Upload
moise-guilavogui
View
7
Download
0
Embed Size (px)
Citation preview
Authentification PPP
Extrait du Idum
http://idum.fr/spip.php?article229
Authentification PPP- Rseau - Scurit -
Date de mise en ligne : mardi 20 dcembre 2011
Description :
Dans ce cours, nous allons tudier les diffrentes authentifications sur une liaison PPP entre deux routeurs. Nous allons mettre en place les authentifications PAP,
CHAP, PAP-CHAP et CHAP-PAP pour observer le fonctionnement.
Idum
Copyright Idum Page 1/9
Authentification PPP
Sommaire :I) Introduction 1) Fonctionnement du PPP 2) Fonctionnement du PAP 3) Fonctionnement du CHAP II) Schma rseau III) Configuration de base 1) Configuration routeur 1 2) Configuration routeur 2 IV) Mise en place de l'authentification PAP 1) Configuration 2) Test de fonctionnement V) Mise en place de l'authentification CHAP 1) Configuration 2) Test de fonctionnement VI) Authentification PAP-CHAP et CHAP-PAP
I) Introduction
1) Fonctionnement du PPP
PPP signifie Point to Point Protocol ou protocole point point. Il s'agit d'un protocole beaucoup plus labor queSLIP (c'est la raison pour laquelle il l'a supplant), dans la mesure o il transfre des donnes supplmentaires,mieux adaptes la transmission de donnes sur Internet.
2) Fonctionnement du PAP
PAP signifie Password Authentication Protocol est un protocole d'authentification pour PPP. Les donnes sonttransmises en texte clair sur le rseau ce qui le rend par consquent non scuris.
L'avantage de PAP est qu'il est extrmement simple implmenter, lui permettant d'tre utilis dans des systmes
Copyright Idum Page 2/9
Authentification PPP
embarqus trs lgers. Sur des systmes de taille raisonnable on prfrera sans doute le protocole CHAP.
3) Fonctionnement du CHAP
CHAP signifie Challenge Handshake Authentication Protocol est un protocole d'authentification pour PPP base dechallenge, ce qui le rend bien plus sr que son pendant PAP. Ce protocole est dfini dans la RFC 1994. Il est aussiutilis par le protocole iSCSI afin qu'Initiator et Target iSCSI s'authentifient ventuellement mutuellement.
L'objectif de CHAP est que le pair s'authentifie auprs d'un authentificateur sans change de mot de passe en clairsur le rseau et sans que l'change puisse tre rejou par un tiers l'coute. La contrainte est que chaque partiepartage un secret (mot de passe) commun. Microsoft a dvelopp la variante MS-CHAP qui supprime cettecontrainte.
II) Schma rseau
III) Configuration de base
1) Configuration routeur 1
On commence par une chose simple mais qui va nous simplifier la vie, la configuration du hostname pour identifiernos deux routeurs dans les diffrents logs :
Copyright Idum Page 3/9
Authentification PPP
configure terminal
hostname Router1
end
On configure ensuite l'interface connect notre PC1 :
configure terminal
interface fastethernet 0/0ip address 192.168.1.254 255.255.255.0
no shutdown
end
On configure maintenant l'interface srie qui sera connect sur le deuxime routeur :
configure terminale
interface serial 0/0ip address 10.0.0.1 255.255.255.0
encapsulation ppp
clock rate 128000
no shutdown
end
Pour finir on ajoute une route statique :
configure terminal
ip route 192.168.2.0 255.255.255.0 10.0.0.2
end
Voil notre premier routeur est configur.
2) Configuration routeur 2
On reproduit la mme chose sur le deuxime routeur :
configure terminal
hostname Router2
end
On configure ensuite l'interface connect notre PC2 :
configure terminal
interface fastethernet 0/0ip address 192.168.2.254 255.255.255.0
no shutdown
end
On configure maintenant l'interface srie qui sera connect sur le premier routeur :
Copyright Idum Page 4/9
Authentification PPP
configure terminale
interface serial 0/0ip address 10.0.0.2 255.255.255.0
encapsulation ppp
no shutdown
end
On ne configure pas de clock rate sur le routeur 2 car le routeur 1 est le routeur maitre.
Pour finir on ajoute une route statique :
configure terminal
ip route 192.168.1.0 255.255.255.0 10.0.0.1
end
On vrifie que les deux machines communiquent bien :
Cliquez ci-dessous pour tlcharger le fichier Packet Tracert, comprenant une dmonstration du rseau :
IV) Mise en place de l'authentification PAP
Premier cas d'authentification, nous allons configurer une authentification PAP.
1) Configurations
Copyright Idum Page 5/9
Authentification PPP
a) Configuration du routeur 1On commence par activer le service de chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R1 password 0 AQWend
Ensuite on configure l'interface srie, pour activer l'authentification PAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication pap
ppp pap sent-username USER-R2 password 0 AQWend
USER-R2 tant le login cre sur le routeur distant, avec lequel nous nous authentifions pour la communicationPPP.
Si vous essayez de pinger de PC1 vers PC2 vous remarquerez que la connexion entre les deux routeurs nefonctionne plus.
b) Configuration du router2On commence par activer le service de chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R2 password 0 AQWend
Ensuite on configure l'interface srie, pour activer l'authentification PAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication pap
ppp pap sent-username USER-R1 password 0 AQWend
USER-R1 tant le login cre sur le routeur distant, avec lequel nous nous authentifions pour la communicationPPP.
Copyright Idum Page 6/9
Authentification PPP
2) Test de fonctionnement
On teste la communication entre nos deux pc :
Vous pouvez observer la ngociation et l'authentification PPP avec les commandes suivantes :
debug ppp authentication ---- Pour voir les messages de chaque tape du processus l'authentification PAP ouCHAP se droule
debug ppp negotiation ---- Gnre des messages pour le processus de ngociation LCP et NCP qui a lieuentre les quipements
Cliquez ci-dessous pour tlcharger le fichier Packet Tracert, comprenant une dmonstration du rseau :
V) Mise en place de l'authentification CHAP
Deuxime cas d'authentification, nous repartons de la configuration de base et nous configurons maintenant uneauthentification CHAP.
1) Configuration
Copyright Idum Page 7/9
Authentification PPP
a) Configuration du router1On commence par activer le service de chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R1 password 0 AQWend
Ensuite on configure l'interface srie, pour activer l'authentification CHAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication chap
ppp chap hostname USER-R2
ppp chap password 0 AQWend
USER-R2 tant le login cre sur le routeur distant, avec lequel nous nous authentifions pour la communicationPPP.
Si vous essayez de pinger de PC1 vers PC2 vous remarquerez que la connexion entre les deux routeurs nefonctionne plus.
b) Configuration du router2On commence par activer le service de chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R2 password 0 AQWend
Ensuite on configure l'interface srie, pour activer l'authentification CHAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication chap
ppp chap hostname USER-R1
ppp chap password AQWend
USER-R1 tant le login cre sur le routeur distant, avec lequel nous nous authentifions pour la communicationPPP.
Copyright Idum Page 8/9
Authentification PPP
2) Test de fonctionnement
On teste la communication entre nos deux pc :
VI) Authentification PAP-CHAP et CHAP-PAP
PAP-CHAP : Lors d'une connexion, le routeur va commencer par essayer de s'authentifier avec le protocole PAPsi celui-ci choue alors il essayera avec CHAP.
CHAP-PAP : Lors d'une connexion, le routeur va commencer par essayer de s'authentifier avec le protocoleCHAP si celui-ci choue alors il essayera avec PAP.
Copyright Idum Page 9/9