pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » securiser_un_routeur
Trace:
informatique:cisco:securiser_un_routeur

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
informatique:cisco:securiser_un_routeur [2009/07/16 20:33] – Syslog, SNMP, NTP pteuinformatique:cisco:securiser_un_routeur [2009/07/17 18:07] – aaa authentication pteu
Line 255: Line 255:
   * **character mode** pour les "line" (vty, con)   * **character mode** pour les "line" (vty, con)
   * **packet mode** pour les interfaces (async, serial)   * **packet mode** pour les interfaces (async, serial)
 +
 +====RADIUS====
 +
 +L'un des 2 protocoles AAA les plus connu avec TACACS ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, mais RADIUS permet des extension propriétaires.
 +
 +Le RADIUS permet :
 +  * le chiffrement du mot de passe (uniquement) en MD5
 +  * l'authentification des paquets par hash MD5
 +
 +Mise en place :
 +  aaa new-model
 +  radius-server host 10.0.0.111
 +  radius-server key <secretkey>
 +
 +
 +====TACACS+====
 +
 +Le TACACS+ ressemble au RADIUS à ceci près qu'il est propriétaire Cisco et utilise tcp/49. Lui aussi associe à chaque compte 0 ou plusieurs AV. On peut 'en servir pour identifier un utilisateur et appliquer un profil réseau (ses VLAN/ACL/adresse IP/droits persos).
 +
 +TACACS+ permet :
 +  * de chiffrer tout le contenu des transactions
 +
 +Mise en place :
 +  aaa new-model
 +  tacacs-server host 10.0.0.111
 +  tacacs-server key <secretkey>
 +
 +====aaa authentication====
 +
 +Créer une méthode d'authentification par défaut :
 +  aaa authentication login default group tacacs+ local
 +
 +Elle utilisera en premier lieu le serveur TACACS+ ; si ce dernier ne répond pas on essaie dans la base locale. S'il renvoie une erreur d'authentification le routeur ne recherche pas dans la base locale. On peut lister jusqu'à 4 méthodes parmi celles-ci : ''enable, group, krb5, line, local, local-case, none''.
 +
 +Pour créer un groupe, applicable sur une ou plusieurs interfaces on remplace ''default'' par un nom :
 +  aaa authentication login ma_liste group tacacs+ local
 +
 +Puis on l'applique sur une ou des interfaces :
 +  line vty 0 4
 +   login authentication ma_liste
 +
 +===Vérifs===
 +
 +  debug aaa authentication
 +  debug aaa authorization
  
  
informatique/cisco/securiser_un_routeur.txt · Last modified: 2014/02/07 14:29 by pteu