Configuration de Serveur 2003 en Routeur

Transcription

1 Introduction Configuration de Serveur 2003 en Routeur Lors de l implémentation d une infrastructure réseau Microsoft Windows 2003 Server, de nombreux éléments et services demeurent indispensables à l activité réseau. Au sein d une infrastructure réseau, il existe une diversité d équipements qui demeurent capables de procéder à l interconnexion des réseaux locaux et globaux. Cette opération s effectue au niveau des différentes couches du modèle OSI (Open Systems Interconnection). Grâce à l implémentation de plusieurs protocoles de routage et d autres fonctionnalités de routage, Windows 2003 Server peut donner à un serveur, la capacité de jouer, de manière performante, le rôle de routeur. Nous allons donc, à travers cet article, présenter les différentes fonctionnalités de routage ainsi que les entités du service routage et accès distant intégrées à l environnement Windows 2003 Server. 1. Présentation des routeurs : Les routeurs sont des dispositifs réseau de couche 3 (il s'agit de la couche réseau qui redirige les données à travers un réseau à commutation, et dont l'unité de données est en général, le paquet) du modèle OSI. On fait appel à un routeur en vue de réaliser la liaison des réseaux locaux de technologies différentes notamment. Ce dernier est capable d'acheminer des paquets d'informations au travers d'un vaste ensemble de réseaux interconnectés. Cela concerne particulièrement l'interconnexion des réseaux LAN (Local Area Network) et WAN (Wide Area Network). De plus, un routeur est capable de réaliser la segmentation d'un réseau, et ainsi, se donner la capacité de passer d'un segment de réseau à un autre, préservant ainsi la bande passante. Il existe au sein des routeurs, différentes catégories : On distingue les routeurs matériels, dont la seule tâche consiste au routage des paquets d'informations dans le monde TCP/IP au sein d'un réseau, Mais aussi et c'est ce qui nous intéresse le plus ici, les routeurs logiciels, dont le rôle est d'acheminer les données vers une destination voulue. Cependant, à la différence du routeur matériel, le routeur logiciel est implémenté au sein d'un serveur (Windows 2003 Server en ce qui nous concerne), qui lui, peut détenir d'autres fonctionnalités, comme la gestion du spooling par exemple. 3. Configuration du routage sous Windows 2003 Server : 1

2 A. Descriptions des fonctionnalités du routage : Comme énoncé au préalable, Windows 2003 Server intègre, au sein de son infrastructure, de nombreuses fonctionnalités de routage, capables de donner à un serveur (en l'occurrence, Windows 2003) le rôle de routeur. On distingue parmi ces fonctionnalités : Configuration des filtres de paquets, Translation d'adresse, Implémentation de protocoles de routage comme : - le RIP 1 et 2(Routing Information Protocol) qui est un protocole de routage à vecteur de distance, c'està-dire qu'il permet le transfert de la table de routage d'un routeur à son voisin. l'ospf (Open Shortest Path First) qui est un protocole de routage à état de lien. Contrairement au RIP, l'ospf permet une allégeance de la bande passante, en envoyant les informations uniquement lorsque cela est nécessaire, à la différence du RIP, qui l'effectue de manière périodique. L'élément indispensable implémenté à Windows 2003 Server et nécessaire au routage, est la console du service Routage et Accès distant. Cette console est utilisée notamment pour paramétrer le routeur. B. Configuration du routage : Afin de configurer le routage sur votre serveur Windows 2003 Server, faites : Démarrer, Outils d'administration, Puis, cliquez sur Routage et accès distant. Une console semblable à celle-ci dessous, s'affiche alors. Faites alors un clique droit sur votre serveur, situé en dessous de Etat du serveur dans Routage et accès distant. Ensuite, choisissez la commande Configurer et activer le routage et l'accès distant. 2

