Transmission de données

Transmission de données Réseaux : VPN pour Windows 200x Objectifs. On se propose, dans ce TP, de mettre en uvre un réseau VPN afin que les collaborateurs de l entreprise Worldco puissent se connecter au réseau local de l entreprise depuis leur poste personnel connecté au réseau public Internet. Worldco a mis en uvre une solution VPN avec le système d exploitation Windows 2003 pour connecter les utilisateurs d accès distant. Le serveur VPN installé au siège de la société procure des connexions VPN d accès distant au VPN pour les employés. Nous présenterons 2 cas de figure illustrés par 2 activités. Le niveau de sécurité sera différents (avec Active Directory ou non). Présentation Le service Routage et Accès Distant encore appelé RRAS (pour Routing and Remote Access Service) possède deux fonctions principales : Il permet de faire communiquer entre eux des réseaux différents ou des sous-réseaux différents (routage) Il permet à des clients situés dans une zone géographiquement éloignée de l'entreprise d'accéder au réseau interne de l'entreprise (accès à distance) Dans On détaille la mise en place de l'accès à distance avec le service Routage et accès distant de Microsoft Windows 2003 Server. Infrastructure logicielle et matérielle de l'accès à distance Infrastructure logicielle : Pour être mis en place dans un environnement Microsoft, l'accès à distance requiert la présence de plusieurs services : un logiciel d'accès distants client (intégré au système d'exploitation depuis la sortie de Windows 95) le service Routage et Accès distant le service d'annuaire Active Directory Comme nous le verrons ultérieurement, il est possible d'utiliser un service spécifique nommé IAS (Internet Authentification Service) pour centraliser les demandes d'authentification des clients d'accès distant. Infrastructure matérielle : Généralement, une machine dédiée est utilisée pour jouer le rôle de contrôleur de domaine et une autre machine est utilisée exécuter le service Routage et Accès Distant. Voici une topologie réseau type en ce qui concerne l'accès à distance : #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 1/24

Comme le montre le schéma ci-dessus, divers types de réseau peuvent utilisés pour établir la connexion entre l'ordinateur client et le serveur d'accès distant. Les trois principaux sont : les connexions VPN (Virtual Private Network) qui utilisent un réseau public (le plus souvent Internet). les connexions d'accès à distance qui utilisent un Réseau Numérique à Intégration de Service (RNIS), comme par exemple Numéris de l'opérateur téléphonique France Télécom. les connexions sans fil (ou wireless) qui utilisent des technologies basées sur la propagation d'ondes (infrarouge, bluetooth, WiFi, WiMAX,...). En conséquence, plusieurs types de clients sont distinguables : les clients VPN les clients d'accès à distance les clients sans fil Principe de fonctionnement de l'accès à distance L'établissement d'une connexion d'accès à distance passe par plusieurs étapes : Un client contacte le serveur d'accès distant et lui envoie un identifiant avec un mot de passe pour tenter de s'authentifier. Le serveur d'accès distant commence par vérifier si l'identifiant et le mot de passe correspondent à un utilisateur de l'annuaire Active Directory : c'est la phase d'authentification. Si l'utilisateur s'est authentifié avec succès, alors le serveur d'accès distant compare les paramètres de la demande de connexion avec toutes les stratégies d'accès distant existantes. Si les conditions d'une stratégie d'accès distant correspondent avec les paramètres de la demande de connexion, alors le serveur d'accès distant vérifie si l'utilisateur a l'autorisation de se connecter à distance au réseau de l'entreprise : c'est la phase d'autorisation. Si l'utilisateur est autorisé à se connecter à distance au réseau de l'entreprise, alors les conditions du profil d'accès distant de la connexion sont vérifiées. Si toutes les conditions du profil d'accès distant sont vérifiées alors la connexion est autorisée et le client reçoit une adresse IP. Les étapes de l'établissement d'une connexion d'accès à distance #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 2/24

