-
Authentification PPP
Extrait du Idum
http://idum.fr/spip.php?article229
Authentification PPP- Rseau - Scurit -
Date de mise en ligne : mardi 20 dcembre 2011
Description :
Dans ce cours, nous allons tudier les diffrentes
authentifications sur une liaison PPP entre deux routeurs. Nous
allons mettre en place les authentifications PAP,
CHAP, PAP-CHAP et CHAP-PAP pour observer le fonctionnement.
Idum
Copyright Idum Page 1/9
-
Authentification PPP
Sommaire :I) Introduction 1) Fonctionnement du PPP 2)
Fonctionnement du PAP 3) Fonctionnement du CHAP II) Schma rseau
III) Configuration de base 1) Configuration routeur 1 2)
Configuration routeur 2 IV) Mise en place de l'authentification PAP
1) Configuration 2) Test de fonctionnement V) Mise en place de
l'authentification CHAP 1) Configuration 2) Test de fonctionnement
VI) Authentification PAP-CHAP et CHAP-PAP
I) Introduction
1) Fonctionnement du PPP
PPP signifie Point to Point Protocol ou protocole point point.
Il s'agit d'un protocole beaucoup plus labor queSLIP (c'est la
raison pour laquelle il l'a supplant), dans la mesure o il transfre
des donnes supplmentaires,mieux adaptes la transmission de donnes
sur Internet.
2) Fonctionnement du PAP
PAP signifie Password Authentication Protocol est un protocole
d'authentification pour PPP. Les donnes sonttransmises en texte
clair sur le rseau ce qui le rend par consquent non scuris.
L'avantage de PAP est qu'il est extrmement simple implmenter,
lui permettant d'tre utilis dans des systmes
Copyright Idum Page 2/9
-
Authentification PPP
embarqus trs lgers. Sur des systmes de taille raisonnable on
prfrera sans doute le protocole CHAP.
3) Fonctionnement du CHAP
CHAP signifie Challenge Handshake Authentication Protocol est un
protocole d'authentification pour PPP base dechallenge, ce qui le
rend bien plus sr que son pendant PAP. Ce protocole est dfini dans
la RFC 1994. Il est aussiutilis par le protocole iSCSI afin
qu'Initiator et Target iSCSI s'authentifient ventuellement
mutuellement.
L'objectif de CHAP est que le pair s'authentifie auprs d'un
authentificateur sans change de mot de passe en clairsur le rseau
et sans que l'change puisse tre rejou par un tiers l'coute. La
contrainte est que chaque partiepartage un secret (mot de passe)
commun. Microsoft a dvelopp la variante MS-CHAP qui supprime
cettecontrainte.
II) Schma rseau
III) Configuration de base
1) Configuration routeur 1
On commence par une chose simple mais qui va nous simplifier la
vie, la configuration du hostname pour identifiernos deux routeurs
dans les diffrents logs :
Copyright Idum Page 3/9
-
Authentification PPP
configure terminal
hostname Router1
end
On configure ensuite l'interface connect notre PC1 :
configure terminal
interface fastethernet 0/0ip address 192.168.1.254
255.255.255.0
no shutdown
end
On configure maintenant l'interface srie qui sera connect sur le
deuxime routeur :
configure terminale
interface serial 0/0ip address 10.0.0.1 255.255.255.0
encapsulation ppp
clock rate 128000
no shutdown
end
Pour finir on ajoute une route statique :
configure terminal
ip route 192.168.2.0 255.255.255.0 10.0.0.2
end
Voil notre premier routeur est configur.
2) Configuration routeur 2
On reproduit la mme chose sur le deuxime routeur :
configure terminal
hostname Router2
end
On configure ensuite l'interface connect notre PC2 :
configure terminal
interface fastethernet 0/0ip address 192.168.2.254
255.255.255.0
no shutdown
end
On configure maintenant l'interface srie qui sera connect sur le
premier routeur :
Copyright Idum Page 4/9
-
Authentification PPP
configure terminale
interface serial 0/0ip address 10.0.0.2 255.255.255.0
encapsulation ppp
no shutdown
end
On ne configure pas de clock rate sur le routeur 2 car le
routeur 1 est le routeur maitre.