3 La fenêtre suivante s'affiche alors. Cliquez sur suivant afin de continuer l'opération de configuration du serveur. 3

4 Voilà ensuite la fenêtre qui vous est présentée. Il vous est alors proposé plusieurs types de connexion pour personnaliser votre serveur. En ce qui concerne notre partie de configuration du serveur en routeur, il vous faut sélectionner l'option Configuration personnalisée qui permettra d'attribuer au serveur Windows 2003, différents rôles. Ensuite, nous voilà avec l'affichage ci-dessous. Il vous suffit de cliquer sur Routage réseau, puis ensuite de cliquer sur Suivant, puis Terminer, afin de finir la définition du routage. 4

5 4. Routage statique : Il existe différents types de routage administrables sous Windows 2003 Server. On distingue notamment le routage statique dont nous allons parler, ainsi que le routage dynamique, le routage à la demande, le routage de multidiffusion que seront abordés un peu plus loin. Le routage statique est configuré manuellement par l'administrateur sous Windows 2003 Server. Il permet d'entrer manuellement un route dans la table de routage, configurant ainsi de manière personnelle, le chemin souhaité. Cependant, un problème demeure : si un problème survient au niveau du réseau et que le route devient inaccessible, l'administrateur se retrouve contraint de reconfiguré manuellement une nouvelle route. Ce type de routage prend réellement son importance dans un système d'interconnexion de deux réseaux. Au-delà, cela devient plus difficile à gérer en cas de problème. Il existe deux manières de configurer un routage statique : Au travers de la table de routage en utilisant la commande route add : 5

6 Route add p [réseau_de_destination], MASK [masque_du_réseau_de_destination passerelle], METRIC [métrique_associée_à_la_route], IF [interface_utilisée] Les éléments essentiels de cette commande sont les deux premières lignes. Le commutateur p permet de rendre une route persistante, c'est-à-dire qu'elle sera stockée dans le registre afin de subsister. Cela est important puis la table de routage étant stockée en RAM (Random Acces Memory) est perdue à chaque redémarrage du système, puisque la RAM est vidée lors du redémarrage. L'option METRIC permettra au routeur de choisir la meilleure route, si plusieurs chemins sont possibles pour l'envoi d'un paquet d'information. En effet, au plus l'indice de la métrique est faible, au plus la route associée à cette dernière a de chances d'être choisie. Quant à l'option IF : cette dernière permet de choisir une interface locale au routeur. Dans le cas contraire, la meilleure interface pour une passerelle serait recherchée afin de transférer le paquet. En utilisant la console du service Routage et accès distant : Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils d'administration. Déroulez ensuite le menu Routage IP sous votre serveur, et faites un clic droit Itinéraires statiques et sélectionnez Nouvel itinéraire statique. 6

7 5. Routage dynamique : Lors de l'interconnexion de plusieurs routeurs, il est nécessaire de prévoir un changement de topologie du réseau. Ainsi, le routage statique est quasiment inefficace puisqu'il serait fastidieux de procéder à la reconfiguration des nombreuses routes établies au sein d'un tel réseau, notamment dans lorsque ce réseau est constitué de nombreux sous réseaux émaillés. De ce fait, un nouveau type de routage : le routage dynamique, est mis en place. Ce dernier permet d'attribuer dynamiquement, en ce basant sur un algorithme, la meilleure route, modifiable de manière dynamique par le routeur, en vue d'atteindre une destination. Afin de permettre à différents routeurs d'échanger des informations, il existe des protocoles de routage. On distingue sous Windows 2003 Server, deux types de protocoles de routage dynamique : Les protocoles de routage à vecteur de distance, Les protocoles de routage à état de lien. A. Protocole de routage à vecteur de distance : Basés sur des algorithmes dis de Bellman-Ford, les protocoles de routage à vecteur de distance permettent aux routeurs de transmettre, et ce de manière périodique, le contenu de leur table de routage à leurs voisins. Ce type de routage pose cependant des problèmes. En effet, le caractère périodique du transfert des tables de routage d'un routeur à un autre, entraîne un ralentissement dans la mise à jour et la vérification des tables de routage, c'est-à-dire qu'il existe un allongement des temps de convergence sur un réseau utilisant ce type de protocole. Cela peut notamment entraîner la perte de paquets d'ip en cas de mise à jour tardive de la table de routage. Il ne s'agit pas là du seul inconvénient du routage à vecteur de distance. On distingue aussi le problème des boucles de routage. Sous Windows 2003 Server, on distingue diverses versions de protocoles de routage à vecteur de distance. On distingue notamment le RIP (Routing Information Protocol). a. RIP (Routing Information Protocol) : Windows 2003 Server implémente deux version de RIP pour IP : RIPv1 et RIPv2. 7

