Scribd Logo
Importer

Bienvenue sur Scribd !

  • TP Senss .Aaa

    Transféré par

    Mavego Mamididi
    11 vues8 pages

    Titre original

    TP_SENSS_.AAA

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    11 vues8 pages

    TP Senss .Aaa

    Transféré par

    Mavego Mamididi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 8

    Master1 SRS CCNP SEC SENSS 2019

    CONFIGURATION BASIQUE DU AAA


    POUR L’AUTHENTIFICATION

    NB : ce TP est réalisé sur le simulateur Eve-ng.

    Athenticator

    Athentication Server
    Supplicant

    Réalisez la topologie sur le simulateur Eve-ng.

    Objectifs : nous voulons que les accès au routeur OCAM-R1 soient contrôlés par un
    serveur tiers de type Radius ou Tacacs. De cette manière, les identifiants ne seront plus le
    simple mot de passe habituel mais un couple nom d’utilisateur et mot de passe.

    A cet effet, nous pouvons nous servir de la base de données locale du routeur comme par
    le passé, mais, pour plus de sécurité, nous nous servirons d’un serveur tiers.

    La configuration Radius fait intervenir trois (03) acteurs :

    • le Supplicant ;
    • le Authenticator :et
    • le Authentication server.

    M. DOMAN 1|Page
    Master1 SRS CCNP SEC SENSS 2019

    PARTIE 1 : ISE et le serveur Linux (08 pts)

    Question 1: installation et configuration de Cisco ISE (02 pts)


    Sur une VM, installez le serveur Cisco ISE à partir du fichier OVA. Utilisez les
    paramètres suivants :

    • Hostname : ise23
    • Interface réseau : NAT
    • Adresse IP : 192.168.70.10/24 avec GW : 192.168.70.2
    • Nom d’utilisateur : admin / Eve1234

    Question 2: installation et configuration de FreeRadius (02 pts)


    Importez la VM LPIC Centos 01 sur votre VMware Workstation à partir du fichier OVF
    qui vous sera donné et vérifiez que les paramètres ci-après sont correctes :

    Interface réseau : NAT

    Adresse IP : 192.168.70.16/24 avec GW : 192.168.70.2

    Nom d’utilisateur : mike / Eve1234

    Question 3: configuration Initiale (02 pts)


    Adressez les équipements et configurez le routage statique sur le routeur OCAM-R1
    (route par défaut vers le 192.168.70.2).

    Vérifiez la connectivité avec les deux serveurs :

    Cisco ISE : ……………………………………………..

    CentOs7 : ………………………………………………

    Question 4: du telnet et du ssh sur OCAM-R1 (02 pts)


    Sur OCAM-R1 configurez le telnet et le SSH pour que ce routeur soit accessible à
    distance.

    M. DOMAN 2|Page
    Master1 SRS CCNP SEC SENSS 2019

    PARTIE 2 : TACACS PLUS SIMPLE (06 pts)

    Question 4: configuration du Authenticator (NAD) (02 pts)


    Le Authenticator ou NAD est l’équipement réseau qui sert de jonction entre le
    Supplicant et le Authentication-server. Il peut être un routeur, un switch ou même un
    wlc. Dans notre exemple, il s’agit du switch SW1.

    tacacs-server host 192.168.70.10 key Eve1234


    ou pour les nouveaux systèmes :
    tacacs server ISE
    Configuration du
    address ipv4 192.168.70.10
    serveur Tacacs
    key Eve1234
    aaa group server tacacs+ SRVS_TACACS
    server-name ISE
    aaa new-model
    Configuration du aaa
    aaa authentication login ESGIS_AUTH group SRVS_TACACS local
    Base de données
    username esgis1 password Eve1234
    locale
    Application aux line vty 0 4
    terminaux virtuels login authentication ESGIS_AUTH
    Question 5: configuration du Authentication-server (02 pts)
    Connectez-vous au ISE

    Allez dans network device et faites la jonction avec le switch SW1 en utilisant le même
    mot de passe que celui configuré pour le serveur ISE

    Allez dans administration >> identities >> users et créez de nouveaux utilisateurs
    (esgis1/Eve1234 etesgis2/Eve1234)

    Question 6: vérifications (02 pts)


    show run | section aaa
    show run | section tacacs
    show run | section line vty
    show tacacs
    test aaa group SRVS_TACACS user1 Eve1234 legacy
    show aaa method-list all

    Depuis le PC1 essayez une connexion telnet sur OCAM-R1 : ………………………….