Cahier des charges Pour déployer une solution de réseau privé virtuel (VPN) pour la société Worldco, l administrateur réseau procède à une analyse et prend des décisions relatives à sa conception : configuration des stratégies d accès distant ; configuration des domaines ; configuration de la sécurité. configuration du réseau Les éléments principaux de la configuration réseau sont présentés ci-dessous : L intranet de la société Worldco utilise le réseau privé 152.0.0.0 avec le masque de sous-réseau 255.255.0.0. L ordinateur serveur VPN est directement relié à Internet à l aide d une liaison WAN. L adresse IP de la carte WAN sur Internet est 172.17.10.6. Celle-ci est attribuée à Worldco par le fournisseur de services Internet (ISP). Sur Internet, l adresse IP de la carte WAN est connue sous le nom de domaine vpn.worldco.com si l enregistrement DNS a été réalisé (sinon on utilisera l adresse IP). Le serveur VPN est configuré avec un pool d adresses IP statiques attribuables aux clients d accès distant, formant un sous-ensemble du segment de réseau intranet (un pool d adresses sur le sous-réseau). La figure présente la configuration réseau du serveur VPN de Worldco. Configuration réseau du serveur VPN de Worldco. Configuration générale du serveur Pour configurer le serveur nous allons effectuer les étapes décrites ci-dessous. Basée sur la configuration réseau de l intranet du siège social de la société, la configuration du serveur VPN est la suivante : Installation du matériel sur le serveur VPN. La carte réseau utilisée pour la connexion au segment d intranet et la carte WAN utilisée pour la connexion à Internet sont installées conformément aux instructions du fabricant. Une fois que les pilotes sont installés et opérationnels, les deux cartes apparaissent comme des connexions locales dans le dossier Connexions réseau et accès à distance. Configuration TCP/IP sur les cartes LAN (réseau local) et WAN (réseau étendu). Pour la carte LAN, l'adresse IP 152.0.0.1 avec le masque de sous-réseau 255.255.0.0 est configurée. Pour la carte WAN, l'adresse IP 172.17.10.6 avec le masque de sous-réseau 255.255.0.0 est configurée. Aucune passerelle par défaut n est configurée pour les cartes. Les adresses des serveurs DNS et WINS sont également configurées. Activité 1 : sécurité au niveau utilisateur. Ce cas de figure illustre la connexion d un utilisateur nomade (poste XP connecté à Internet) à une ressource partagée sur un poste de l entreprise. Un serveur VPN (connecté à internet) autorise l accès, pour un utilisateur nomade déclaré sur le serveur VPN (pas de contrôleur de domaine), à la ressource partagée sur le poste de l entreprise. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 3/24

Le serveur VPN. Le serveur est installé avec le système Windows 2003 Server (pas d AD). Il dispose de deux cartes réseaux. Configuration de la première carte réseau (WAN): Propriétés Favoris Réseaux Propriétés connexion Wan Protocole TCP/IP Configuration de la deuxième carte réseau (LAN): Propriétés Favoris Réseaux Propriétés connexion Lan Protocole TCP/IP Lancer la console et activer le service Routage et Accès distant #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 4/24

Il faut taper rrasmgmt.msc dans la boite de dialogue exécuter pour lancer la console Routage et Accès Distant. Pour activer le service, il faut faire un clic droit sur le nom du serveur et cliquer sur Configurer et activer le routage et l'accès distant. L'assistant installation du serveur de routage et d'accès distant se lance. Pour la configuration routage et l accès distant on utilise un assistant et on choisit l option VPN uniquement (on pourrait utiliser la même connexion pour l accès à Internet de l entreprise avec l option 3) : Démarrer Programme Outils d administration Routage et accès distant On précise la carte «externe» du serveur et on fixe une plage d adresses IP (ports) qui sera utilisée par les clients VPN nomades (101 adresses dans notre exemple). Le routage permet d atteindre les emplacements intranet et Internet. Pour atteindre les emplacements intranet, un itinéraire statique est configuré avec les paramètres suivants : Interface : La carte LAN reliée à l intranet Destination : 172.31.0.0 Masque de réseau : 255.255.0.0 #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 5/24