8 Il faut préalablement souligné qu'un réseau Windows 2003 Server ne doit pas avoir un diamètre physique de plus de 14 routeurs. En effet, il est définit un nombre de sauts (hot count qui est la métrique utilisée par RIP) maximum de 15 afin de résoudre les problèmes de bouclage. Ainsi, on ne pourra pas utiliser le protocole RIP s'il est possible qu'au sein du réseau, un paquet d'ip doit être amener à travers plus de 16 routeurs. Notons notamment que Windows 2003 considère qu'à un tronçon fixe de 2 sauts, se trouvent tous les itinéraires de la table de routage non RIP, comme un itinéraire statique par exemple. Il existe des différences entre RIPv1 et RIPv2. On peut notamment souligner les deux différences suivantes : RIPv1 n'accepte pas de protocole d'authentification. Cependant, il est capable d'envoyer un message à un ensemble de machines, c'est-à-dire, d'annoncer les mises à jour la table de routage au moyen du multicast. RIPv2 lui accepte, contrairement au RIPv1, le protocole d'authentification. b. Configuration du RIP pour IP : Nous allons dans cette partie, procéder à l'installation du protocole RIP pour IP sous Windows 2003 Server. Tout d'abord, comme ci-dessous, ouvrez la console de Routage et accès distant. Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils d'administration. Déroulez ensuite le menu Routage IP située sous votre serveur, et faites un clique droit sur Général et cliquez ensuite sur Nouveau protocole de routage. 8

9 Choisissez ensuite le Protocole RIP version 2 pour Internet. Cliquez ensuite sur OK. 9

10 Il faut ensuite définir les interfaces du routeur. Pour cela, faites un clic droit sur RIP situé sous Routage IP. La fenêtre suivante vous permet alors de configurer le mode de fonctionnement de RIP par interface : 10

11 B. Protocole de routage à état de lien : Contrairement au routage à vecteur de distance où les routeurs n'ont pas connaissance de la topologie physique du réseau, le routage à état de lien met en œuvre des routeurs qui disposent d'une vue complète sur la topologie physique du réseau. De même, à la différence du routage à vecteur de distance où les routeurs s'échangent les tables de routage, les routeurs implémentés dans une topologie réseau de routage à état de lien, s'échangent quant à eux, des informations qui leurs permettront de construire cette table de routage. La table de routage, lorsqu'elle est maintenue par des protocoles à état de lien, fonctionne avec un algorithme dit SPF (Short Path First) qui permet de construire, à l'aide des paquets SPF reçus, une arborescence du réseau. Les paquets utilisés par les protocoles à état de lien sont des paquets d'état de lien, appelés LSP (Link State Packet). De même, ces protocoles utilisent en dehors de ces paquets LSP et de l'algorithme SPF, une base de données topologiques. On sait de même, que le temps d'établissement d'une table de routage lors de l'utilisation d'un protocole à état de lien est très rapide, c'est-à-dire que ce type de protocole converge très vite. 11

