Sécurisation Tacacs + et SSH
Résolu
pharaon44
Messages postés
38
Date d'inscription
Statut
Membre
Dernière intervention
-
pharaon44 Messages postés 38 Date d'inscription Statut Membre Dernière intervention -
pharaon44 Messages postés 38 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Dans ma boite, j'ai installé un switch que j'administre avec un serveur TACACS +.
J'aimerai savoir, pour augmenter la sécurité, si il est possible de faire transiter tout cela dans du SSH.
Enfin si c'est possible, est ce qu'il est nécessairement obligatoire d'avoir soit le mot de passe ou la clé secrète en locale sur le switch.
Merci d'avance pour les réponses.
Toutes les remarques seront les bien venues, l'amélioration de ma configuration réseau en dépend.
Cordialement.
Dans ma boite, j'ai installé un switch que j'administre avec un serveur TACACS +.
J'aimerai savoir, pour augmenter la sécurité, si il est possible de faire transiter tout cela dans du SSH.
Enfin si c'est possible, est ce qu'il est nécessairement obligatoire d'avoir soit le mot de passe ou la clé secrète en locale sur le switch.
Merci d'avance pour les réponses.
Toutes les remarques seront les bien venues, l'amélioration de ma configuration réseau en dépend.
Cordialement.
A voir également:
- Charlaine a reçu une nouvelle box internet, mais certains paramètres par défaut présentent des risques de sécurité. configurez la box internet ci-dessous pour augmenter la sécurité du wifi. lorsque vous avez réalisé les actions de sécurisation, cliquez sur « je valide ».
- Ethernet n'a pas de configuration ip valide - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Darkino nouvelle adresse - Guide
- Box allumé mais pas internet - Guide
- Mode securite - Guide
4 réponses
Hmm sauf erreur le TACACS+ est déjà crypté ( il est d'ailleurs crypté en paquet entier contrairement au radius).. en plus ça serait stupide de ne pas le faire vu que c'est le but du protocole de départ .. (AAA enfin c'est une partie du AAA).
Après l'encapsuler dans du ssh j'imagine que rien n'est impossible mais j'en vois pas l'intérêt.
Le but du TACACS+ c'est pas de faire de la gestion externalisée de ton réseau ( mon dieu surtout pas !!) ... pour ça tu fais sortir un VPN bien plus méchant en terme de cryptage (qui rebondira sur le reste après ) mais bon là n'est pas le sujet.
Pour le pass, et la clé c'est normal vu que c'est le but d'avoir une clé prémachée qui te permet d'avoir un accès à ton Radius/TACACS+ et qui te permet par la suite d'administrer tout ceci sans même te souvenir de ton pass @ 15 caractères :)
Bref, si tu veux tester , sniff la sortie/entrée de ton TACACS+ tu verras que rien ne sort/rentre sans un cryptage (ou alors j'ai loupé un épisode à ma formation :D)
Après l'encapsuler dans du ssh j'imagine que rien n'est impossible mais j'en vois pas l'intérêt.
Le but du TACACS+ c'est pas de faire de la gestion externalisée de ton réseau ( mon dieu surtout pas !!) ... pour ça tu fais sortir un VPN bien plus méchant en terme de cryptage (qui rebondira sur le reste après ) mais bon là n'est pas le sujet.
Pour le pass, et la clé c'est normal vu que c'est le but d'avoir une clé prémachée qui te permet d'avoir un accès à ton Radius/TACACS+ et qui te permet par la suite d'administrer tout ceci sans même te souvenir de ton pass @ 15 caractères :)
Bref, si tu veux tester , sniff la sortie/entrée de ton TACACS+ tu verras que rien ne sort/rentre sans un cryptage (ou alors j'ai loupé un épisode à ma formation :D)
Merci pour ta réponse evilcairn,
Cependant, je ne comprends plus trop en fait! Aurais tu un lien ou il y aurait des explication là dessus ou alors un tutoriel a me proposer. Car là, je suis dans la documentation CISCO 3560 et il y a des zones qui restent sombre pour moi. Car avec plusieurs switchs dans mon réseau, est ce que le TACACS est capable d'identifier chaque switch indépendamment ou alors les clés sont identique pour tous les switchs. Donc je voulais savoir si il était possible de faire une identification avec du ssh pour identifier chaque switch sans devoir faire de VPN. En gros, je nage un peu pour bien sécuriser mon switch.
