Sécurisation Tacacs + et SSH
Résolu/Fermé
pharaon44
Messages postés
38
Date d'inscription
lundi 30 août 2010
Statut
Membre
Dernière intervention
19 juin 2012
-
30 août 2010 à 13:57
pharaon44 Messages postés 38 Date d'inscription lundi 30 août 2010 Statut Membre Dernière intervention 19 juin 2012 - 1 sept. 2010 à 16:10
pharaon44 Messages postés 38 Date d'inscription lundi 30 août 2010 Statut Membre Dernière intervention 19 juin 2012 - 1 sept. 2010 à 16:10
A voir également:
- Sécurisation Tacacs + et SSH
- Telecharger ssh - Télécharger - Divers Web & Internet
- Access denied putty ssh ubuntu - Forum Linux / Unix
- Ssh nat - Forum Linux / Unix
- Access denied ssh putty ✓ - Forum Ubuntu
- Ssh command not found - Forum Linux / Unix
4 réponses
evilcairn
Messages postés
414
Date d'inscription
mardi 24 août 2010
Statut
Membre
Dernière intervention
25 juillet 2017
110
31 août 2010 à 05:57
31 août 2010 à 05:57
Hmm sauf erreur le TACACS+ est déjà crypté ( il est d'ailleurs crypté en paquet entier contrairement au radius).. en plus ça serait stupide de ne pas le faire vu que c'est le but du protocole de départ .. (AAA enfin c'est une partie du AAA).
Après l'encapsuler dans du ssh j'imagine que rien n'est impossible mais j'en vois pas l'intérêt.
Le but du TACACS+ c'est pas de faire de la gestion externalisée de ton réseau ( mon dieu surtout pas !!) ... pour ça tu fais sortir un VPN bien plus méchant en terme de cryptage (qui rebondira sur le reste après ) mais bon là n'est pas le sujet.
Pour le pass, et la clé c'est normal vu que c'est le but d'avoir une clé prémachée qui te permet d'avoir un accès à ton Radius/TACACS+ et qui te permet par la suite d'administrer tout ceci sans même te souvenir de ton pass @ 15 caractères :)
Bref, si tu veux tester , sniff la sortie/entrée de ton TACACS+ tu verras que rien ne sort/rentre sans un cryptage (ou alors j'ai loupé un épisode à ma formation :D)
Après l'encapsuler dans du ssh j'imagine que rien n'est impossible mais j'en vois pas l'intérêt.
Le but du TACACS+ c'est pas de faire de la gestion externalisée de ton réseau ( mon dieu surtout pas !!) ... pour ça tu fais sortir un VPN bien plus méchant en terme de cryptage (qui rebondira sur le reste après ) mais bon là n'est pas le sujet.
Pour le pass, et la clé c'est normal vu que c'est le but d'avoir une clé prémachée qui te permet d'avoir un accès à ton Radius/TACACS+ et qui te permet par la suite d'administrer tout ceci sans même te souvenir de ton pass @ 15 caractères :)
Bref, si tu veux tester , sniff la sortie/entrée de ton TACACS+ tu verras que rien ne sort/rentre sans un cryptage (ou alors j'ai loupé un épisode à ma formation :D)
pharaon44
Messages postés
38
Date d'inscription
lundi 30 août 2010
Statut
Membre
Dernière intervention
19 juin 2012
1
Modifié par pharaon44 le 31/08/2010 à 10:59
Modifié par pharaon44 le 31/08/2010 à 10:59
Merci pour ta réponse evilcairn,
Cependant, je ne comprends plus trop en fait! Aurais tu un lien ou il y aurait des explication là dessus ou alors un tutoriel a me proposer. Car là, je suis dans la documentation CISCO 3560 et il y a des zones qui restent sombre pour moi. Car avec plusieurs switchs dans mon réseau, est ce que le TACACS est capable d'identifier chaque switch indépendamment ou alors les clés sont identique pour tous les switchs. Donc je voulais savoir si il était possible de faire une identification avec du ssh pour identifier chaque switch sans devoir faire de VPN. En gros, je nage un peu pour bien sécuriser mon switch.
