Ccnasv2 Ch3 Aaa

Chapitre 3:
Authentification, Autorisation et
comptabilité
CCNA Security v2.0

Smail Bacha
Source: Cisco Netacad
1 Buts de l'AAA
2 Authentification AAA locale
3 AAA sur serveur
4 Authentification AAA sur serveur
5 Autorisation et comptabilité sur serveur
.6 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
 Le contrôle d’accès (mot de passe et login)limite qui ou quoi peut utiliser
des ressources spécifiques.
 SSH est une forme plus sécurisée
d'accès à distance.
 L’utilisation de la méthode de base
de données locale pour stocker les
noms utilisateurs et leurs mots de
passe a ces limites. Elle ne fournit
pas de méthode d’authentification
de secours;
 Elle est utilisée uniquement pour les
petites entreprises.
Une meilleure solution consiste à utiliser une base de données centralisée sur
un serveur central.
© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha H2020 Cisco Public 4
• AAA est un moyen de contrôler qui est autorisé à accéder à un réseau
(authentifier), de ce qu’ils peuvent faire pendant qu’ils y sont (autoriser)
et d’auditer les actions que les utilisateurs effectuent lors de l’accès au
réseau (comptabilité).
• Elle comporte 3 composants fonctionnels:

Local AAA Authentication
 AAA locale utilise une base de données locale pour l'authentification appelée
authentification autonome. Elle stocke les noms d'utilisateur et les mots de passe
localement dans le routeur Cisco (La même BD pour établir une CLI basée sur les rôles).
 Idéal pour les petit réseaux.
1. Le client établit une connexion avec le routeur.

2. Le routeur invite à entrer des informations d'identification AAA username/password.
3. Le routeur authentifie utilisateur /mot de passe l'aide de la base de données
locale, alors l'utilisateur est autorisé à accéder au réseau sur la base de
l'information contenue dans la base de données locale.

Authentification AAA basée sur serveur
 Le routeur accède à un serveur AAA en tant que client AAA pour lui demander
d’authentifier l’utilisateur.
 Pour communiquer avec le serveur AAA, il peut utiliser l’un ou les protocoles RADIUS
(Remote Authentication Dial-In User Service) ou TACACS+(Terminal Access
Controller Access Control System)

2. Le routeur AAA invite l'utilisateur à un identifiant et un mot de passe.
3. Le routeur authentifie le nom d'utilisateur et mot de passe en utilisant un
serveur AAA distant.
4. L'utilisateur est autorisé à accéder au réseau sur la base de l'information
contenue dans le serveur distant AAA.

 Mise en œuvre du système de contrôle d’accès sécuriséde Cisco (Access
Control Server (ACS)) est plus évolutif, car l'accès à tous les équipements
d'infrastructure sont validés par un serveur central.
 Vous pouvez configurer la tolérance aux pannes, et vous pouvez configurer
ACS multiples. Il s'agit d'une solution d'entreprise.
 Le serveur peut être :
Cisco Secure ACS pour Windows Server :
Services AAA sur les routeurs contacts un ACS pour authentifier l'utilisateur
et l'administrateur.
Cisco Secure ACS Solution moteur :
Services AAA sur le routeur ou NAS (Network Access Server) en contact
avec un Cisco Secure ACS Solution moteur authentification de l'utilisateur et
l'administrateur externe.

L'authentification permet de contrôler l’accès aux équipements . L’AAA basé
sur serveur est plus approprié car les comptes peuvent être administrés à
partir d’un emplacement central.

2. Le client invite l’utilisateur à entrer un nom utilisateur et un mot de
passe.
3. Le routeur authentifie le nom utilisateur et un mot le passe à l’aide
d’un serveur AAA.
4. L’utilisateur a accès au réseau en fonction des informations sur le

serveur AAA distant qui retourne une réponse "PASS / FAIL”.