12 Windows 2003 Server implémente un type de protocole de routage à état de lien nommé OSPF (Open Shortest Path First). a. OSPF (Open Shortest Path First): L'OSFP est un protocole de routage à état de lien. Contrairement au RIP, l'ospf ne possède théoriquement aucune limite de routeurs et peut donc être appliqué dans un environnement réseau, où sont implantés une multitude de routeurs. L'OSPF utilise un métrique se basant sur la vitesse du lien et ne présente pas de problème de bouclage. De même, comme dit précédemment, l'ospf présente une rapidité de convergence et permet entre autre, d'alléger la bande passante puisque les paquets d'informations sont envoyés uniquement en cas de nécessité et non pas de manière périodique, ce qui est le cas du protocole RIP. Afin de pouvoir créer la table de routage lors de l'utilisation d'un protocole de routage OSPF, il faudra passer par deux étapes. Tout d'abord, il faudra commencer par créer une base de données adjacente. Cette dernière permettra ensuite de construire la base de données topologique qui conduira à la création de la table de routage. Base de données adjacente : un routeur envoi des messages Hello à ses voisins à l'aide du multicast à l'adresse et ce, en vue de les découvrir et d'établir une communication bidirectionnelle. Ce message contient de nombreuses informations parmi lesquelles on distingue : l'identifiant du routeur émetteur, les voisins connus par le routeur émetteur, l'intervalle d'envoi qui permet de supprimer le message envoyé au bout d'un certain laps de temps si aucune réponse ne parvient à l'émetteur, un identifiant de zone : tous les routeurs qui «souhaitent» communiquer entre eux, doivent se situer dans la même zone et sur le même segment réseau, une priorité ; un mot de passe d'authentification. Lorsque le message Hello envoyé par le routeur émetteur par multicast parvient à d'autres routeurs voisins, les routeurs recevant ce message ajoutent à leur base de données adjacente les routeurs émetteurs. Par la suite, chaque routeur ayant reçu ce message par multicast, renvoi un message en unicast, c'est-à-dire qu'il envoi un paquet vers une seule destination, au routeur émetteur qui ajoute à son tour le routeur précédent à sa base de données adjacente. Le transfert du message Hello va permettre notamment, aux différents routeurs, de pouvoir comparer la priorité de ses voisins. Ainsi, on définira deux types de routeurs : 12

13 Le routeur DR qui est celui disposant de la plus forte priorité, e routeur BDR qui correspond au routeur ayant la seconde plus forte priorité. Base de données topologique : Lors de la phase création de cette base de données, une relation maître-esclave doit être établie. Cette relation est établie entre le DR et un autre routeur. Afin d'établir cette relation, un mécanisme d'échanges est instauré : il s'agit de l'envoi de paquets LSA (Link State Advertisement) entre le DR ainsi que le BDR et les autres routeurs. Ce paquet d'informations envoyé par le DR contient notamment son identifiant. Ainsi, si l'identifiant du DR est plus grand que l'identifiant du routeur qui reçoit le paquet, alors il sera défini comme le maître. Inversement s'il possède l'identifiant le plus faible, il sera désigné comme esclave. Pour que les routeurs ajoutent des informations à leurs bases de données à état de lien, ils s'envoient des informations. Ainsi, l'esclave recevant le paquet, compare les informations de la base de données du maître et si ce dernier détient plus d'informations, il envoi une requête au maître afin d'obtenir plus d'informations, des informations qu'il ajoutera à sa propre base de données à état de lien. A cette étape, ils possèdent tous les mêmes informations et peuvent donc commencer à créer leur propre table de routage afin de router le trafic IP. b. Configuration de l'ospf : Nous allons dans cette étape, procéder à la mise en route de l'ospf. Allez dans la console du service Routage et accès distant, déroulez le menu Routage IP du serveur, puis faites un clic droit sur Général puis un clic sur Nouveau protocole de routage. 13

14 Choisissez alors Ouverture du chemin d'accès le plus court en priorité (OSPF). Puis, faites un clic droit sur OSPF dans Routage IP. Ensuite, cliquez sur Nouvelle interface. 14

15 15

16 ID de zone : Zone OSPF dans laquelle l'interface du routeur va être connectée. Tout comme une adresse IP, cette zone est représentée par 4 octets. Priorité du routeur : Comme vu précédemment, la priorité d'un routeur permet de sélectionner le DR et le BDR. La priorité est d'autant plus élevée que l'indice l'est. Mot de passe : Mot de passe circulant en clair dans l'implémentation Microsoft OSPF et utilisé pour l'authentification. Coût : Indice influençant la métrique. Type de réseau : Permet le choix entre les trois types de réseau que sont : le réseau broadcast, point-to-point, NBMA Access. 6. Routage à la demande : Le routage à la demande permet d'établir des connexions uniquement lorsque cela est nécessaire. C'est-à-dire que lorsqu'un routeur «désire» établir une connexion vers un autre routeur afin de pouvoir faire acheminer des paquets d'ip sur une liaison, il y a mise en place d'une interconnexion de réseaux par des liaisons temporaires (comme RTC ou RNIS). Ce type de routage a pour avantage de déconnecter la liaison au bout d'un certain temps d'inactivité afin notamment, de préserver les ressources système. 16

