PRESENTATION DE PPP

PPP (Protocole point point) est le meilleur protocole mettre en oeuvre sur une connexion commute WAN srie. Il gre les communications synchrones et asynchrones et fournit des fonctions de dtection d'erreurs. Mais surtout, il comporte un processus d'authentification par CHAP ou PAP. Il peut tre utilis sur diffrents mdias physiques, notamment les cbles paires torsades, la fibre optique ou la transmission par satellite.
ETABLISSEMENT DUNE SESSION PPP
Ltablissement dune session PPP fait intervenir trois phases :

PHASE1 : ETABLISSEMENT DE LIAISON

Dans cette phase, chaque quipement PPP envoie des paquets LCP pour configurer et tester la liaison de donnes. Les paquets LCP contiennent un champs doption de configuration qui permet aux quipements de ngocier lutilisation doptions telles que lunit maximale de rception, la compression de certains champs PPP et le protocole dauthentification de liaison. Si une option de configuration nest pas incluse dans un paquet LCP, la valeur par dfaut pour cette option sera utilise.

PHASE2 : AUTHENTIFICATION OPTIONNELLE

Aprs que la liaison a t tablie et que le protocole dauthentification a t choisi, le routeur homologue peut tre authentifi. Lauthentification, si elle est utilise, a lieu avant dentrer dans le phase de protocole de la couche rseau. PPP supporte deux protocoles dauthentification, PAP, et CHAP. Ces deux protocoles sont dtaills dans le RFC 1334, " PPP Authentication Protocols ". Toutefois, le RFC 1994, " PPP Challenge Handshake Authentication Protocol " le rend obsolte.

PHASE3 : PROTOCOLE DE COUCHE RESEAU

Dans cette phase, les quipements PPP envoient des paquets NCP pour choisir et configurer un ou plusieurs protocoles de la couche rseau (tel que IP). Aprs que chacun des protocoles choisis a t configur, des datagrammes de chaque protocole peuvent tre envoys sur la liaison. PPP supporte plusieurs protocoles dont IP, IPX, AppleTalk, etc

SELECTION DUN PROTOCOLE DAUTHENTIFICATION PPP

Lors de la configuration de lauthentification PPP, vous pouvez choisir entre les protocoles PAP ou CHAP. En gnral, ce dernier est le protocole prfr. PAP : PAP fournit une mthode simple pour quun noeud distant puisse dcliner son identit au moyen dune ngociation en deux temps. Lauthentification nest ralise quau moment de ltablissement de la liaison initiale

Aprs que la phase dtablissement de liaison PPP a t accompli, un ensemble nom dutilisateur / mot de passe est envoy de faon rpte pour le noeud distant vers le routeur jusqu ce que lauthentification soit acquitte ou que la connexion soit termine. PAP nest pas un protocole dauthentification puissant. Les mots de passe sont envoy sur la liaison en texte clair et il nexiste aucune protection contre un risque dattaques par copie ou itration de cycles tentative-chec. Une attaque par copie se produit lorsquun analyseur de trafic capture les paquets et les reproduit sur le rseau partir dun autre quipement. Le noeud distant est matre de la frquence et de la synchronisation des tentatives de connexion.

Configuration de PPP
de la faon suivante: Router(config)# interface serial 0 Router(config-if)# encapsulation ppp On peut rajouter une authentification PAP ou CHAP (ce nest obligatoire) Router(config-if)#ppp authentication pap ou Router(config-if)#ppp authentication chap ou

Router(config-if)#ppp authentication pap chap ou Router(config-if)#ppp authentication chap pap

AVANTAGES DU PROTOCOLE PAP

Le premier avantage du protocole PAP est sa facilit de configuration. En effet, ce protocole ne requiert quun minimum de comptences dans le domaine du rseau, et est par consquent accessible par tous les administrateurs rseaux. Le second avantage est que PAP constitue un premier pas vers la scurit. Mme si celui-ci ne garantit pas une scurit accrue, il empche les utilisateurs basiques mal intentionns de pntrer dans un rseau et dutiliser une connexion qui ne leur est pas destine.