Cordialement.
Cependant, je ne comprends plus trop en fait! Aurais tu un lien ou il y aurait des explication là dessus ou alors un tutoriel a me proposer. Car là, je suis dans la documentation CISCO 3560 et il y a des zones qui restent sombre pour moi. Car avec plusieurs switchs dans mon réseau, est ce que le TACACS est capable d'identifier chaque switch indépendamment ou alors les clés sont identique pour tous les switchs. Donc je voulais savoir si il était possible de faire une identification avec du ssh pour identifier chaque switch sans devoir faire de VPN. En gros, je nage un peu pour bien sécuriser mon switch.
Cordialement.
TACACS+ n'est qu'un protocole , vu que tu as du cisco et que tu veux utiliser cette technologie il te faut CSACS ( Cisco Secure Access Control Server) conjointement (pour simplifier on dit qu'on utilise un TACACS+ à l'instar d'un serveur FTP ou autre mais ne tergiversons pas sur les mots ^^)
TACACS+ va tager tes paquets avec le nom de session de chaque matériel que tu vas enregistrer , en gros comme sur une base oracle avec un même login/pass, tu as un identifiant unique qui est crée à chaque session.
Pour faire simple, ton switch/nas/routeur va poser la question à ton TACACS+ si il peut ouvrir une session ( START) , celui ci lui répond (le démon) par un REPLY (on est dans le premier A authentification). Si il doit continuer on passe dans le deuxième A ( autorisation) qui se passe avec des REQUETE/REPONSE (en gros il demande si il a l'accès en fonction de l'authentification).
Par la suite on bascule sur le dernier A ( accounting) qui va fournir les bits Start/stop/update nécessaire ainsi que comme le Autorisation faire des R/R.
Bref ton TACACS+ va forcement taguer chaque matériel de façon unique à chaque fois qu'ils feront une requête si c'est cela qui te fait peur.
Par contre comme je le l'utilise plus depuis un moment je ne peux plus te dire comment fonctionne l'inventaire ni le listing.
Y'as pas mal d'infos sur le net mais faut chercher (oui c'est pas aussi commun que ça).
Je te conseille d'aller faire un tour sur le site de cisco en général leurs tuto sont bien claires ( enfin pour moi)
Bon courage.
TACACS+ va tager tes paquets avec le nom de session de chaque matériel que tu vas enregistrer , en gros comme sur une base oracle avec un même login/pass, tu as un identifiant unique qui est crée à chaque session.
Pour faire simple, ton switch/nas/routeur va poser la question à ton TACACS+ si il peut ouvrir une session ( START) , celui ci lui répond (le démon) par un REPLY (on est dans le premier A authentification). Si il doit continuer on passe dans le deuxième A ( autorisation) qui se passe avec des REQUETE/REPONSE (en gros il demande si il a l'accès en fonction de l'authentification).
Par la suite on bascule sur le dernier A ( accounting) qui va fournir les bits Start/stop/update nécessaire ainsi que comme le Autorisation faire des R/R.
Bref ton TACACS+ va forcement taguer chaque matériel de façon unique à chaque fois qu'ils feront une requête si c'est cela qui te fait peur.
Par contre comme je le l'utilise plus depuis un moment je ne peux plus te dire comment fonctionne l'inventaire ni le listing.
Y'as pas mal d'infos sur le net mais faut chercher (oui c'est pas aussi commun que ça).
Je te conseille d'aller faire un tour sur le site de cisco en général leurs tuto sont bien claires ( enfin pour moi)
Bon courage.