Way To Learn AcademyKnowledge Assessment

Authentification Aaa

CCST Networking (Cisco Certified Support Technician)Security

Authentification, Autorisation et Audit (AAA)

Définition

Le modèle AAA est un framework de sécurité réseau qui centralise trois fonctions :

  • Authentification : vérifier l'identité d'un utilisateur ou d'un appareil (qui es-tu ?).
  • Autorisation : déterminer les droits et privilèges accordés après authentification (que peux-tu faire ?).
  • Audit (Accounting) : journaliser les actions effectuées pour la traçabilité et la conformité (qu'as-tu fait ?).

Contexte

Dans un environnement d'entreprise, gérer les comptes localement sur chaque équipement devient ingérable et dangereux (mots de passe incohérents, absence de traçabilité). Le modèle AAA, couplé à des serveurs centralisés (RADIUS, TACACS+), permet un contrôle unifié des accès. La certification CCST couvre les concepts fondamentaux d'AAA et les différences entre les protocoles.

Détails techniques

RADIUS vs TACACS+

Critère RADIUS TACACS+
Développeur Standard ouvert (RFC 2865/2866) Propriétaire Cisco (mais largement supporté)
Transport UDP (ports 1812/1813) TCP (port 49)
Chiffrement Mot de passe uniquement Payload complet chiffré
Séparation AAA Authentification + Autorisation combinées Chaque fonction AAA séparée
Utilisation typique Accès réseau (Wi-Fi, VPN, 802.1X) Administration des équipements réseau

Configuration AAA sur Cisco

! Activer AAA globalement
aaa new-model

! Définir un serveur TACACS+
tacacs server TACACS-SRV
 address ipv4 192.168.1.50
 key MonSecret123

! Authentification : essayer TACACS+ puis la base locale en fallback
aaa authentication login default group tacacs+ local

! Autorisation : attribuer les privilèges via TACACS+
aaa authorization exec default group tacacs+ local

! Accounting : journaliser les commandes exécutées
aaa accounting commands 15 default start-stop group tacacs+

802.1X (Port-Based Network Access Control)

  • Utilise RADIUS pour authentifier les hôtes avant de leur donner accès au réseau.
  • Trois rôles : Supplicant (client), Authenticator (switch), Authentication Server (RADIUS).
  • Le port du switch reste en état non autorisé jusqu'à validation des identifiants.

Bonnes pratiques

  • Toujours configurer un fallback local (local) en cas d'indisponibilité du serveur AAA.
  • Utiliser des mots de passe chiffrés (secret) et non des mots de passe en clair (password).
  • Activer l'accounting pour toutes les sessions et commandes privilégiées.
  • Rotation régulière des clés partagées entre équipements et serveur AAA.

Exemple concret

Scénario : une entreprise souhaite centraliser l'authentification des administrateurs réseau.

  1. Installer un serveur TACACS+ (ex. : Cisco ISE, FreeRADIUS+TACACS).
  2. Configurer aaa new-model sur chaque routeur/switch.
  3. Pointer vers le serveur : tacacs server ISEaddress ipv4 10.0.1.50key SecretKey.
  4. Définir la politique : aaa authentication login default group tacacs+ local.
  5. Un administrateur se connecte en SSH → le switch envoie les identifiants au serveur TACACS+ → vérification → autorisation → toutes les commandes sont journalisées.

Concepts liés

Pare-feu et ACLSegmentation réseau et Zero TrustChiffrement (TLS) et VPNSécurité des endpoints et IoTAccès et modes CLI
Chiffrement TLS Et VPN