INCONVENIENTS DU PROTOCOLE PAP

Le premier inconvnient du protocole PAP est biensr le fait que le mot de passe circule en clair. Il en rsulte donc que la scurit des donnes transmises nest pas du tout garantie. En effet, un utilisateur confirm qui a lhabitude de lutilisation dInternet peut parvenir assez rapidement pntrer dans un rseau alors quil nen a pas les droits et ce grce une connexion qui utilise par exemple le protocole PAP. Le second inconvnient concerne le choix de ladministrateur rseau quant lutilisation des One Time Password dcrits dans la section trois. Cette solution est en effet assez complexe mettre en oeuvre et est par consquent rserve des administrateurs confirms puisque ce sont eux qui sont chargs de la mise en place du protocole dauthentification mais galement des utilisateurs organiss car ce sont eux qui doivent grer leur liste de mot de passe.

FORMAT DU PAQUET AVEC LE PROTOCOLE PAP

Code Identifiant Longueur Login Longueur Mot de passe Longueur totale Identification Mot de passe

1 : Demande dauthentification 2 : Authentification accorde 3 : Authentification non accorde

PRESENTATION DU PROTOCOLE CHAP

Le protocole CHAP (Challenge Handshake Authentification Protocol) ngocie une forme scurise dauthentification crypte laide de Message Digest 5. Message Digest 5 est un modle de hachage normalis, c'est--dire une mthode de transformation des donnes en un rsultat unique qui ne peut plus retrouver sa forme dorigine. Cette mthode permet donc de sauthentifier auprs dun serveur en lui montrant que lon connat le mot de passe sans rellement lenvoyer par le rseau. Grce au protocole CHAP, les connexions rseau et daccs distance peuvent se connecter pratiquement tous les autres serveurs PPP de manire scurise

FONCTIONNEMENT DU PROTOCOLE CHAP

Le protocole CHAP utilise un systme un systme de dfi-rponse qui consiste de la part du serveur envoyer au client une cl destine chiffrer le non dutilisateur et le mot de passe ds lors que le client fait sa demande daccs. Grce au systme dfi-rponse, le serveur dauthentification envoie un identifiant au hasard, cest le dfi, le client va le crypter avec son mot de passe puis le renvoyer au serveur, cest ce quon appelle la rponse. Avec le protocole CHAP, lauthentification se fait en cinq tapes : - Le serveur envoie une requte contenant son nom cest le dfi - Le client transforme ce dfi avec sa cl et lalgorithme MD 5 - Le client envoie son rsultat au serveur cest la rponse - le serveur applique le mme algorithme avec la cl du client, puis compare son rsultat avec celui du client - le serveur accorde ou rejette la connexion Ce processus de dfi-rponse peut tre rpt nimporte quel moment de la phase de communication.

AVANTAGES DU PROTOCOLE CHAP

- Le premier avantage est que CHAP assure une protection maximale grce lutilisation de la mthode dfi-rponse. Le fait de rpter cette mthode au cours des connexions permet de limiter le temps dexposition une quelconque attaque. La mthode dauthentification CHAP dpend dun secret que seul lauthentificateur connat. - Le second avantage est que CHAP peut tre employ pour lauthentification de systmes diffrents, les champs d'identification peuvent alors tre employs comme index pour localiser le secret appropri dans une grande table des secrets. Cette mthode permet de changer le secret en service tout moment pendant la session.

