
Profil émis champs par Profil global envoyé au NAS
champs à la demande du lors de la fin de
NAS l’authentification
Support complet Pas de ARA ni de NetBEUI
Bidirectionnel Unidirectionnel

Le serveur Cisco Secure Access Control Server pour

Windows 2000
Nous nous sommes maintenant connecté au serveur. Voici une brève description de ce
serveur.

Présentation

Cisco Secure Access Control Server (ACS) pour Windows 2000 est un serveur de contrôle
d'accès hautement évolutif et hautes performances fonctionnant comme un système
serveur RADIUS ou TACACS+ centralisé et contrôlant l'authentification, l'autorisation et
la comptabilité (AAA) des utilisateurs qui accèdent aux ressources de l'entreprise. Cisco
Secure ACS prend en charge le contrôle d'accès et la comptabilité des serveurs d'accès
distant, des VPN et des pare-feu, ainsi que des solutions VoIP (Voice over IP). La version
3.1 et le nouveau module EAP (Extensible Authentication Protocol) permettent
l'authentification IEEE 802.1X conforme aux normes des utilisateurs Cisco Aironet 350
Wireless Access. Ils permettent également de distribuer les clés de cryptage sans fil à
l'aide de RADIUS.

Caractéristiques principales

• Contrôle des utilisateurs autorisés à se connecter au réseau via RADIUS

• Gestion depuis un emplacement central des privilèges utilisateur sur le réseau
• Serveur TACACS+ permettant de contrôler la configuration/l'accès administratif
sur le réseau

Fonctionnalités principales

• Convivialité : l'interface utilisateur Web simplifie et distribue la configuration.

• Évolutivité : ACS prend en charge les environnements étendus, y compris les

serveurs redondants, les bases de données distantes et les services de

Année 2003 Promo IR2000

 - 27 - Filière IR
ème
3 année

sauvegarde des bases de données utilisateur.

• Extensibilité : suivi de l'authentification LDAP pour l'authentification des profils

utilisateur stockés dans les répertoires par les principaux fournisseurs, tels que
Netscape, Novell et Microsoft.

• Gestion : la prise en charge de Windows 2000 Active Directory et des bases de

données consolide la gestion des noms d'utilisateur/mots de passe Windows et
utilise l'Analyseur de performances Windows pour l'affichage des statistiques en
temps réel.

• Administration : les différents niveaux d'accès pour chaque administrateur et la

possibilité de regrouper les périphériques réseau facilitent l'application et la
modification des stratégies de sécurité.

• Souplesse des produits : ACS peut être utilisé avec les serveurs d'accès
réseau/routeurs Cisco lors de l'exécution d'une version Cisco IOS intégrée à
RADIUS ou TACACS+.

• Prise en charge de produits tiers : prise en charge de Token Server pour RSA
SecurID, Axent Technologies, Secure Computing et CryptoCard.
• Contrôle : quotas dynamiques du temps machine, de l'utilisation du réseau, du
nombre de sessions ouvertes et des restrictions d'accès selon les jours de la
semaine.

RADIUS
On va dans un premier temps faire une authentification en local :
Distant#: conf t
Distant(config)#: aaa new-model
Distant(config)#: aaa authentication login default local
Distant(config)#: line vty 0 4
Distant(config-line)#: login authentication default
Distant(config-line)#: exit

Nous pouvons maintenant faire l’identification avec le serveur RADIUS.

On commence donc pas retirer le travail qu’on vient de faire pour la configuration en
locale :
Distant(config)#: no aaa authentication login default local
On partage la clé esitcom permettant l’authentification :
Distant(config)#: radius key esitcom
On précise maintenant l’adresse IP du serveur RADIUS :
Distant(config)#: radius host 172.16.100.100
On configure ensuite notre authentification :
Distant(config)#: aaa authentication login aaa1 radius enable
Distant(config)#: aaa authentication enable default group radius none
Distant(config)#: line vty 0 4 //facultatif
Distant(config-line)#: login authentication aaa1

On s’occupe maintenant de l’autorisation :

Distant(config)#: aaa authorization config-commands

Distant(config)#: aaa authorization commands 2 RADIUS group radius none

Année 2003 Promo IR2000

 - 28 - Filière IR
ème
3 année

Il faut ma intenant définir la liste que nous utilisons :

Distant(config)#: authorization commands 2 RADIUS
On créé un compte utilisateur avec un mot de passe qui se trouve sur le serveur auquel
nous allons donner des privilèges :
Distant(config)#: username exploit privilege 2 password 0 exploit
Mise en place du débuggage de l’authentification et du serveur radius:
Distant#debug aaa authentication
AAA Authentication debugging is on
Distant#debug radius