Passerelle : 172.31.0.1 Valeur métrique : 1 Cet itinéraire statique simplifie le routage en récapitulant toutes les destinations sur l intranet. Grâce à l utilisation de cet itinéraire statique, le serveur VPN n a pas besoin d être configuré avec un protocole de routage tel que RIP ou OSPF. Pour atteindre les emplacements Internet, un itinéraire statique est configuré avec les paramètres suivants : Interface : La carte WAN reliée à Internet Destination : 0.0.0.0 Masque de réseau : 0.0.0.0 Passerelle : 0.0.0.0 Valeur métrique : 1 Cet itinéraire statique récapitule toutes les destinations sur Internet. Cet itinéraire permet au serveur VPN de répondre à une connexion VPN de client d accès distant ou de routeur à la demande, n importe où sur Internet. Remarque : Comme la carte WAN crée une connexion point à point vers le fournisseur de services Internet (ISP), vous pouvez saisir n importe quelle adresse de passerelle. L adresse de passerelle 0.0.0.0 est un exemple. 0.0.0.0 correspond à l adresse IP non renseignée. L'assistant se termine. Une fois le service Routage et Accès Distant installé, l'arborescence se complète et on a accès à plus d'options : #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 6/24

Interface Réseau : liste les cartes réseau et les modems actuellement connectés à la machine et permet d'ajouter des connexions de numérotation à la demande. Clients d'accès distant : liste le nombre de clients actuellement connectés au serveur d'accès distant et offre la possibilité de forcer la fermeture des sessions d'accès distants. Ports : Un port est un périphérique virtuel permettant aux clients de se connecter au serveur. Le nombre de ports configurés est paramétrable pour chaque type de connexion. Cette vue permet de constater l'état actif ou inactif de chaque port. Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer les interfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la découverte automatique de routeurs. Cette fenêtre permet aussi de définir une interface en tant qu'agent de relais DHCP. Stratégies d'accès distant : Une stratégie d'accès distant est un ensemble de conditions définissant qui pourra accéder à distance au réseau et quelles seront les caractéristiques de cette connexion. Les critères d'acceptation ou de refus de connexions sont très variés. Il est possible de configurer une stratégie pour refuser ou accepter un connexion suivant une plage horaire, appartenance à un groupe, type de service, protocole utilisé, temps maximum de connexion etc L'ordre de placement des stratégies est très importante car c'est la première stratégie concernée qui servira à accepter ou refuser la connexion. Les stratégies d'accès distant ne sont pas stockées dans l'active Directory, mais dans le fichier local IAS.mdb. Une solution pour appliquer les mêmes stratégies d'accès distant à plusieurs serveurs d'accès distant est d'utiliser un serveur utilisant le protocole RADIUS. Le serveur RADIUS de Microsoft se nomme IAS (Internet Authentification Service) et se présente sous la forme d'un service optionnel. Connexion par accès distant : Cette fenêtre permet de paramétrer la journalisation (emplacement du journal, types d'évènements à enregistrer,...) Il faut maintenant paramétrer le routage qui sera statique dans notre cas : Il faut créer un utilisateur sur le serveur. Ce compte sera utilisé depuis le poste nomade pour valider l accès au travers du serveur VPN. Dans les propriétés de l utilisateur crée (onglet Appel entrant), il faut autoriser l accès distant VPN. Le serveur est maintenant opérationnel. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 7/24

Un poste de l entreprise avec un partage. Configuration de la carte réseau: Propriétés Favoris Réseaux Propriétés connexion Protocole TCP/IP Tester la connexion avec Ping, puis créer un partage pour le poste nomade. Le poste client nomade. Création de la connexion réseau: Propriétés Favoris Réseaux Nouvelle connexion #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 8/24