17 A. Configuration du routage à la demande : Avant tout mise en route du routage à la demande, il faut au préalable s'assurer du bon fonctionnement et de la bonne configuration des périphériques qui seront nécessaires à la connexion tels que le modem, la carte modem Lancez ensuite, la console Routage et accès distant et faites un clic droit sur votre serveur, et ensuite allez dans ses Propriétés. Sélectionnez ensuite l'option Routage réseau local et de numérotation à la demande si tel n'est pas le cas. Faites ensuite un clic droit/ Propriétés sur Ports dans le console Routage et accès distant. Choisissez alors le port que vous souhaitez utiliser pour la numérotation à la demande, puis cliquez sur le bouton Configurer. Dans la fenêtre apparaissant, cochez la case Connexions de routage à la demande. Retournez dans la console Routage et accès distant, et effectuez un clic droit Interfaces réseau et sélectionnez Nouvelle interface de numérotation à la demande. Puis, cliquez sur Suivant, nommez l'interface puis cliquez sur Suivant, dans la fenêtre de bienvenue. Indiquez ensuite le type d'interface de numérotation à la demande que vous voulez créez pour la connexion. Sélectionnez ensuite les options de transport et de sécurité pour la connexion créée. 17

18 Si vous avez coché la case Ajouter un compte d'utilisateur pour qu'un routeur distant puisse effectuer un appel entrant, un nom d'utilisateur portant le nom de la connexion est automatiquement créé. Il vous est ensuite demandé d'entrer un mot de passe pour le compte qui sera utilisé pour l'authentification des appels entrants. Il vous faut ensuite entrer le nom d'utilisateur, son domaine ainsi que son mot de passe, afin de procéder à l'identification pour les appels sortants. 7. Routage de multidiffusion : Le routage de multidiffusion est le routage permettant d'envoyer à plusieurs destinataires, le même message. L'énorme avantage du multicast est de permettre l'envoi d'un même message à plusieurs destinataires, évitant ainsi tout pollution du réseau. L'utilisation d'un protocole de routage de multidiffusion tel que DVMRP (Distance Vector Multicast Routing Protocol), est nécessaire au bon fonctionnement du multicast dans un environnement routé. Windows 2003 Server implémente le protocole IGMPv3 qui permet à un hôte IP de rejoindre une multidiffusion. Il n'implémente pas directement de protocole de routage de multidiffusion mais est capable cependant, grâce à la prise en charge du protocole IGMP (Internet Group Management Protocol), d'être à l'écoute de tous les hôtes utilisateurs du multicast présents sur le réseau. Lorsque les stations utilisant la multidiffusion sont à l'écoute de la multidiffusion sur une adresse particulière, ces dernières envoient à leur routeur local un paquet IGMP Membership Report. Lors de l'installation du protocole de routage IGMP, il faut spécifier le rôle joué par les interfaces réseau du routeur. On distingue alors deux modes : Mode routeur IGMP : Tous les paquets IGMP Membership Report envoyés par les hôtes utilisant la multidiffusion sont écoutés par l'interface configurée de ce manière. Mode Proxy IGMP : Les paquets IGMP Membership Report reçus par l'interface configurée en mode routeur IGMP, sont envoyés sur les l'interface configurée en mode Proxy IGMP, permettant ainsi aux autres routeurs de mettre à jour leur table de routage. A. Configuration de l'igmp : Nous allons ici, procéder à la configuration de l'igmp sur un routeur Windows 2003 Server. Pour cela : Ouvrez la console Routage et accès distant. Faites un clic droit sur Général sous Routage IP. Sélectionnez ensuite Nouveau protocole de routage, puis Routeur et Proxy IGMP. Alors, sélectionnez Nouvelle Interface en faisant un clic droit sur IGMP. Sélectionnez ensuite l'interface qui jouera le mode routeur et validez par Ok. 18