Analyse des Débug

Pour cela, nous avons consulté les RFC s’appliquant à Radius.

http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2138.html
http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2139.html

• Telnet 172.30.2.254 (interface FastEthernet0 du Cisco 2503)

- Authentification Radius avec un utilisateur non existant :

12:00:11: AAA/AUTHEN/START (91301234): found list RADIUS
12:00:11: AAA/AUTHEN/START (91301234): Method=radius (radius)
// on utilise Radius pour l’authentification
12:00:11: AAA/AUTHEN (91301234): status = GETUSER
12:00:23: AAA/AUTHEN/CONT (91301234): continue_login (user='(undef)')
12:00:23: AAA/AUTHEN (91301234): status = GETUSER
// demande de login
12:00:23: AAA/AUTHEN (91301234): Method=radius (radius)
12:00:23: AAA/AUTHEN (91301234): status = GETPASS
12:00:29: AAA/AUTHEN/CONT (91301234): continue_login (user='test')
12:00:29: AAA/AUTHEN (91301234): status = GETPASS
// demande de password pour l’utilisateur test
12:00:29: AAA/AUTHEN (91301234): Method=radius (radius)
12:00:29: AAA/AUTHEN (91301234): status = FAIL
// echec d’authentification
12:00:31: AAA/MEMORY: free_user (0x70C13B20) user='test' ruser=''
port='tty6' rem_addr='172.30.2.100' authen_type=ASCII service=LOGIN priv=1
12:00:31: AAA: parse name=tty6 idb type=-1 tty=-1
12:00:31: AAA: name=tty6 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=6
channel=0
12:00:31: AAA/MEMORY: create_user (0x70C13B20) user='' ruser=''
port='tty6' rem_addr='172.30.2.100' authen_type=ASCII service=LOGIN priv=1

- Authentification Radius avec l’utilisateur aaa1 :

12:00:31: AAA/AUTHEN/START (1865334562): found list RADIUS
12:00:31: AAA/AUTHEN/START (1865334562): Method=radius (radius)
// on utilise toujours Radius pour l’authentification
12:00:31: AAA/AUTHEN (1865334562): status = GETUSER
12:00:38: AAA/AUTHEN/CONT (1865334562): continue_login (user='(undef)')
12:00:38: AAA/AUTHEN (1865334562): status = GETUSER
// demande de login
12:00:38: AAA/AUTHEN (1865334562): Method=radius (radius)
12:00:38: AAA/AUTHEN (1865334562): status = GETPASS
12:00:40: AAA/AUTHEN/CONT (1865334562): continue_login (user='aaa1')
12:00:40: AAA/AUTHEN (1865334562): status = GETPASS
// demande de password pour l’utilisateur aaa1

Année 2003 Promo IR2000

 - 29 - Filière IR
ème
3 année

12:00:40: AAA/AUTHEN (1865334562): Method=radius (radius)

12:00:40: AAA/AUTHEN (1865334562): status = PASS
// le serveur Radius a bien authentifié aaa1
12:01:10: AAA/MEMORY: free_user (0x70C13B20) user='aaa1' ruser=''
port='tty6' re
m_addr='172.30.2.100' authen_type=ASCII service=LOGIN priv=1

- Authentification Locale avec un utilisateur non existant :

12:01:49: AAA/AUTHEN/START (1615866212): Method=LOCAL
// on utilise la base de données locale pour l’authentification
12:01:49: AAA/AUTHEN (1615866212): User not found, end of method list
12:01:49: AAA/AUTHEN (1615866212): status = FAIL
// echec d’authentification
12:01:51: AAA/MEMORY: free_user (0x70C13B20) user='test' ruser=''
port='tty6' rem_addr='172.30.2.100' authen_type=ASCII service=LOGIN priv=1
12:01:51: AAA: parse name=tty6 idb type=-1 tty=-1
12:01:51: AAA: name=tty6 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=6
channel=0
12:01:51: AAA/MEMORY: create_user (0x70C13B20) user='' ruser=''
port='tty6' rem_addr='172.30.2.100' authen_type=ASCII service=LOGIN priv=1

- Authentification Locale avec l’utilisateur « localuser » :

12:06:04: AAA/AUTHEN/START (1465834521): Method=LOCAL
12:06:04: AAA/AUTHEN (1465834521): status = GETPASS
12:06:04: AAA/AUTHEN/CONT (1465834521): continue_login (user='localuser')
12:06:04: AAA/AUTHEN (1465834521): status = GETPASS
12:06:04: AAA/AUTHEN/CONT (1465834521): Method=LOCAL
12:06:04: AAA/AUTHEN (1465834521): status = PASS
// l’utilisateur localuser a bien été authentifié localement