L utilisateur peut désormais se connecter via VPN et accéder au réseau local de son entreprise et au partage réalisé sur un des postes interne de l entreprise. On observant les propriétés de la connexion VPN du poste client, on voit les paramètres utilisés par défaut : Activité 2 : sécurité au niveau domaine. Dans cette activité, la sécurité est renforcée. L entreprise dispose d un contrôleur de domaine AD qui identifie les utilisateurs. Plusieurs cas sont possibles : L entreprise dispose de plusieurs serveurs et la machine contrôleur de domaine est différente de la machine serveur VPN. Il faudra dans ce cas valider le serveur VPN auprès de l AD du contrôleur de domaine. Le serveur VPN est installé sur un contrôleur de domaine (moins bien au niveau sécurité). Dans ce cas le serveur VPN utilise la sécurité du domaine mais il faudra tout de même valider le serveur VPN auprès d AD. Le serveur. Le serveur est promu en contrôleur de domaine et les comptes et ressources sont mises en place. Lancer la console et activer le service Routage et Accès distant. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 9/24

Il faut taper rrasmgmt.msc dans la boite de dialogue exécuter pour lancer la console Routage et Accès Distant. Pour activer le service, il faut faire un clic droit sur le nom du serveur et cliquer sur Configurer et activer le routage et l'accès distant. L'assistant installation du serveur de routage et d'accès distant se lance. On sélectionne le mode configuration personnalisée pour pouvoir choisir les services que l'on souhaite installer. On sélectionne les services nécessaires. L'assistant se termine. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 10/24

Une fois le service Routage et Accès Distant installé, l'arborescence se complète et on a accès à plus d'options : Interface Réseau : liste les cartes réseau et les modems actuellement connectés à la machine et permet d'ajouter des connexions de numérotation à la demande. Clients d'accès distant : liste le nombre de clients actuellement connectés au serveur d'accès distant et offre la possibilité de forcer la fermeture des sessions d'accès distants. Ports : Un port est un périphérique virtuel permettant aux clients de se connecter au serveur. Le nombre de ports configurés est paramétrable pour chaque type de connexion (par exemple, il est possible de définir un nombre de ports pour les connexions via le protocole PPTP). Cette vue permet de constater l'état actif ou inactif de chaque port. Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer les interfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la découverte automatique de routeurs. Cette fenêtre permet aussi de définir une interface en tant qu'agent de relais DHCP. Stratégies d'accès distant : Une stratégie d'accès distant est un ensemble de conditions définissant qui pourra accéder à distance au réseau et quelles seront les caractéristiques de cette connexion. Les critères d'acceptation ou de refus de connexions sont très variés. Il est possible de configurer une stratégie pour refuser ou accepter un connexion suivant une plage horaire, appartenance à un groupe, type de service, protocole utilisé, temps maximum de connexion etc L'ordre de placement des stratégies est très important car c'est la première stratégie concernée qui servira à accepter ou refuser la connexion. Les stratégies d'accès distant ne sont pas stockées dans l'active Directory, mais dans le fichier local IAS.mdb. Une solution pour appliquer les mêmes stratégies d'accès distant à plusieurs serveurs d'accès distant est d'utiliser un serveur utilisant le protocole RADIUS. Le serveur RADIUS de Microsoft se nomme IAS (Internet Authentification Service) et se présente sous la forme d'un service optionnel. Connexion par accès distant : Cette fenêtre permet de paramétrer la journalisation (emplacement du journal, types d'évènements à enregistrer,...) Les paramètres du serveur d'accès distant #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 11/24