    M. DOMAN 3|Page
    Master1 SRS CCNP SEC SENSS 2019

    PARTIE 3 : RADIUS SIMPLE (06 pts)

    Question 6: configuration du Authenticator (NAD) (02 pts)


    aaa new-model
    radius server LPIC01
    Configuration du address ipv4 192.168.70.16
    serveur Tacacs key Eve1234
    aaa group server radius SRV_RADIUS
    server-name LPIC01
    Configuration du aaa aaa authentication login ESGIS_AUTH group SRV_RADIUS local
    Application aux line vty 0 4
    terminaux virtuels login authentication ESGIS_AUTH

    Question 7: configuration du Authentication-server (02 pts)


    Connectez-vous au serveur CentOs7 par SSH ou en console.

    Pour installer FreeRadius et activer le service pour le démarrage automatique, rentrez les
    commandes suivantes :

    yum update
    yum install freeradius freeradius-utils
    systemctl enable radiusd
    systemctl restart radiusd

    Pour autoriser les ports du service radius (1812 et 1813) sur le pare-feu :

    ufw allow 1812


    ufw allo 1813
    ufw status

    • vérifiez l’installation du serveur FreeRadius ;

    ………………………………………………………………………………………….

    ………………………………………………………………………………………….

    • vérifiez le pare-feu pour les port du radius (1812 et 1813) ;

    ………………………………………………………………………………………….

    M. DOMAN 4|Page
    Master1 SRS CCNP SEC SENSS 2019

    ………………………………………………………………………………………….

    • configurez les LOG pour l’authentification (fichier /etc/raddb/radiusd.conf) ;


    nano /etc/raddb/radiusd.conf

    et allez dans la section LOG du fichier

    • configurez le Client (OCAM-R1) dans le fichier /etc/raddb/clients.conf ;


    nano /etc/raddb/clients.conf

    M. DOMAN 5|Page
    Master1 SRS CCNP SEC SENSS 2019

    Ici nous avons configuré un accès radius pour tous les NAD Cisco du réseau
    192.168.70.0/24. Configurez une entrée pour le client 192.168.100.254 :

    …….……………………………………………………………………………………..

    …………………………………………………………………………………………...

    …………………………………………………………………………………………...

    …………………………………………………………………………………………...

    • créez des utilisateurs dans le fichier /etc/raddb/users (esgis1/Eve1234 et


    esgis2/Eve1234)
    nano /etc/raddb/users

    Ici nous avons ajouté un utilisateur nommé mike ayant pour mot de passe Eve1234.
    Ajoutez les utilisateurs demandés dans la question :

    …….……………………………………………………………………………………..

    …………………………………………………………………………………………...

    …………………………………………………………………………………………...

    M. DOMAN 6|Page
    Master1 SRS CCNP SEC SENSS 2019

    …………………………………………………………………………………………...

    Testez votre configuration au niveau local, sur le CentOs7 grâce à la commande :

    radtest mike Eve1234 127.0.0.1 :1812 1812 testing123 legacy

    Testez votre configuration à distance, sur le OCAM-R1 grâce à la commande :

    test aaa group SRV_RADIUS mike Eve1234 legacy

    Vérifiez le contenu des logs pour voir les tentatives réussies ou échouées :

    Question 8: vérifications (02 pts)


    show run | section aaa
    show run | section radius
    show run | section line vty
    show radius
    show aaa method-list all

    Depuis le PC1 essayez une connexion telnet sur OCAM-R1 en utilisant les users crées sur
    le serveur CentOs7 : ………………………….

    Depuis le PC1 essayez une connexion telnet sur OCAM-R1 en utilisant la base de
    données locale du routeur : ………………………….

    Depuis le switch essayez une connexion SSH sur OCAM-R1 : ………………………….

    M. DOMAN 7|Page
    Master1 SRS CCNP SEC SENSS 2019

    Consultez les LOGs du serveur CentOs7

    …………………………………………………………………………………………...

    …………………………………………………………………………………………...

    M. DOMAN 8|Page

    Vous aimerez peut-être aussi