TACACS

Configuration
Nous allons nous authentifier auprès du serveur TACACS :
On partage la clé esitcom qui permet l’authentification :
Distant(config)#tacacs-server key esitcom
On précise l’adresse du serveur :
Distant(config)#tacacs-server host 172.16.100.100
On configure ensuite notre authentification :
Distant(config)#aaa authentication login TACACS tacacs local
Distant(config)#: line vty 0 4
Distant(config-line)#login authentication TACACS
Distant(config)#: aaa authorization commands 14 TACACS group tacacs+ none
Il faut maintenant définir la liste que nous utilisons :
Distant(config)#: authorization commands 14 TACACS
On créé maintenant un compte utilisateur avec mot de passe qui se trouve sur le serveur
auquel nous allons donner des privilèges :
Distant(config)#: username support privilege 14 password 0 support

Année 2003 Promo IR2000

 - 30 - Filière IR
ème
3 année

Conclusion

Avec ce TP, nous avons pu apprendre à mettre en place une configuration très courante
en entreprise. Nous avons vu les aspects architecture et sécurité qui sont des
connaissances indispensables.

Ce compte-rendu s’est voulu très complet pour se transformer en un support pour notre
vie professionnelle.

Par conséquent, grâce au cours de routage, nous avons eu les bases nécessaires pour
devenir un ingénieur réseau complet.

Toutefois, nous aimerions apporter quelques remarques sur ce cours dans un but
d'amélioration.

La première serait la structure. Nous n'avons pas eu l'impression d'avoir suivi un plan
défini, ou en tout cas, on ne nous l'a pas transmis explicitement. De ce fait, certains
n'ont pas bien compris tout de suite le but du cours, ce qui les a démotivé. Pour remédier
à cela, il suffirait simplement de commencer le cours par son plan. Le mieux serait même
de fournir un support qui nous serait très utile pour les TP.

Justement, la deuxième remarque concerne les TP. En effet, lors de ceux-ci, nous
regrettons de n'avoir pas été guidé plus concrètement dans nos démarches. On nous a
demandé de faire des manipulations que certains ne connaissait pas du fait de
l'hétérogénéité des parcours professionnels. Pour cause, nous ne les avions jamais vu, ni
dans les années précédentes, ni dans le cours. Ce manque de soutien a démotivé les
moins bons...

Malgré tout, grâce à notre investissement et les conseils du professeurs recueillis au fur
et à mesure, nous nous considérons maintenant comme opérationnel dans le domaine de
l'authentification distante.

Année 2003 Promo IR2000

 - 31 - Filière IR
ème
3 année

ANNEXES

Configuration du routeur Cisco 1700

Configuration du routeur Cisco 2500

Année 2003 Promo IR2000

 - 32 - Filière IR
ème
3 année

Configuration finale du routeur local

version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Local
!
username user1 password 0 user
no ip domain-lookup
!
memory-size iomem 25
ip subnet-zero
!
!
interface Serial0
ip address 172.29.2.2 255.255.255.252
!
interface Serial1
no ip address
shutdown
!
interface FastEthernet0
ip address 172.16.2.1 255.255.0.0
speed auto
!
ip classless
ip route 172.30.2.0 255.255.255.0 172.29.2.2
no ip http server
!
line con 0
line aux 0
line vty 0 4
!
no scheduler allocate
end

Année 2003 Promo IR2000

 - 33 - Filière IR
ème
3 année

Configuration finale du routeur distant

version 11.1
service udp-small-servers
service tcp-small-servers
!
hostname Distant
!
aaa new-model
aaa authentication login default local
aaa authentication login RADIUS group radius local
aaa authentication login aaa1 radius enable
aaa authentication enable default group radius none
aaa authorization commands 2 RADIUS group radius none
authorization commands 2 RADIUS
!
username user2 password 0 user
username exploit privilege 2 password 0 exploit
no ip domain-lookup
!
interface Ethernet0
ip address 172.30.2.254 255.255.255.0
!
interface Serial0
ip address 172.29.2.1 255.255.255.252
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
no ip classless
ip route 172.16.0.0 255.255.0.0 172.29.2.2
logging buffered
!
radius key esitcom
radius host 172.16.100.100
!
line con 0
line aux 0
line vty 0 4
login authentication default
login authentication aaa1
!
end

Année 2003 Promo IR2000