Des paramètres généraux sont accessibles en faisant un clic droit sur le nom du serveur puis en sélectionnant propriétés. Les options intéressantes au niveau de l'accès à distance (les autres options concernent le routage) sont : le choix d'activer ou non l'accès à distance (onglet Général) le choix du protocole utilisé pour l'authentification des utilisateurs (onglet Sécurité) la possibilité de choisir comment le serveur d'accès distant va attribuer les adresses IP aux clients (soit dans un pool d'adresses statique, soit via le protocole DHCP) la possibilité de choisir avec quelle interface réseau le serveur d'accès distant doit obtenir les baux DHCP pour les clients. la possibilité de choisir quels sont les évènements qui seront stockés dans le journal (onglet Enregistrement). Dans notre cas, on n utilise pas DHCP et il faudra définir une plage d adresses pour les clients VPN comme dans le cas de l activité 1. Les protocoles d'authentification Le service Routage et accès distant propose plusieurs protocoles plus ou moins sécurisé pour authentifier les utilisateurs distant : PAP (Password Authentification Protocol) est un protocole non sécurisé car les identifiants et les mots de passe sont envoyés en clair (c'est-à-dire sans cryptage) entre le client et le serveur d'accès distant. SPAP (Shiva Password Authentification Protocol) permet aux machines clientes équipées avec du matériel de marque Shiva de se connecter au serveur d'accès distant. Les mots de passe sont protégés par un cryptage réversible (faible sécurité). CHAP (Challenge Handshake Authentification Protocol) autorise le cryptage des mots de passe envoyés du client vers le serveur d'accès distant. MS-CHAP (Microsoft CHAP) est un protocole propriétaire de Microsoft basé sur CHAP. Il utilise le protocole de cryptage MPPE (Microsoft Point-to-Point Encryption) et est supporté depuis Windows 95. MS-CHAP V2 est une amélioration du protocole MS-CHAP avec des clés de cryptage plus fortes et une authentification mutuelle entre le client et le serveur d'accès distant. Il a été implémenté à partir de Windows 98. EAP (Extensible Authentification Protocol) est un protocole évolutif qui permet d'authentifier du matériel propriétaire de manière sécurisée Configuration du serveur d'accès distant pour fonctionner dans un domaine Pour autoriser un utilisateur à se connecter au réseau interne de l'entreprise, le serveur d'accès distant doit autoriser et authentifier cet utilisateur en comparant l'identifiant et le mot de passe avec les informations contenues dans le service d'annuaire Active Directory. Pour que le serveur d'accès distant puisse se connecter au contrôleur de domaine et effectuer ces actions, deux conditions doivent être remplies : #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 12/24

le serveur d'accès distant doit être membre du domaine. le serveur d'accès distant doit être explicitement autorisé pour accéder aux informations contenues dans le service d'annuaire Active Directory (pour cela il faut utiliser la commande netsh). Autorisation du serveur d'accès distant à l'aide de la commande netsh. Pour qu'un utilisateur puisse se connecter à distance au réseau de l'entreprise, il faut effectuer des modifications au niveau de son compte dans le service d'annuaire Active Directory. Il existe trois types d'autorisations : Autoriser l'accès Refuser l'accès Contrôler l'accès via la stratégie d'accès distant Une stratégie d'accès distant est un ensemble de conditions définissant qui pourra accéder à distance au réseau et quelles seront les caractéristiques de cette connexion. Les critères d'acceptation ou de refus de connexions sont très variés. Il est possible de configurer une stratégie pour refuser ou accepter un connexion suivant une plage horaire, appartenance à un groupe, type de service, protocole utilisé, temps maximum de connexion etc L'ordre de placement des stratégies est très important car c'est la première stratégie concernée qui servira à accepter ou refuser la connexion. Les stratégies d'accès distant ne sont pas stockées dans le service d'annuaire Active Directory, mais dans le fichier local IAS.mdb (situé dans le répertoire c:\windows\system32\isa). Création d'une stratégie d'accès distant les trois types d'autorisations d'accès distant (autoriser / refuser / contrôler avec une stratégie d'accès distant) L'assistant Nouvelle stratégie d'accès distant permet de créer rapidement des stratégies d'accès distant. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 13/24

Il faut commencer par donner un nom à la stratégie et choisir le type de paramétrage. L'assistant propose d'utiliser un scénario prédéfini ou bien de personnaliser totalement la stratégie d'accès distant (réservé aux utilisateurs expérimentés en raison du nombre de protocoles disponibles). Il existe quatre types méthodes d'accès définies par défaut. Dans cet exemple, une connexion VPN (Virtual Private Network) est mise en place. Il faut ensuite sélectionner le ou les groupes qui ont l'autorisation de se connecter à distance. Ensuite, il faut choisir le protocole d'authentification qui sera utilisé (le choix par défaut est le protocole MS- CHAP V2). #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 14/24