L'autorisation est essentiellement ce que les utilisateurs peuvent et ne
peuvent pas faire sur le réseau après leur authentification.
 L’autorisation contrôle ce que les utilisateurs peuvent et ne peuvent pas faire sur le
réseau après leur authentification.
 L’autorisation utilise un ensemble d’attributs qui décrit l’accès de l’utilisateur au
réseau.
 L’autorisation est automatique et ne nécessite pas que les utilisateurs effectuent des
étapes supplémentaires après l’authentification.

 La comptabilité (AAA Accounting ) collecte et rapporte les données d'utilisation qui
peuvent être utilisées à des fins telles que l'audit ou la facturation.
 Les données collectées peuvent inclure les heures de connexion de démarrage et d'arrêt,
les commandes exécutées, le nombre de paquets et le nombre d'octets.
 La comptabilité est implémentée à l'aide d'une solution basée sur serveur AAA.
 Les serveurs AAA conservent un journal détaillé de ce que l'utilisateur authentifié fait
exactement sur le périphérique
1. Lorsqu'un utilisateur est authentifié, le processus de comptabilité AAA génère un

message de démarrage pour lancer le processus de la comptabilité.
2. Lorsque l'utilisateur se déconnecte, un message d'arrêt est enregistré et
termine le processus comptable.

 Augmente la flexibilité et le contrôle d'accès à la configuration
 Évolutivité
 Plusieurs systèmes de sauvegarde
 Méthodes d'authentification standard RADIUS, TACACS+ et
Kerberos
TACACS+ : Terminal Access Controller Access Control System Plus

RADIUS : Remote Authentication Dial-In User Service

1. Ajoutez des noms d'utilisateur et des mots de passe à la base de données du routeur
local pour les utilisateurs qui ont besoin d'un accès administratif au routeur.
2. Activez le modèle AAA dans le mode globale du routeur.
3. Configurez les paramètres AAA sur le routeur.Le paramètre case est ajouter pour
activer la sensibilité à la casse;
4. Confirmez et dépannez la configuration AAA.
Précaution :
 Ne pas exécuter la commande, sauf si vous êtes prêt à configurer l'authentification
AAA. Cela permettrait de forcer les utilisateurs à authentifier Telnet avec identifiant.
 La liste nommée doit être explicitement activée sur la ligne à l'aide de la commande
de configuration de la ligne

• Vous devez spécifier le type d'authentification que vous souhaitez
configurer :
Login – permet AAA pour TTY, VTY et CON 0.
Enable –active AAA pour le mode EXEC.
PPP - active AAA pour PPP.

• La méthode par défaut est automatiquement appliquée à toutes les
interfaces si aucune autre méthode n’est définie.
• Listes nommés peuvent être appliquées à une interface spécifiée avant
toute autre méthode d'authentification n’est appliquée automatiquement.
• Énumère les méthodes types d'authentification à effectuer et la séquence dans
laquelle ils sont en cours d'exécution, tels que :
Prédéfinis mots de passe (par exemple., local, enable, o line)
Interrogation d'un serveur TACACS+ / RADIUS / Kerberos.

Router(config)# aaa local authentication attempts max-fail
number-of-unsuccessful-attempts
Cette commande sécurise les comptes d'utilisateurs AAA en verrouillant les
comptes qui ont trop de tentatives infructueuses. Le compte reste verrouillé
jusqu'à qu’il soit déverrouillé par un administrateur utilisant la commande :
clear aaa local user lockout .
Pour afficher une liste de tous les utilisateurs verrouillés, on utilise la
commande show aaa local user lockout.
Pour afficher les attributs qui sont collectés pour une session AAA qui
est identifier par un ID unique, on utilise la commande

Debug Local AAA Authentication: Le routeur Cisco possède des
commandes de débogage qui sont utiles pour résoudre les
problèmes d'authentification.

Comprendre la sortie de débogage

Authentification locale:
 L'utilisateur établit une connexion avec

le routeur.
 Le routeur demande à l'utilisateur un

nom d'utilisateur et un mot de passe,
authentifiant l'utilisateur à l'aide d'une
base de données locale.
Authentification sur serveur:
 L'utilisateur établit une connexion

avec le routeur.
 Le routeur demande à l'utilisateur un

nom d'utilisateur et un mot de passe.
 Le routeur transmet le nom

d'utilisateur et le mot de passe à
Cisco Secure ACS (serveur ou
moteur)
 Cisco Secure ACS authentifie

l'utilisateur.