INCONVENIENTS DU PROTOCOLE CHAP

- Le premier inconvnient du protocole CHAP est que le secret doit tre disponible sous la forme de texte. Les bases de donnes de mots de passe chiffrs de manire irrversible gnralement disponibles ne peuvent pas tre utilises. - Le second inconvnient est que ce protocole ncessite un certain nombre de comptences pour sa mise en oeuvre, il est donc rserv des personnes confirmes afin que la scurit au niveau de lauthentification soit maximale

DIFFERENCES ENTRE CHAP ET PAP

Le protocole PAP connat un norme dfaut. En effet, il nest pas ncessaire de connatre le mot de passe, il suffit juste d'avoir son cryptogramme. Le risque est quune personne intercepte le mot de passe chiffr, car cette personne pourra se connecter en reproduisant le mme cryptogramme sans mme savoir sa signification en clair. Une solution pour essayer de remdier cette faille est lutilisation du systme One Time Password (OTP), qui permet chaque utilisateur de se connecter une seule fois avec son nom dutilisateur et son mot de passe. A la prochaine connexion, lutilisateur devra obtenir de la part de ladministrateur rseau un nouveau login de connexion ainsi quun nouveau mot de passe. Cette solution permet certes de continuer utiliser le protocole PAP dans de meilleures conditions mais cest une solution trs lourde pour ladministrateur car cest une gestion relativement complique de la liste des logins et des mots de passe. La seconde solution pour remdier au problme du protocole PAP est justement lutilisation de CHAP. En effet, si une personne mal intentionne intercepte le secret, elle sera incapable davoir le mot de passe utilis puisque celui-ci n'est pas transmis. Elle ne saura donc pas chiffrer correctement la chane alatoire que le serveur lui enverra quand elle voudra se connecter.

FORMAT DU PAQUET AVEC LE PROTOCOLE CHAP

Il ny a quun seul paquet de protocole d'authentification d'tablissement de lien (CHAP) qui est encapsul dans le champ information d'une trame de couche liaison de donnes PPP o le champ protocole indique le type en hexadcimal c223 (CHAP). Un rcapitulatif du format de paquet CHAP est montr ci-dessous. Les champs sont transmis de gauche droite. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code |Identificateur | Longueur | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Donnes ... +-+-+-+-+-+-+-+-

Code : Il est dfini sur un octet et identifie le type de paquet CHAP. Des codes CHAP sont assigns
comme suit : 1 Challenge 2 Rponse 3 Succs 4 Echec

Identificateur

: Le champ identificateur est d'un octet et permet doptimiser les tapes suivantes de lauthentification : challenges, rponses et rpliques.

Longueur : Le champ longueur est de deux octets et indique la longueur du paquet CHAP
comprenant les champs code, identificateur, longueur et donnes. Les octets en dehors de l'intervalle du champ longueur sont ignors la rception.

Donnes : Le champ donnes est de zro octets ou plus. Le format de ce champ est dtermin par
le champ code

Configuration de CHAP
En mode de configuration globale, il faut tout dabord spcifier le nom du routeur, pour cela tapez : --> hostname Dessus Puis il sagit prsent de passer en mode configuration dinterfaces, pour cela tapez : interface serial 1 --> Configuration du port srie 1 Maintenant la configuration mme du protocole CHAP sur le routeur Dessus en mode de configuration dinterfaces :

encapsulation ppp --> Utilisation de lencapsulation du protocole Point Point ppp authentication chap --> Dfinition du choix dauthentification ppp chap hostname Dessus --> Nom dhte du routeur pour les futures connexions entrantes ppp chap password toto --> Spcification du mot de passe Enfin, la dernire tape consiste spcifier un nom dutilisateur et un mot de passe qui permettra dauthentifier une connexion partir dun autre routeur. Pour cela, il faut entrer la commande suivante : --> username Dessous password toto Voici laffichage sur un routeur :

Sur le second routeur, on va tout dabord spcifier un nom de routeur, pour cela, utiliser la commande : --> hostname Dessous Puis on va crer un compte qui sera en mesure dauthentifier la connexion partir du routeur Dessus , pour cela taper : username Dessus password toto Ensuite, comme pour le premier routeur, il sagit dentrer en mode de configuration dinterfaces et de dfinir lutilisation du protocole dauthentification CHAP : interface serial 1 encapsulation ppp ppp authentication ppp chap hostname Dessous ppp chap password toto La configuration des routeurs pour lutilisation du protocole dauthentification CHAP est termine, il sagit maintenant de tester la bonne communication entre les routeurs laide de la commande ping : La communication et la configuration sont oprationnelles.