Il faut ensuite sélectionner le niveau de cryptage et terminer l'assistant. Paramétrage d'une stratégie d'accès distant Chaque stratégie d'accès distant possède un ordre d'application. Lorsqu'un utilisateur tente d'établir une connexion le serveur d'accès distant compare les stratégies d'accès distant en partant du numéro le plus faible. La première stratégie dont les conditions (planification, type de média,...) correspondent est appliquée. Si aucune stratégie ne concorde alors l'accès est refusée. On peut éditer les paramètres d'une stratégie d'accès distant pour avoir accès à plus d'options. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 15/24

Dans la fenêtre de propriétés de chaque stratégie, les conditions sélectionnées sont récapitulées dans une petite fenêtre. Le bouton Ajouter permet d'implémenter des conditions supplémentaires. Le bouton Modifier le profil permet de mettre en place des conditions avancées pour la connexion. Si les conditions définies dans la fenêtre Conditions de la stratégie sont vérifiées alors le serveur d'accès distant applique les conditions définies dans le profil. Le profil permet donc de filtrer de façon plus fine les demandes d'accès distant. Le profil d'appel entrant permet de sélectionner des options avancées comme : le type de média (RNIS, VPN,...). le protocole d'authentification à utiliser (MS-CHAP V2, EAP,...). le délai d'inactivité de la connexion. la durée maximale d'une connexion. la sélection du niveau de cryptage (aucun, MPPE 40bits, MPPE 56bits ou MPPE 128bits). les plages horaires autorisées pour l'accès à distance. etc... Du point de vue de la sécurité il est recommandé de mettre en place les protocoles d'authentification MS-CHAP V2 ou EAP en utilisant le niveau de cryptage le plus fort (128 bits) afin de minimiser les risques de piratage. De plus il faut mettre en place les conditions horaires les plus strictes (c'est-à-dire interdire l'accès à distance lorsque cela est possible, limiter la durée d'une session et mettre en place une durée d'inactivité faible). #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 16/24

Configuration des clients d'accès à distance et sécurisation de l'accès Une connexion réseau privé virtuel ou VPN (Virtual Private Network) permet à deux entités de communiquer entres-elle de façon sécurisée en passant par un réseau public (non sécurisé) comme Internet. Les réseaux privés virtuels sont souvent utilisés dans le cadre de l'accès à distance car ils permettent à un utilisateur lambda d'accéder aux ressources internes de l'entreprise en utilisant un réseau dont le coût de location est faible (Internet) de manière sécurisée. Pour cela les réseaux privés virtuels utilisent des protocoles spécifiques comme PPTP ou bien encore L2TP/IPSec appelés protocole de tunnel. Les protocoles de tunnel chiffrent les trames de données puis encapsulent ces trames dans des paquets IP qui sont envoyés sur Internet. La sécurité des données est maximale puisque les adresses IP privées (celle du client et du serveur d'accès distant) sont chiffrées. Il est donc impossible pour un utilisateur non autorisé d'avoir accès aux données circulant sur la toile. Les protocoles de cryptage utilisés par PPTP et L2TP sont respectivement MPPE et IPSec. Configurer une connexion VPN sous Windows XP Pour créer une connexion VPN sous Windows XP, affichez la page listant les connexions réseau (clic droit / propriétés sur l'icône favoris réseau) puis lancez l'assistant Nouvelle Connexion et cliquez sur Suivant. Sélectionnez Connexion au réseau d'entreprise. Choisissez : Connexion d'accès à distance si vous souhaitez vous connecter à distance via une ligne RNIS Connexion réseau privé virtuel si vous souhaitez vous connecter au réseau interne de l'entreprise via Internet. Donnez ensuite un nom à la connexion pour pouvoir la reconnaître aisément. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 17/24

Entrez ensuite le nom DNS pleinement qualifié (FQDN) ou bien l'adresse IP du serveur d'accès distant. Cliquez sur Suivant, puis sur Terminer pour quitter l'assistant. Vous devez ensuite saisir l'identifiant et le mot de passe à utiliser pour s'authentifier auprès du serveur d'accès distant. Vous pouvez choisir d'enregistrer ces informations d'authentification ce qui évitera de les ressaisir à l'avenir. Vous pouvez ensuite cliquer sur Se connecter pour établir la connexion VPN #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 18/24

