Académique Documents
Professionnel Documents
Culture Documents
PPP (Protocole point point) est le meilleur protocole mettre en oeuvre sur une connexion commute WAN srie. Il gre les communications synchrones et asynchrones et fournit des fonctions de dtection d'erreurs. Mais surtout, il comporte un processus d'authentification par CHAP ou PAP. Il peut tre utilis sur diffrents mdias physiques, notamment les cbles paires torsades, la fibre optique ou la transmission par satellite.
ETABLISSEMENT DUNE SESSION PPP
Ltablissement dune session PPP fait intervenir trois phases :
Dans cette phase, les quipements PPP envoient des paquets NCP pour choisir et configurer un ou plusieurs protocoles de la couche rseau (tel que IP). Aprs que chacun des protocoles choisis a t configur, des datagrammes de chaque protocole peuvent tre envoys sur la liaison. PPP supporte plusieurs protocoles dont IP, IPX, AppleTalk, etc
Lors de la configuration de lauthentification PPP, vous pouvez choisir entre les protocoles PAP ou CHAP. En gnral, ce dernier est le protocole prfr. PAP : PAP fournit une mthode simple pour quun noeud distant puisse dcliner son identit au moyen dune ngociation en deux temps. Lauthentification nest ralise quau moment de ltablissement de la liaison initiale
Aprs que la phase dtablissement de liaison PPP a t accompli, un ensemble nom dutilisateur / mot de passe est envoy de faon rpte pour le noeud distant vers le routeur jusqu ce que lauthentification soit acquitte ou que la connexion soit termine. PAP nest pas un protocole dauthentification puissant. Les mots de passe sont envoy sur la liaison en texte clair et il nexiste aucune protection contre un risque dattaques par copie ou itration de cycles tentative-chec. Une attaque par copie se produit lorsquun analyseur de trafic capture les paquets et les reproduit sur le rseau partir dun autre quipement. Le noeud distant est matre de la frquence et de la synchronisation des tentatives de connexion.
Configuration de PPP
de la faon suivante: Router(config)# interface serial 0 Router(config-if)# encapsulation ppp On peut rajouter une authentification PAP ou CHAP (ce nest obligatoire) Router(config-if)#ppp authentication pap ou Router(config-if)#ppp authentication chap ou
Le premier inconvnient du protocole PAP est biensr le fait que le mot de passe circule en clair. Il en rsulte donc que la scurit des donnes transmises nest pas du tout garantie. En effet, un utilisateur confirm qui a lhabitude de lutilisation dInternet peut parvenir assez rapidement pntrer dans un rseau alors quil nen a pas les droits et ce grce une connexion qui utilise par exemple le protocole PAP. Le second inconvnient concerne le choix de ladministrateur rseau quant lutilisation des One Time Password dcrits dans la section trois. Cette solution est en effet assez complexe mettre en oeuvre et est par consquent rserve des administrateurs confirms puisque ce sont eux qui sont chargs de la mise en place du protocole dauthentification mais galement des utilisateurs organiss car ce sont eux qui doivent grer leur liste de mot de passe.
- Le premier inconvnient du protocole CHAP est que le secret doit tre disponible sous la forme de texte. Les bases de donnes de mots de passe chiffrs de manire irrversible gnralement disponibles ne peuvent pas tre utilises. - Le second inconvnient est que ce protocole ncessite un certain nombre de comptences pour sa mise en oeuvre, il est donc rserv des personnes confirmes afin que la scurit au niveau de lauthentification soit maximale
Il ny a quun seul paquet de protocole d'authentification d'tablissement de lien (CHAP) qui est encapsul dans le champ information d'une trame de couche liaison de donnes PPP o le champ protocole indique le type en hexadcimal c223 (CHAP). Un rcapitulatif du format de paquet CHAP est montr ci-dessous. Les champs sont transmis de gauche droite. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code |Identificateur | Longueur | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Donnes ... +-+-+-+-+-+-+-+-
Code : Il est dfini sur un octet et identifie le type de paquet CHAP. Des codes CHAP sont assigns
comme suit : 1 Challenge 2 Rponse 3 Succs 4 Echec
Identificateur
: Le champ identificateur est d'un octet et permet doptimiser les tapes suivantes de lauthentification : challenges, rponses et rpliques.
Longueur : Le champ longueur est de deux octets et indique la longueur du paquet CHAP
comprenant les champs code, identificateur, longueur et donnes. Les octets en dehors de l'intervalle du champ longueur sont ignors la rception.
Donnes : Le champ donnes est de zro octets ou plus. Le format de ce champ est dtermin par
le champ code
Configuration de CHAP
En mode de configuration globale, il faut tout dabord spcifier le nom du routeur, pour cela tapez : --> hostname Dessus Puis il sagit prsent de passer en mode configuration dinterfaces, pour cela tapez : interface serial 1 --> Configuration du port srie 1 Maintenant la configuration mme du protocole CHAP sur le routeur Dessus en mode de configuration dinterfaces :
encapsulation ppp --> Utilisation de lencapsulation du protocole Point Point ppp authentication chap --> Dfinition du choix dauthentification ppp chap hostname Dessus --> Nom dhte du routeur pour les futures connexions entrantes ppp chap password toto --> Spcification du mot de passe Enfin, la dernire tape consiste spcifier un nom dutilisateur et un mot de passe qui permettra dauthentifier une connexion partir dun autre routeur. Pour cela, il faut entrer la commande suivante : --> username Dessous password toto Voici laffichage sur un routeur :
Sur le second routeur, on va tout dabord spcifier un nom de routeur, pour cela, utiliser la commande : --> hostname Dessous Puis on va crer un compte qui sera en mesure dauthentifier la connexion partir du routeur Dessus , pour cela taper : username Dessus password toto Ensuite, comme pour le premier routeur, il sagit dentrer en mode de configuration dinterfaces et de dfinir lutilisation du protocole dauthentification CHAP : interface serial 1 encapsulation ppp ppp authentication ppp chap hostname Dessous ppp chap password toto La configuration des routeurs pour lutilisation du protocole dauthentification CHAP est termine, il sagit maintenant de tester la bonne communication entre les routeurs laide de la commande ping : La communication et la configuration sont oprationnelles.