19 Configurez ensuite les propriétés comme ci-dessous : De même, pour le mode Proxy, faites une configuration identique à celle ci-dessous : 19

20 8. Filtrage de paquets : A. Principe : Il est possible de filtrer les paquets entrants et sortants d'un routeur lorsque par exemple, un routeur Windows 2003 est configuré en tant que routeur filtrant. Ainsi, le routeur autorise ou non, des paquets entrants ou sortants, c'est-à-dire qu'il interdit ou autorise, certains types de trafic IP. Il existe deux manières de mettre en place un dispositif de filtrage de paquets : Le filtre peut être placé en entrée auquel cas, ce dernier sera traité avant que le routeur n'accède à la table de routage. Lors de la réception du paquet d'ip, le routeur va notamment comparer son adresse source et son adresse de destination à celles configurées aux filtres appliqués. Dans le cas où le filtre est configuré pour bloquer ce type de paquet, ce dernier sera détruit et un message d'erreur (paquet ICMP) sera envoyé à la source. Le filtre peut être placé en sortie auquel cas, ce dernier sera lu après le traitement de la table de routage par le routeur. Lorsque le routeur reçoit le paquet d'ip, il «lit» sa table de routage afin de déterminer l'interface vers laquelle il peut router ce dernier. Ensuite, le routeur va regardé si un quelconque filtre de sortie est appliqué à cette interface. Si tel est le cas, il va comparer les paramètres du filtre avec le paquet IP et «décide» ensuite de procéder ou non au routage du paquet. 20

21 B. Configuration du filtrage de paquets : Nous allons dans cette partie, procéder à la mise en œuvre d'un filtre. Pour cela : Rendez-vous dans la console Routage et accès distant puis cliquez sur Général sous Routage IP. Allez ensuite dans les Propriétés de l'interface pour laquelle le filtre sera appliqué. Choisissez ensuite votre type de filtre : filtre d'entrée, de sortie, ou les deux. Puis, cliquez sur le bouton Nouveau. Entrez ensuite une adresse source et une adresse de destination. Puis entrez si vous le souhaitez, un protocole et un numéro de port à filtrer. Parmi les différents protocoles existant, il est possible de filtre les protocole TCP, UDP, TCP [établit], ICMP, ou un autre protocole si vous détenez le numéro de port. Validez ensuite votre sélection en cliquant sur le bouton Ok. La fenêtre suivante s'affiche alors : 21

22 Il vous est alors possible d'agir sur le filtrage en acceptant de recevoir tous les paquets sauf ceux qui répondent aux critères définis par les filtres, ou alors de rejeter tous les paquets à l'exception de ceux qui répondent aux critères définis par les filtres. 9. Accés distant : A. Présentation : L'accès réseau à distance constitue un élément indispensable permettant à un utilisateur situé en dehors du réseau de son entreprise (par exemple chez lui), de se connecter à l'environnement réseau de cette dernière, au travers notamment du service Accès distant ou d'une connexion VPN (Virtual Private Network), et ainsi, de pouvoir accéder aux ressources du réseau selon les permissions qui lui sont accordées. Afin de pouvoir réaliser une connexion d'accès distant, le serveur et le client devront utilisés réciproquement, un programme d'accès distant et un client d'accès distant, et devront aussi utilisés les mêmes protocoles permettant la connexion d'accès distant. Windows 2003 Server implémente justement le service Routage et Accès distant, qui donne à un serveur le rôle de serveur d'accès distant. Il implémente également un client d'accès distant et un client VPN, permettant ainsi d'établir réciproquement, des connexions via le protocole PPP et des tunnels PPTP, L2TP, IPSEC. B. Protocoles d'accès distant : Windows 2003 Server est capable de supporter divers protocoles de liaisons de données WAN : Microsoft RAS (Remote Access Service) : Ce protocole permet à des clients Windows utilisant le NetBEUI d'accéder à un serveur d'accès distant Windows ARAP (Appletalk Remote Access Protocol) : Ce protocole permet à des clients Macintosh de se connecter à un serveur Windows SLIP (Serial Line Internet Protocol) : Ce protocole est utilisé pour se connecter via un modem à un serveur SLIP au travers du connexion non sécurisée. Seule l'encapsulation d'ip est possible grâce à ce type de protocole. PPP (Point to Point Protocol) : C'est un protocole qui est en quelque sorte une amélioration du SLIP. Il peut cependant encapsuler en dehors des protocoles TCP/IP, des protocoles IPX/SPX, NetBEUI. 22