Les propriétés de la connexion permettent de modifier un grand nombre de paramètre comme le protocole d'authentification à utiliser (MS-CHAP V2 est le protocole recommandé pour obtenir une sécurité maximale), les paramètres TCP/IP, l'adresse IP du serveur d'accès distant,... Les paramètres de connexion VPN Dans l onglet Réseau, l option Type du serveur d'accès à distance appelé est définie sur Point-to-Point Tunneling Protocol (PPTP). Cela permet d accroître les performances de connexion. Quand l option Type du serveur d'accès à distance appelé est définie sur Automatique, une association de sécurité (SA) IPSec pour une connexion L2TP est d abord tentée. En configurant la connexion avec PPTP, l association de sécurité IPSec pour une connexion L2TP n est pas tentée. Activité 3 : Renforcer la sécurité avec le serveur IAS. Bien que ce ne soit pas utile dans notre cas (un seul serveur VPN), on présente ici le serveur d authentification Internet (IAS) dont la mise en place est présenté dans le cadre de cette activité. Lorsque l'on dispose de plusieurs serveurs d'accès distant, il peut s'avérer fastidieux de mettre en place une stratégie d'accès uniforme. La solution la plus simple reste de mettre en place un serveur utilisant le protocole RADIUS (pour Remote Authentication Dial-In User Service) qui permet une autorisation et une authentification des utilisateurs distant de manière centralisée. Microsoft a développé son propre serveur RADIUS qui s'intègre à Windows 2003 Server sous la forme d'un service optionnel. Ce service se nomme IAS pour Internet Authentification Service. la centralisation de l'accès distant grâce au service IAS Une fois en place et correctement paramétré le serveur IAS joue le rôle d'intermédiaire entre les serveurs d'accès distant et le contrôleur de domaine Ceci modifie donc les étapes lors de l'établissement d'une connexion d'accès à distance : Un client contacte le serveur d'accès distant et lui envoie un identifiant avec un mot de passe pour tenter d'établir la connexion. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 19/24

Le serveur d'accès distant (qui est un client RADIUS du point de vue du serveur IAS) envoie la demande d'authentification au serveur IAS en UDP via les ports 1812 et 1813. Le serveur IAS exécute les phases d'authentification et d'autorisation auprès d'un contrôleur de domaine Si l'utilisateur distant a correctement été identifié alors le serveur IAS compare les stratégies d'accès distant configurées avec la demande de connexion du client. Si les paramètres de la demande de connexion concordent avec une stratégie d'accès distant alors le serveur IAS envoie un message au serveur d'accès distant qui fournit ensuite une adresse IP au client. Pour lancer l'installation du service IAS, allez dans le panneau de configuration, puis sélectionnez ajout/suppression de programmes. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants de Windows. Dans la première fenêtre de l'assistant Composants de Windows, sélectionnez l'option Services de mise en réseau. Enfin côchez la case Service d'authentification Internet puis cliquez sur OK. Enfin faites suivant pour lancer l'installation d'ias. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 20/24

Une fois le service installé, vous pouvez y accéder en tapant ias.msc dans la boite de dialogue exécuter ou bien en cliquant sur Service d'authentification Internet dans les outils d'administration. Configuration d'ias Voici une capture d'écran de la console Service d'authentification Internet : Client RADIUS Le conteneur Clients RADIUS liste l'ensemble des serveurs d'accès distants qui sont des clients vis-à-vis du serveur IAS. Pour qu'un serveur d'accès distant fasse partie de cette liste, il suffit de l'y ajouter en utilisant l'assistant Ajouter un client RADIUS. Pour ajouter un client RADIUS, il suffit d'entrer son nom de domaine pleinement qualifié (FQDN) ou bien son adresse IP ainsi qu'une chaîne de caractère permettant de le reconnaître facilement. Il faut ensuite choisir le type de technologie RADIUS à utiliser (ici RADIUS standard), une clé partagée (optionnelle) pour crypter les échanges entre le client et le serveur IAS. On peut aussi côcher la case Les #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 21/24

