Home / Cisco / Protocole PPP "Point-to-Point Protocol"

Protocole PPP "Point-to-Point Protocol"

Posted by IT NISRO 0 commentaires

1. Etude du protocole 

C’est le protocole de réseau WAN le plus répandu, successeur du protocole SLIP, permettant :
  • Connexion entre routeurs ou entre un hôte et un routeur. 
  • Gestion des circuits synchrones et asynchrones. 
  • Contrôle de la configuration des liaisons. 
  • Possibilité d’attribution dynamique des adresses de couche 3. 
  • Multiplexage des protocoles réseau (Possibilité de faire passer plusieurs paquets de protocoles différents sur la même connexion). 
  • Configuration des liaisons et vérification de leur qualité. 
  • Détection des erreurs. 
  • Négociation d’options (Adresses de couche 3, compression, etc.). 
Le protocole PPP est composé de trois parties distinctes indispensables :
  • Un mode d’encapsulation : La trame PPP est une trame générique HDLC modifiée. 
  • Le protocole LCP (Link Control Protocol) : Etablissement et contrôle d’une session. 
o Trame LCP d’établissement de liaison.
o Trame LCP de fermeture de liaison.
o Trame LCP de maintenance de liaison.
  • Une famille de protocoles NCP (Network Control Protocol) : Gestion des protocoles de couche 3. 
o IPCP (Internet Protocol Control Protocol).
o IPXCP (Internetwork Packet eXchange Control Protocol).
o BCP (Bridge Control Protocol).
o Une trame PPP est de la forme :
  • Drapeau : Indicateur de début ou fin de trame (Valeur = 01111110). 
  • Adresse : Adresse de broadcast standard (Valeur = 11111111), car PPP n’attribue pas d’adresse d’hôte (Couche 2). 
  • Contrôle : Fourniture d’un service non orienté connexion (semblable au LLC) (Valeur = 00000011). 
  • Protocole : Identification du protocole encapsulé (IP, IPX, etc.). 
  • Données : Contient soit la valeur zéro, soit des données (1500 octets maximum). 
  • FCS : Séquence de contrôle de trame pour une vérification des erreurs.

2. Etablissement d’une session

Les quatre phases d’une session PPP, pour l’établissement des communications sur une liaison point à point, sont :
  • Établissement de la liaison 
  • Détermination de la qualité de la liaison 
  • Configuration du ou des protocoles de couche réseau 
  • Fermeture de la liaison 
Ce sont les trames LCP qui se chargent du bon déroulement de ces quatre phases.

Phase 1 - Etablissement de la liaison :
  • Le noeud d’origine envoie des trames LCP pour configurer et établir la liaison. 
  • Négociation des paramètres de configuration grâce au champ d’option des trames LCP (MTU, compression, authentification, etc.). Ces options peuvent donc être explicite (indiquées dans les trames LCP) ou implicites (Utilisation des valeurs par défaut). 
  • Fin de cette phase par l’émission et la réception d’une trame LCP d’accusé de réception de la configuration. 
Phase 2 - Détermination de la qualité de la liaison :
  • Cette phase est facultative. 
  • Vérification de la qualité suffisante pour activer les protocoles de couche 3. 
  • Une fois la liaison établie, le processus d’authentification est lancé, si nécessaire. 
Phase 3 - Configuration du ou des protocoles de couche réseau :
  • Émission de paquets NCP pour configurer les protocoles de couche 3 choisis. 
  • Configuration individuelle des protocoles de couche 3 grâce au protocole NCP approprié. 
  • Activation et fermeture à tout moment des protocoles de couche 3. 
  • Les paquets des protocoles de couche 3 sont émis une fois configuré par son NCP correspondant. 
Phase 4 - Fermeture de la liaison : 
  • Fermeture par le biais de trames LCP ou de paquets NCP spécifiques (Si LCP ferme la liaison, il informe les protocoles de couche 3 par l’intermédiaire du NCP correspondant). 
  • Fermeture à cause d’un évènement extérieur (délai d’attente, perte de signaux, etc.). 
  • Fermeture en cas de demande d’un utilisateur. 
On peut vérifier l’état des protocoles LCP et NCP grâce à la commande show interfaces.

