Table des matières
1 Accès distant sur Windows 2008 Server ...2
1.1 Introduction ...2
1.2 Accès distant (dial-in) ...2
1.3 VPN...3
1.4 Authentification...4
1.5 Configuration d’un réseau privé virtuel (vpn)...6
1.6 Configuration de l'accès réseau à distance...18
1.7 Stratégies d’accès distant ...28
1.7.1 Autorisation ...28
1.7.2 Définir les conditions ...29
1.7.3 Profil...31
2011 Hakim Benameurlaine 2
1 Accès distant sur Windows 2008 Server
1.1 IntroductionL'accès réseau à distance permet à un utilisateur situé en dehors du réseau, de se connecter à l'environnement réseau au travers du service Accès distant (dial-in) ou d'une connexion VPN (Virtual Private Network).
Windows 2008 Server implémente le service Routage et Accès distant, qui donne à un serveur le rôle de serveur d'accès distant.
Il implémente également un client d'accès distant et un client VPN, permettant ainsi d'établir réciproquement, des connexions via le protocole PPP et des tunnels PPTP, L2TP.
1.2 Accès distant (dial-in)
L’accès distant permet à un utilisateur d’accéder à un serveur d’accès distant via une liaison point à point sur RTC.
Le serveur d’accès distant joue le rôle de passerelle entre le client d’accès distant et le réseau local.
Lorsqu’un client d’accès distant se connecte à un serveur d’accès distant, il utilise un protocole de liaison de données approprié au support de communication qu’il utilise.
Le support de communication peut être :
RTC réseau téléphonique commuté.
RNIS réseau numérique à intégration de service.
Support X25 réseau à commutation de paquets.
FRAME-RELAY réseau à commutation de trames.
ATM Asynchronous Transfer Mode
Support DSL Digital Subscriber Line
Les protocoles de liaison de données que support Windows 2008 sont:
SLIP (Serial Line Internet Protocol)
Ce protocole est utilisé pour se connecter via un modem à un serveur SLIP au travers d’une connexion non sécurisée. Il s’agit d’un vieux standard de communication que l’on peut trouver dans les environnements Unix. Le protocole SLIP ne peut encapsuler que de l’IP.
Windows 2008 Server ne peut pas être configuré comme serveur SLIP mais il inclut un client SLIP.
PPP (Point to Point Protocol)
C'est une amélioration du SLIP. Il peut encapsuler en dehors des protocoles TCP/IP des protocoles IPX/SPX, NetBEUI.
L’avantage majeur du protocole PPP est qu’il n’est pas propriétaire, donc n’importe quel client supportant PPP peut se connecter à un serveur d’accès distant Windows 2008.
1.3 VPN
Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux ressources de son entreprise par exemple, comme s'il était physiquement connecté au LAN de cette dernière. Le serveur VPN nécessite une adresse IP public.
Le VPN constitue une extension d'un réseau privé à tra vers un réseau public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son élément de base.
Cependant, il est nécessaire de sécuriser les données qui transitent dans ce type de réseau.
Windows 2008 Server utilise deux types de protocoles de tunnel qui sont PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol).
L'avantage du VPN par rapport à une connexion d'accès distant est que ce dernier peut s'effectuer via une connexion Internet, alors que l'accès distant nécessite quant à lui une connexion point à point utilisant le RTC ou RNIS, ce qui revient économiquement plus cher.
Un autre avantage du VPN est la possibilité d'effectuer une interconnexion de deux réseaux d'entreprise à travers un réseau public.
2011 Hakim Benameurlaine 4 permet une compression des en-têtes et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les données.
PPTP L2TP
Propriétaire (Microsoft) Ouvert Encryptage Microsoft intégré IPSEC
Réseaux IP seulement IP, ATM, X.25…
Antérieur à L2TP Plus récent
Windows 2000 et plus 1.4 Authentification
Il est essentiel, lors de l'établissement d’une connexion d'accès distant, de procéder à la sécurisation des données qui transitent via un mécanisme d'authentification. Au sein de l'infrastructure Windows 2008 Server, plusieurs protocoles d'authentificatio n sont proposés. Ces méthodes diffèrent essentiellement par leur niveau de sécurité.
Il est possible de choisir parmi les protocoles d'authentification suivants :
PAP (Password Authentification Protocol)
Il s'agit d'une méthode d'authentification peu sécurisée et très simple.
Le login et le mot de passe sont envoyés en clair par le client d'accès distant au serveur d'accès distant, qui les comparent aux informations qui sont stockées dans la base SAM locale ou Active Directory.
SPAP (Shiva Password Authentification Protocol)
Ce protocole est plus sécurisé que le protocole PAP. Il permet de connecter des clients Shiva à un serveur d'accès distant Windows.
CHAP (Challenge Handshake Authentification Protocol)
Il s'agit d'un protocole crypté conçu pour les échanges de mots de passe via IP ou PPP. Les mots de passes sont stockés en clair sur le client et le serveur. Le client envoie le hash au serveur qui le compare au résultat de son hash.
MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) Ce type de protocole est basé sur le même principe que le CHAP à la différence que MS-CHAP stocke les mots de passes de façon cryptée, grâce à MD4 qui est une fonction de hachage.