 Le système de contrôle d'accès sécurisé Cisco (ACS) est une solution
centralisée qui relie la stratégie d'accès au réseau et la stratégie d'identité d'une
entreprise.
 La famille de produits Cisco ACS comprend des serveurs de contrôle d'accès
hautement évolutifs et hautes performances.
 Cisco Secure ACS prend en charge les protocoles TACACS + et RADIUS qui
sont les deux protocoles prédominants
utilisés par les appliances de sécurité
Cisco, les routeurs et les commutateurs
pour implémenter AAA.

TACACS + et RADIUS sont les deux protocoles d'authentification
utilisés pour communiquer avec les serveurs AAA.
Le choix de TACACS + ou RADIUS dépend des besoins de
l'organisation.

Feature TACACS+ RADIUS
Combine l'authentification et
Sépare AAA selon l'architecture AAA , ce l'autorisation, mais se sépare de
fonctionnalité qui permet la modularité de la mise en ACCOUNTING, ce qui permet moins de
œuvre du pare-feu flexibilité dans la mise en œuvre
TACACS +.
standard Partiellement pris en charge par Cisco Ouvert / RFC
UDP 1645 o 1812 authentification

Protocols de Transport TCP 49
UDP 1646 o 1813 accounting
Chalenge bidirectionnel et réponses

CHAP Chalenge unidireccional
utilisées comme CHAP
Protocolos suportés Supporte Multiprotocole No ARA, no NetBEUI
Confidencialité Crypte tous le paquet Seule le mot de passe est crypté
Aucune option pour autoriser les

Donne l'autorisation de commandes sur
Personalisation commandes de routeur par utilisateur ou
un routeur par utilisateur ou par groupe.
par groupe.
Accounting limité Etendue

2. Le routeur AAA invite l'utilisateur à un identifiant et un mot de passe.
3. Le routeur authentifie le nom d'utilisateur et mot de passe en utilisant l'ACS.
4. L'ACS authentifie l'utilisateur. L'utilisateur est autorisé à accéder au routeur
(accès administratif) du réseau, basé sur les informations trouvées dans les
ACS.
Le système de contrôle d'accès sécurisé Cisco (ACS) est une solution centralisée
qui relie la stratégie d'accès au réseau et la stratégie d'identité d'une entreprise.

 ACACS + est une amélioration Cisco du protocole TACACS d'origine. Malgré
son nom, TACACS + est un tout nouveau protocole qui est incompatible
avec toute version précédente de TACACS. TACACS + est pris en charge
par la famille de routeurs et serveurs d'accès Cisco.
 TACACS + fournit des services AAA distincts. La séparation des services
AAA offre une flexibilité dans la mise en œuvre car il est possible d'utiliser
TACACS + pour l'autorisation et la comptabilité tout en utilisant une autre
méthode d'authentification. (vidéo 3.3.2.2)
Connect Username prompt?
Username? Use “Username”
JR-ADMIN JR-ADMIN
Password prompt?
Password? Use “Password”