3. Authentification/Configuration

Le protocole PPP peut prendre en charge plusieurs modes d’authentification :
  • Aucune authentification. 
  • Utilisation du protocole PAP. 
  • Utilisation du protocole CHAP. 
Les caractéristiques du protocole PAP sont :
  • Échange en deux étapes (après la demande d’authentification) : 
o Envoie des informations d’authentification.
o Acceptation ou refus.
  • Méthode simple d’authentification : Emission de la combinaison utilisateur/password de façon répétée jusqu’à : 
o Confirmation de l’authentification.
o Interruption de la connexion. 
  • PAP n’est pas très efficace : 
o Mots de passe envoyés en clair.
o Aucune protection (Lecture répétée des informations, attaques répétées par essais et erreurs).
  • Le noeud s’authentifiant contrôle la fréquence et la durée des tentatives d’authentification. 
Pour le protocole PAP, on a le choix entre une authentification : 
  • Unidirectionnelle : Seul le client est authentifié sur le serveur de compte. 
  • Bidirectionnelle : Chaque hôte authentifie l’autre. 
Celles du protocole CHAP sont :
  • Échange en trois étapes (après la demande d’authentification) : 
o Confirmation.
o Réponse.
o Acceptation ou refus.
  • Méthode d’authentification plus évoluée : 
o Vérification régulière de l’identité du noeud distant (A l’établissement puis à tout moment).
o Authentification dans les deux sens.
o Impossibilité de tenter une authentification sans avoir reçu une demande de confirmation.
o Authentification cryptée via l’algorithme MD5 lors du transit sur la liaison.
  • Efficacité contre le piratage :
o Utilisation d’une valeur de confirmation variable, unique et imprévisible.
o Répétition des demandes de confirmation visant à limiter la durée d’exposition aux attaques.
o Chaque côté contrôle la fréquence et la durée des tentatives d’authentification.

4. Procédure de configuration du protocole PAP 


Nous allons d’abord étudier la configuration qu’il faut utiliser pour une authentification unidirectionnelle.

Lab_A (config-if)# encapsulation ppp
Lab_A (config-if)# ppp authentication pap callin
Lab_A (config-if)# ppp pap sent-username Lab_A password password_pap

Lab_B (config)# username Lab_A password password_pap
Lab_B (config-if)# encapsulation ppp
Lab_B (config-if)# ppp authentication pap

Pour une authentification bidirectionnelle, il suffit de procéder comme suit :

Lab_A (config)# username Lab_B password password_pap
Lab_A (config-if)# encapsulation ppp
Lab_A (config-if)# ppp authentication pap
Lab_A (config-if)# ppp pap sent-username Lab_A password password_pap

Lab_B (config)# username Lab_A password password_pap
Lab_B (config-if)# encapsulation ppp
Lab_B (config-if)# ppp authentication pap
Lab_B (config-if)# ppp pap sent-username Lab_B password password_pap

5. Procédure de configuration du protocole CHAP



Le schéma d’authentification ci-dessus représente l’authentification dans un seul sens, il va donc falloir répéter ce schéma dans les deux sens de l’authentification CHAP.

Pour cela, nous allons effectuer les tâches de configuration suivantes sur le routeur Lab_A :

Lab_A (config)# username Lab_B password password_chap
Lab_A (config-if)# encapsulation ppp
Lab_A (config-if)# ppp authentication chap

Les commandes à utiliser sur le routeur Lab_B sont :

Lab_B (config)# username Lab_A password password_chap
Lab_B (config-if)# encapsulation ppp
Lab_B (config-if)# ppp authentication chap



Categories: ,

If You Like This Post, Share it With Your Friends

0 commentaires:

Enregistrer un commentaire

Membres

Formulaire de contact

Nom

E-mail *

Message *

Copyright © Club Tutoriel Informatique. All rights reserved. Blogger template designed by BLog Bamz