Pour finir on ajoute une route statique :
configure terminal
ip route 192.168.1.0 255.255.255.0 10.0.0.1
end
On vrifie que les deux machines communiquent bien :
Cliquez ci-dessous pour tlcharger le fichier Packet Tracert,
comprenant une dmonstration du rseau :
IV) Mise en place de l'authentification PAP
Premier cas d'authentification, nous allons configurer une
authentification PAP.
1) Configurations
Copyright Idum Page 5/9
-
Authentification PPP
a) Configuration du routeur 1On commence par activer le service
de chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R1 password 0 AQWend
Ensuite on configure l'interface srie, pour activer
l'authentification PAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication pap
ppp pap sent-username USER-R2 password 0 AQWend
USER-R2 tant le login cre sur le routeur distant, avec lequel
nous nous authentifions pour la communicationPPP.
Si vous essayez de pinger de PC1 vers PC2 vous remarquerez que
la connexion entre les deux routeurs nefonctionne plus.
b) Configuration du router2On commence par activer le service de
chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R2 password 0 AQWend
Ensuite on configure l'interface srie, pour activer
l'authentification PAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication pap
ppp pap sent-username USER-R1 password 0 AQWend
USER-R1 tant le login cre sur le routeur distant, avec lequel
nous nous authentifions pour la communicationPPP.
Copyright Idum Page 6/9
-
Authentification PPP
2) Test de fonctionnement
On teste la communication entre nos deux pc :
Vous pouvez observer la ngociation et l'authentification PPP
avec les commandes suivantes :
debug ppp authentication ---- Pour voir les messages de chaque
tape du processus l'authentification PAP ouCHAP se droule
debug ppp negotiation ---- Gnre des messages pour le processus
de ngociation LCP et NCP qui a lieuentre les quipements
Cliquez ci-dessous pour tlcharger le fichier Packet Tracert,
comprenant une dmonstration du rseau :
V) Mise en place de l'authentification CHAP
Deuxime cas d'authentification, nous repartons de la
configuration de base et nous configurons maintenant
uneauthentification CHAP.
1) Configuration
Copyright Idum Page 7/9
-
Authentification PPP
a) Configuration du router1On commence par activer le service de
chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R1 password 0 AQWend
Ensuite on configure l'interface srie, pour activer
l'authentification CHAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication chap
ppp chap hostname USER-R2
ppp chap password 0 AQWend
USER-R2 tant le login cre sur le routeur distant, avec lequel
nous nous authentifions pour la communicationPPP.
Si vous essayez de pinger de PC1 vers PC2 vous remarquerez que
la connexion entre les deux routeurs nefonctionne plus.
b) Configuration du router2On commence par activer le service de
chiffrement :
configure terminal
service password-encryption
On cre un nouvel utilisateur :
configure terminal
username USER-R2 password 0 AQWend
Ensuite on configure l'interface srie, pour activer
l'authentification CHAP ainsi que le login et le password :
configure terminal
interface serial 0/0ppp authentication chap
ppp chap hostname USER-R1
ppp chap password AQWend
USER-R1 tant le login cre sur le routeur distant, avec lequel
nous nous authentifions pour la communicationPPP.
Copyright Idum Page 8/9
-
Authentification PPP
2) Test de fonctionnement
On teste la communication entre nos deux pc :
VI) Authentification PAP-CHAP et CHAP-PAP
PAP-CHAP : Lors d'une connexion, le routeur va commencer par
essayer de s'authentifier avec le protocole PAPsi celui-ci choue
alors il essayera avec CHAP.
CHAP-PAP : Lors d'une connexion, le routeur va commencer par
essayer de s'authentifier avec le protocoleCHAP si celui-ci choue
alors il essayera avec PAP.
Copyright Idum Page 9/9
![[EYROLLES] Authentification Réseau Avec Radius](https://img.pdfslide.tips/doc/110x75/55cf97d6550346d03393ea74/eyrolles-authentification-reseau-avec-radius.jpg)