“Str0ngPa55w0rd” “Str0ngPa55w0rd”
Accept/Reject

• Le protocole RADIUS masque les mots de passe lors de la transmission en
utlisant le protocole de hachage MD5,
• RADIUS combine l'authentification et l'autorisation en un seul processus.
• RADIUS utilise les ports UDP 1645 ou 1812 pour l'authentification et les ports
1646 ou 1813 pour l’ Accounting
Access-Request
Username? (JR_ADMIN, “Str0ngPa55w0rd”)
JR-ADMIN Access-Accept
Password?
Str0ngPa55w0rd
• Le contrôleur de domaine AD sous Windows serveur est utilisé
pour appliquer les stratégies de sécurité en authentifiant et en
autorisant même sur les appareils Cisco IOS.
• L'implémentation Microsoft d'un serveur AAA utilisant RADIUS est
connue sous le nom de service d'authentification Internet (IAS)
devenu apartir de 2008 Network Policy server (NPS).
• Le contrôleur AD du serveur Microsoft est utilisé pour effectuer
les services d'authentification et d'autorisation
• Cisco Identity Services Engine (ISE) est une plate-forme de
politique de contrôle des identités et des accès qui permet aux
entreprises d'appliquer la conformité, d'améliorer la sécurité de
l'infrastructure et de rationaliser leurs opérations de service;
• L'architecture de Cisco ISE permet aux entreprises de collecter
des informations contextuelles en temps réel auprès des réseaux,
des utilisateurs et des appareils

Étape 1. Activez globalement AAA pour permettre l'utilisation de tous les éléments
AAA. Cette étape est une condition préalable à toutes les autres commandes AAA.
Étape 2. Spécifiez Cisco Secure ACS qui fournira des services AAA pour le
routeur. Il peut s'agir d'un serveur TACACS + ou RADIUS.
Étape 3. Configurez la clé de cryptage nécessaire pour crypter le transfert de

données entre le serveur d'accès au réseau et Cisco Secure ACS.
Étape 4. Configurez la liste des méthodes d'authentification AAA pour faire

référence au serveur TACACS + ou RADIUS. Pour la redondance, il est possible
de configurer plusieurs serveurs.

Les protocoles TACACS + et RADIUS sont utilisés pour communiquer entre
les clients et les serveurs de sécurité AAA.
Topologie de référence
AAA sur serveur
Configurer un serveur AAA TACACS +
 L’utilisation de single-connexion permet de conserver une connexion TCP ouvert

pendant toute la session.
 On peut configurer plusieurs serveur

 Packet tracert ne prends pas en
charge la nouvelle commande
Tacacs server et les anciens IOS
Utilise les commandes qui sont
obsolète

192.168.1.100
R1
Cisco Secure ACS

for Windows
using RADIUS
192.168.1.101
Cisco Secure ACS

Solution Engine
using TACACS+
R1(config)# aaa new-model
R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
R1(config)# aaa authentication login default group tacacs+ group radius local-case
R1(config)#

• Radius utilise UDP, ce qui rend l’utilisation du mot Single-connexion n’est pas
nécessaire;
• Par défaut, les routeurs Cisco utilisent le port 1645 pour l'authentification et le
port 1646 pour la comptabilité.
• l'IANA a réservé les ports 1812 pour le port d'authentification RADIUS et 1813
pour le port de comptabilité RADIUS. Ces ports doivent correspondre entre le
routeur et le serveur RADIUS.

 Les serveurs doivent être inclus dans la liste des méthodes de la commande de
connexion d'authentification aaa.
 Les serveurs AAA sont identifiés à l'aide des mots-clés group tacacs + ou group
radius.
 Pour configurer une liste de méthodes pour la connexion par défaut pour
s'authentifier d'abord à l'aide d'un serveur TACACS +, ensuite avec un serveur
RADIUS et enfin avec une base de données de noms d'utilisateurs locaux.

192.168.1.100
R1
Cisco Secure ACS

for Windows
using RADIUS
192.168.1.101
Cisco Secure ACS

Solution Engine
using TACACS+

R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#

R1(config)# aaa authentication login default ?
enable Use enable password for authentication.
group Use Server-group
krb5 Use Kerberos 5 authentication.
krb5-telnet Allow logins only if already authenticated via Kerberos V
Telnet.
line Use line password for authentication.
local Use local username authentication.
local-case Use case-sensitive local username authentication.
none NO authentication.
passwd-expiry enable the login list to provide password aging support
R1(config)# aaa authentication login default group ?

WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.

 Lorsque AAA est activé, il est souvent nécessaire de surveiller le
trafic d'authentification et de dépanner les configurations.