23 C. Authentification pour l'accès distant: Il est essentiel, lors de l'établissement de connexion d'accès distant, de procéder à la sécurisation des données qui transitent via un mécanisme d'authentification. Au sein de l'infrastructure Windows 2003 Server, plusieurs protocoles d'authentification sont proposés. Ces méthodes diffèrent essentiellement par leur niveau de sécurité. Il est alors possible de choisir parmi les protocoles d'authentification suivants : PAP (Password Authentification Protocol) : Il s'agit ici d'une méthode d'authentification peut sécurisée et très simple basée sur une base SAM ou Active Directory. Le login et le mot de passe sont envoyés en clair par le client d'accès distant au serveur d'accès distant, qui les comparent aux informations qui sont stockées dans la base SAM locale ou Active Directory. SPAP (Shiva Password Authentification Protocol) : Ce type de protocole d'authentification est plus sécurisé que le protocole PAP. Il permet de connecter des clients Shiva à un serveur d'accès distant Windows CHAP (Challenge Handshake Authentification Protocol) : Il s'agit d'un protocole crypté conçu pour les échanges de mots de passe via IP ou PPP. Les mots de passes sont stockés en clair sur le client et le serveur. MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) : Ce type de protocole est basé sur le même principe que le CHAP à la différence que MS-CHAP stocke les mots de passes de façon cryptée, grâce à MD4 qui est une fonction de hachage. MS-CHAP 2 : Il s'agit ici d'une version plus récente du MS-CHAP, qui a la différence du MS-CHAPv1, propose une sécurité plus accrue. EAP (Extensible Authentification Protocol) : Il fait référence à un ensemble de protocoles qui apportent une extension aux méthodes d'authentification actuelles. 23

24 D. VPN: Configuration de Serveur 2003 en Routeur Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux ressources de son entreprise par exemple, comme s'il était physiquement connecté au LAN de cette dernière. Il est important de souligner que le VPN constitue une extension d'un réseau privé à travers un réseau public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son élément de base. Cependant, il est nécessaire de sécuriser les données qui transitent dans ce type de réseau. Ainsi, Windows 2003 Server gère deux types de protocoles de tunnel qui sont PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol) basés sur le protocole PPP servant pour l'authentification. L'avantage du VPN par rapport à une connexion d'accès distant «classique» est que ce dernier peut s'effectuer via une connexion Internet, alors que l'accès distant nécessite quant à lui une connexion point à point utilisant le RTC ou RNIS, ce qui revient économiquement plus cher. En effet, cet avantage est notamment dû au fait que le VPN est une simulation de connexion point à point. Un autre avantage du VPN est la possibilité d'effectuer une interconnexion de deux réseaux d'entreprise à travers un réseau public. Les protocoles de tunnels PPTP et L2TP sont pris en charge par Windows PPTP : Il s'agit d'un protocole qui rend possible l'interconnexion des réseaux via un réseau IP. C'est notamment un protocole qui permet l'encapsulation sécurisée sur un réseau public pour créer un VPN. L2TP : C'est un protocole qui permet d'interconnecter dès réseaux dès qu'une connexion point à point orientée paquet est offerte par le tunnel. Le L2TP permet une compression des en-têtes et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les données. E. Configuration de l'accès réseau à distance: Nous allons dans cette étape, configurer un serveur VPN. 24

25 25

26 26