Le protocole PPP PAP ET CHAP
Etude CCNA
Etude CCNA
 |
| PPP PAP ET CHAP |
Protocole PPP
Etude du protocole
C’est le protocole de réseau WAN le plus répandu, successeur du protocole SLIP, permettant :
• Connexion entre routeurs ou entre un hôte et un routeur.
• Gestion des circuits synchrones et asynchrones.
• Contrôle de la configuration des liaisons.
• Possibilité d’attribution dynamique des adresses de couche 3.
• Multiplexage des protocoles réseau (Possibilité de faire passer plusieurs paquets de protocoles différents
sur la même connexion).
• Configuration des liaisons et vérification de leur qualité.
• Détection des erreurs.
• Négociation d’options (Adresses de couche 3, Compression, etc.).
Un mode d’encapsulation : La trame PPP est une trame générique HDLC modifiée.
• Le protocole LCP (Link Control Protocol) : Etablissement et contrôle d’une session.
o Trame LCP d’établissement de liaison.
o Trame LCP de fermeture de liaison.
o Trame LCP de maintenance de liaison.
• Une famille de protocoles NCP (Network Control Protocol) : Gestion des protocoles de couche 3.
o IPCP (Internet Protocol Control Protocol).
o IPXCP (Internetwork Packet eXchange Control Protocol).
o BCP (Bridge Control Protocol).
Drapeau : Indicateur de début ou fin de trame (Valeur = 01111110).
• Adresse : Adresse de broadcast standard (Valeur = 11111111), car PPP n’attribue pas d’adresse d’hôte
(Couche 2).
• Contrôle : Fourniture d’un service non orienté connexion (semblable au LLC) (Valeur = 00000011).
• Protocole : Identification du protocole encapsulé (IP, IPX, etc.).
• Données : Contient soit la valeur zéro, soit des données (1500 octets maximum).
• FCS : Séquence de contrôle de trame pour une vérification des erreurs.
Etablissement d’une session
Les quatre phases d’une session PPP, pour l’établissement des communications sur une liaison point-à-point, sont :
• Établissement de la liaison.
• Détermination de la qualité de la liaison.
• Configuration du ou des protocoles de couche réseau.
• Fermeture de la liaison.
Ce sont les trames LCP qui se chargent du bon déroulement de ces quatre phases.
Phase 1 - Etablissement de la liaison :
• Le nœud d’origine envoie des trames LCP pour configurer et établir la liaison.
• Négociation des paramètres de configuration grâce au champ d’option des trames LCP (MTU, compression, authentification, etc.). Ces options peuvent donc être explicite (indiquées dans les trames LCP) ou implicites (Utilisation des valeurs par défaut).
• Fin de cette phase par l’émission et la réception d’une trame LCP d’accusé de réception de la configuration.
Phase 2 - Détermination de la qualité de la liaison :
• Cette phase est facultative.
• Vérification de la qualité suffisante pour activer les protocoles de couche 3.
• Une fois la liaison établie, le processus d’authentification est lancé, si nécessaire.
Phase 3 - Configuration du ou des protocoles de couche réseau :
• Émission de paquets NCP pour configurer les protocoles de couche 3 choisis.
• Configuration individuelle des protocoles de couche 3 grâce au protocole NCP approprié.
• Activation et fermeture à tout moment des protocoles de couche 3.
• Les paquets des protocoles de couche 3 sont émis une fois configuré par son NCP correspondant.
Phase 4 - Fermeture de la liaison :
• Fermeture par le biais de trames LCP ou de paquets NCP spécifiques (Si LCP ferme la liaison, il informe
les protocoles de couche 3 par l’intermédiaire du NCP correspondant).
• Fermeture à cause d’un évènement extérieur (délai d’attente, perte de signaux, etc.).
• Fermeture en cas de demande d’un utilisateur.
On peut vérifier l’état des protocoles LCP et NCP grâce à la commande show interfaces.
Authentification/Configuration
Le protocole PPP peut prendre en charge plusieurs modes d’authentification :
• Aucune authentification.