• L'autorisation vise à autoriser et interdire aux utilisateurs
authentifiés l'accès à certaines zones et certains programmes du
réseau.
• L'utilisateur a accès à un service demandé seulement si
l'information contenue dans le profil de l'utilisateur le permet.

Command authorization for user
show version JR-ADMIN, command “show version”?
Display “show
Accept
version” output
JR-ADMIN Command authorization for user

configure terminal JR-ADMIN, command “config terminal”?
Do not permit
Reject
“configure terminal”

 Définit comment la comptabilité (accounting) est exécutée et
l'ordre dans lequel elles sont réalisées.
 Les listes nommées pour désigner le protocole de sécurité
particulier pour être utilisé sur des lignes spécifiques ou des
interfaces pour les services de comptabilité.
network :Comptabilité des demandes de service liées au réseau et PPP
exec : Exécute la comptabilité de la session shell EXEC.
connexion : Comptabilité des connexions sortantes telles que SSH et Telnet.

start-stop - Envoie un avis comptable "start" au début d'un processus
et un avis comptable "stop" à la fin d'un processus.
stop-only - Envoie un enregistrement comptable "stop" pour tous les

cas, y compris les échecs d'authentification.
None - Désactive les services de comptabilité sur une ligne ou une

interface.

R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec group tacacs+
R1(config)# aaa authorization network group tacacs+
R1(config)# aaa accounting exec start-stop group tacacs+
R1(config)# aaa accounting network start-stop group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1(config-line)# ^Z

La norme IEEE 802.1X définit un
protocole de contrôle d'accès et
d'authentification basé sur les ports.
Le serveur d'authentification
authentifie chaque poste de travail
connecté à un port de commutateur
avant de rendre disponible les
services offerts par le commutateur
ou le LAN.
Échanges de message 802.1X

EAP: Extensible Authentication
Protocol)
EAPOL: Extensible Authentication
Protocol over-LAN)

Syntaxe de commande pour le contrôle de port dot1x
Le mot clé auto doit être entré pour activer l'authentification 802.1X


Ccnasv2 Ch3 Aaa

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ccnasv2 Ch3 Aaa

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 3:

CCNA Security v2.0

2 Authentification AAA locale

3 AAA sur serveur

4 Authentification AAA sur serveur

5 Autorisation et comptabilité sur serveur

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

 Idéal pour les petit réseaux.

1. Le client établit une connexion avec le routeur.

© 2013 Cisco and/or its affiliates. All rights reserved.

1. Le client établit une connexion avec le routeur.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

1. Le client établit une connexion avec le routeur.

4. L’utilisateur a accès au réseau en fonction des informations sur le

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

1. Lorsqu'un utilisateur est authentifié, le processus de comptabilité AAA génère un

© 2013 Cisco and/or its affiliates. All rights reserved.

TACACS+ : Terminal Access Controller Access Control System Plus

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

 L'utilisateur établit une connexion avec

 Le routeur demande à l'utilisateur un

Authentification sur serveur:

 L'utilisateur établit une connexion

 Le routeur demande à l'utilisateur un

 Le routeur transmet le nom

 Cisco Secure ACS authentifie

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

standard Partiellement pris en charge par Cisco Ouvert / RFC

UDP 1645 o 1812 authentification

Chalenge bidirectionnel et réponses

Protocolos suportés Supporte Multiprotocole No ARA, no NetBEUI

Confidencialité Crypte tous le paquet Seule le mot de passe est crypté

Aucune option pour autoriser les

Accounting limité Etendue

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

Connect Username prompt?

Username? Use “Username”

Password? Use “Password”

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

Étape 3. Configurez la clé de cryptage nécessaire pour crypter le transfert de

Étape 4. Configurez la liste des méthodes d'authentification AAA pour faire

© 2013 Cisco and/or its affiliates. All rights reserved.

Configurer un serveur AAA TACACS +

 L’utilisation de single-connexion permet de conserver une connexion TCP ouvert

 On peut configurer plusieurs serveur

© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Secure ACS

Cisco Secure ACS

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.