Cordialement.
Cependant, je ne comprends plus trop en fait! Aurais tu un lien ou il y aurait des explication là dessus ou alors un tutoriel a me proposer. Car là, je suis dans la documentation CISCO 3560 et il y a des zones qui restent sombre pour moi. Car avec plusieurs switchs dans mon réseau, est ce que le TACACS est capable d'identifier chaque switch indépendamment ou alors les clés sont identique pour tous les switchs. Donc je voulais savoir si il était possible de faire une identification avec du ssh pour identifier chaque switch sans devoir faire de VPN. En gros, je nage un peu pour bien sécuriser mon switch.
Cordialement.
evilcairn
Messages postés
414
Date d'inscription
mardi 24 août 2010
Statut
Membre
Dernière intervention
25 juillet 2017
110
1 sept. 2010 à 00:33
1 sept. 2010 à 00:33
TACACS+ n'est qu'un protocole , vu que tu as du cisco et que tu veux utiliser cette technologie il te faut CSACS ( Cisco Secure Access Control Server) conjointement (pour simplifier on dit qu'on utilise un TACACS+ à l'instar d'un serveur FTP ou autre mais ne tergiversons pas sur les mots ^^)
TACACS+ va tager tes paquets avec le nom de session de chaque matériel que tu vas enregistrer , en gros comme sur une base oracle avec un même login/pass, tu as un identifiant unique qui est crée à chaque session.
Pour faire simple, ton switch/nas/routeur va poser la question à ton TACACS+ si il peut ouvrir une session ( START) , celui ci lui répond (le démon) par un REPLY (on est dans le premier A authentification). Si il doit continuer on passe dans le deuxième A ( autorisation) qui se passe avec des REQUETE/REPONSE (en gros il demande si il a l'accès en fonction de l'authentification).
Par la suite on bascule sur le dernier A ( accounting) qui va fournir les bits Start/stop/update nécessaire ainsi que comme le Autorisation faire des R/R.
Bref ton TACACS+ va forcement taguer chaque matériel de façon unique à chaque fois qu'ils feront une requête si c'est cela qui te fait peur.
Par contre comme je le l'utilise plus depuis un moment je ne peux plus te dire comment fonctionne l'inventaire ni le listing.
Y'as pas mal d'infos sur le net mais faut chercher (oui c'est pas aussi commun que ça).
Je te conseille d'aller faire un tour sur le site de cisco en général leurs tuto sont bien claires ( enfin pour moi)
Bon courage.
TACACS+ va tager tes paquets avec le nom de session de chaque matériel que tu vas enregistrer , en gros comme sur une base oracle avec un même login/pass, tu as un identifiant unique qui est crée à chaque session.
Pour faire simple, ton switch/nas/routeur va poser la question à ton TACACS+ si il peut ouvrir une session ( START) , celui ci lui répond (le démon) par un REPLY (on est dans le premier A authentification). Si il doit continuer on passe dans le deuxième A ( autorisation) qui se passe avec des REQUETE/REPONSE (en gros il demande si il a l'accès en fonction de l'authentification).
Par la suite on bascule sur le dernier A ( accounting) qui va fournir les bits Start/stop/update nécessaire ainsi que comme le Autorisation faire des R/R.
Bref ton TACACS+ va forcement taguer chaque matériel de façon unique à chaque fois qu'ils feront une requête si c'est cela qui te fait peur.
Par contre comme je le l'utilise plus depuis un moment je ne peux plus te dire comment fonctionne l'inventaire ni le listing.
Y'as pas mal d'infos sur le net mais faut chercher (oui c'est pas aussi commun que ça).
Je te conseille d'aller faire un tour sur le site de cisco en général leurs tuto sont bien claires ( enfin pour moi)
Bon courage.
pharaon44
Messages postés
38
Date d'inscription
lundi 30 août 2010
Statut
Membre
Dernière intervention
19 juin 2012
1
1 sept. 2010 à 16:10
1 sept. 2010 à 16:10
Merci pour toutes tes informations evilcairn.
Cordialement
Cordialement