MS-CHAP 2
Il s'agit ici d'une version plus récente du MS-CHAP, qui à la différence du MS-CHAPv1, propose une sécurité plus accrue.
EAP (Extensible Authentification Protocol)
Il fait référence à un ensemble de protocoles qui apportent une extension aux méthodes d'authentification actuelles.
Exemples :
o SmartCard (carte + pin).
o Authentification Biométrique (empreinte + pin).
Pour configurer les Méthodes d’authentification : Aller dans les propriétés du serveur, onglet Sécurité :
2011 Hakim Benameurlaine 6 1.5 Configuration d’un réseau privé virtuel (vpn)
SERVEUR :
Nous allons dans cette étape, configurer un serveur VPN.
2011 Hakim Benameurlaine 8 Si vous ne disposez pas d’au moins deux interfaces réseaux, vous recevrez le message suivant :
Si vous disposez de deux interfaces réseaux, vous recevrez le message suivant :
2011 Hakim Benameurlaine 10
2011 Hakim Benameurlaine 12 CLIENT :
2011 Hakim Benameurlaine 14
Autoriser l’usager pour le serveur VPN:
2011 Hakim Benameurlaine 16 Faire un test de connexion à partir du client :
Afficher les connexions sur le serveur VPN:
2011 Hakim Benameurlaine 18 1.6 Configuration de l'accès réseau à distance
SERVEUR :
2011 Hakim Benameurlaine 20
2011 Hakim Benameurlaine 22 Configurer le modem du serveur :
2011 Hakim Benameurlaine 24 CLIENT :
2011 Hakim Benameurlaine 26
Faire un test :
2011 Hakim Benameurlaine 28 1.7 Stratégies d’accès distant
Les stratégies d’accès distant sont utilisées pour accorder ou non l’accès aux clients d’accès distant ou VPN en se basant sur un ensemble de conditions, d’autorisations et de profils.
La réussite d’une connexion d’accès distant ou VPN ne repose pas uniquement sur l’acceptation pour un utilisateur d’effectuer des appels entrants.
On va pouvoir indiquer qu’un utilisateur peut établir une connexion uniquement s’il utilise un protocole d’authentification comme défini dans la stratégie, qu’il se connecte selon un horaire donné, etc.
1.7.1 Autorisation
Le serveur d’accès distant ou VPN vérifie que l’utilisateur s’authentifiant possède l’autorisation d’établir une connexion.
Les autorisations sont définies à la fois dans les propriétés du compte utilisateur pour lequel on souhaite lui autoriser ou interdire l’établissement d’une connexion, et dans la stratégie elle-même.
Aller dans les propriétés du compte utilisate ur, onglet Appel entrant.
Trois possibilités sont offertes : Autoriser l’accès
Si un utilisateur possède cette autorisation alors le profil défini dans la stratégie est appliqué à l’utilisateur, et la connexion est établie sauf si une contre-indication apparaît dans le profil.
Refuser l’accès
Si un utilisateur possède cette autorisation, l’accès lui est refusé sauf dans le cas où l’attribut Ignore-User-Dialin-Properties possède la valeur Vrai.
Si L’autorisation d’accès est refusée alors la connexion écho ue.
Contrôler l’accès via la stratégie d’accès distant
Cette option indique que l’autorisation de connexion de l’utilisateur ne dépend pas des propriétés de son compte mais des autorisations définies dans la stratégie elle-même :
L’option Refuser l’autorisation d’accès distant indique que l’utilisateur ne pourra pas établir de connexion.
L’option Accorder l’autorisation d’accès distant indique que l’utilisateur pourra établir de connexion et le profil sera alors appliqué à l’utilisateur.
2011 Hakim Benameurlaine 30 2) Dans le conteneur Stratégies d’accès distant, éditer une stratégie.
3) Cliquer sur le bouton Ajouter.
4) La liste des conditions que vous pouvez ajouter apparaît.
Sélectionner une condition et cliquer sur le bouton Ajouter pour lui attribuer une valeur en fonction de la condition choisie.
1.7.3 Profil
Si les propriétés de la connexion répondent aux conditions et que l’utilisateur possède l’autorisation d’établir une connexion, il se voit
2011 Hakim Benameurlaine 32 Onglet Contraintes pour les appels entrant
Permet d’indiquer que la connexion peut s’établir uniquement selon un horaire donné, définir des délais de connexion, etc.
Onglet IP
Permet de définir comment les adresses IP seront attribuées aux clients d’accès distant ou VPN.
Il est aussi possible de définir des filtres d’entrée et de sortie pour la connexion établie selon le profil. Ceci permet de définir quels sont les flux qui auront le droit d’entrer dans le réseau privé.
2011 Hakim Benameurlaine 34 Onglet Liaison multiples
Permet de définir pour les clients d’accès distant la prise en charge du protocole BAP.
Onglet Authentification
Permet de spécifier les méthodes d’authentification acceptables pour les clients d’accès distant ou VPN. Il faut aussi que le serveur d’accès distant prenne en charge ces méthodes d’authentification.
2011 Hakim Benameurlaine 36 Onglet Cryptage
Permet d’indiquer les niveaux de cryptage autorisés pour la connexion.