• Utilisation du protocole PAP.
• Utilisation du protocole CHAP.
Les caractéristiques du protocole PAP sont :
• Échange en deux étapes (après la demande d’authentification) :
o Envoie des informations d’authentification.
o Acceptation ou refus.
• Méthode simple d’authentification : Emission de la combinaison utilisateur/password de façon répétée
jusqu’à :
Confirmation de l’authentification.
o Interruption de la connexion.
• PAP n’est pas très efficace :
o Mots de passe envoyés en clair.
o Aucune protection (Lecture répétée des informations, attaques répétées par essais et erreurs).
• Le nœud s’authentifiant contrôle la fréquence et la durée des tentatives d’authentification.
Pour le protocole PAP, on a le choix entre une authentification :
• Unidirectionnelle : Seul le client est authentifié sur le serveur de compte.
• Bidirectionnelle : Chaque hôte authentifie l’autre.
Celles du protocole CHAP sont :
• Échange en trois étapes (après la demande d’authentification) :
o Confirmation.
o Réponse.
o Acceptation ou refus.
• Méthode d’authentification plus évoluée :
o Vérification régulière de l’identité du nœud distant (A l’établissement puis à tout moment).
o Authentification dans les deux sens.
o Impossibilité de tenter une authentification sans avoir reçu une demande de confirmation.
o Authentification cryptée via l’algorithme MD5 lors du transit sur la liaison.
• Efficacité contre le piratage :
o Utilisation d’une valeur de confirmation variable, unique et imprévisible.
o Répétition des demandes de confirmation visant à limiter la durée d’exposition aux attaques.
o Chaque côté contrôle la fréquence et la durée des tentatives d’authentification.
Les commandes permettant de configurer tous les différents aspects du protocole PPP sont les suivantes :
• username {nom} password {mot_de_passe} :
o Mode de configuration globale.
o Paramètre nom : Nom d’hôte qu’on souhaite accepter.
o Paramètre mot_de_passe : Mot de passe à utiliser pour l’authentification. Celui-ci doit
correspondre au mot de passe du mode privilégié crypté du routeur distant si on utilise CHAP. Ce
mot de passe doit être le même sur les deux routeurs.
o Définir un compte d’utilisateur localement, afin de permettre l’authentification d’un hôte distant.
•
encapsulation PPP :
o Mode de configuration d’interface.
o Spécifier le mode d’encapsulation pour l’interface courante.
• ppp authentication {chap | chap pap | pap chap | pap} [callin] :
o Mode de configuration d’interface.
o Définir la méthode d’authentification voulue. On a la possibilité de définir deux méthodes
différentes. Dans ce cas, la première est utilisée, et en cas de refus ou de suggestion de la
deuxième, la deuxième méthode sera utilisée.
o Le paramètre callin est utilisé pour différencier l’authentification unidirectionnelle de la
bidirectionnelle.
• ppp pap sent-username {nom} password {mot_de_passe} :
o Mode de configuration d’interface.
o Indique les informations qui seront envoyées lors d’une demande d’authentification PAP. Les
informations doivent correspondre au compte utilisateur définit sur le routeur distant.
• ppp chap hostname {nom} :
o Mode de configuration d’interface.
o Permettre l’authentification sur plusieurs routeurs en donnant toujours le même nom d’hôte.
• ppp chap password {mot_de_passe} :
o Mode de configuration d’interface.
Idem que pour le hostname, mais pour le mot de passe. Ceci permet de limiter le nombre d’entrées
utilisateur/password.
• ppp quality {pourcentage} :
o Mode de configuration d’interface.
o Permet de configurer le LQM (Link Quality Monitor) sur la liaison PPP courante. Si la qualité
de la liaison tombe en dessous du pourcentage spécifié, le routeur coupera la liaison.
Pour tout problème concernant l’authentification et la négociation de liaison par rapport au protocole PPP, nous
avons à notre disposition les commandes suivantes :
• debug ppp authentication
• debug ppp negociation
Aucun commentaire:
Enregistrer un commentaire