requêtes doivent contenir l'attribut de l'authentificateur de message qui aura pour effet de forcer le client RADIUS à s'authentifier à chaque connexion auprès du serveur IAS en envoyant une signature numérique. Connexion par accès distant Le conteneur Connexion par accès distant permet de configurer la journalisation. Il est par exemple possible de choisir les informations qui seront enregistrées. Mais aussi, l'emplacement, le format et la fréquence d'actualisation du fichier journal. Stratégie d'accès distant Le conteneur Stratégie d'accès distant est identique à celui présent dans la console Routage et accès distant. Il stocke l'ensemble des stratégies d'accès distant disponibles pour chaque serveur d'accès distant. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 22/24

Configuration du serveur d'accès distant pour utiliser IAS Pour que le serveur d'accès distant envoie les demandes d'authentifications vers le serveur IAS, il est nécessaire de modifier leur configuration originelle. Pour cela il faut lancer la console Routage et Accès distant (vous pouvez taper rrasmgmt.msc dans la boite de dialogue exécuter) puis faire un clic droit sur le nom du serveur, puis propriétés. Sectionnez ensuite l'onglet Sécurité et vous devriez accédez à la fenêtre ci-contre. Choisissez Authentification RADIUS dans la liste déroulante Fournisseur d'authentifications, puis cliquez sur le bouton Configurer. Dans la fenêtre Authentification RADIUS, cliquez sur le bouton Ajouter. Vous devez saisir le nom DNS pleinement qualifié du serveur IAS dans le champ réservé à cet effet. Si vous avez choisi d'utilisé une clé pré-partagée lors de l'ajout du serveur d'accès distant dans la liste des client RADIUS du serveur IAS, vous devez saisir la même clé en cliquant sur le bouton Modifier. Si vous avez côché l'option Les requêtes doivent contenir l'attribut de l'authentificateur de message, lors de l'ajout du serveur d'accès distant dans la liste des client RADIUS du serveur IAS, alors vous devez aussi côcher la case Toujours utiliser l'authentificateur de messages. Ainsi à chaque demande d'accès distant, le serveur d'accès distant enverra une signature numérique permettant de l'identifier en tant que client RADIUS auprès du serveur IAS. Vous pouvez éventuellement modifier le port par défaut pour envoyer les messages d'authentification vers le serveur IAS. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 23/24

Une fois toutes ces modifications effectuées vous devez redémarrer le service Routage et accès distant pour que les modifications soient prises en compte. Conclusion : sécuriser les accès distants La console Routage et accès distant (RRAS) regroupe toutes les fonctionnalités nécessaires à la création de connexions d'accès distant. Les méthodes d'accès distant proposées (réseau privé virtuel, sans fil,...) permettent une adaptation à tout les cas de figure envisageables. L'association des profils d'accès distant et des stratégies d'accès distant permet de sécuriser et de réglementer de façon très fine une connexion à travers un réseau public comme Internet. De plus, la mise en place du service IAS facilite la maintenance des stratégies d'accès distant grâce à l'utilisation du protocole RADIUS qui permet la centralisation des requêtes d'authentification. En conclusion, l'infrastructure intégrée à Windows 2000/2003 server permet de mettre en place rapidement un service d'accès à distance fiable, sécurisé et hautement paramétrable. La société Worldco a utilisé des technologies VPN Windows 2003 pour étendre la connectivité d Internet en vue de connecter les utilisateurs distants. Les serveurs VPN et d accès distant Windows 2003, utilisés en association avec le service d authentification Internet, procurent l authentification, l autorisation, la gestion des comptes et l administration centralisées des stratégies d accès distant pour une solution d accès distant VPN. Compte rendu Présenter les différentes activités demandées en précisant les tests effectués à chaque étape. #Niedercorn LT «la Briquerie» 57100 THIONVILLE VPN & page 24/24