Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2



Documents pareils
Configuration de l'accès distant

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Configuration de Serveur 2003 en Routeur

Transmission de données

Transmission ADSL. Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Le rôle Serveur NPS et Protection d accès réseau

Module 7 : Configuration de l'accès distant

Sécurité GNU/Linux. Virtual Private Network

Configurer ma Livebox Pro pour utiliser un serveur VPN

Mettre en place un accès sécurisé à travers Internet

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Sécurité des réseaux sans fil

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Le protocole RADIUS Remote Authentication Dial-In User Service

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

1. Présentation de WPA et 802.1X

Tutorial VPN. Principales abréviations

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Bac Pro SEN Epreuve E2 Session Baccalauréat Professionnel SYSTEMES ELECTRONIQUES NUMERIQUES. Champ professionnel : Télécommunications et réseaux

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Téléinformatique. Chapitre V : La couche liaison de données dans Internet. ESEN Université De La Manouba

Installation du point d'accès Wi-Fi au réseau

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

réseau Tableaux de bord de la sécurité 2 e édition Cédric Llorens Laurent Levier Denis Valois Avec la contribution de Olivier Salvatori

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

Projet : PcAnywhere et Le contrôle à distance.

DI GALLO Frédéric ADSL. L essentiel qu il faut savoir. PPPOE PPPT Netissi

TP LAN-WAN 2007/2008

Début de la procédure

Administration d un client Windows XP professionnel

Sécurité des réseaux wi fi

Sécurisation du réseau

Configuration du WiFi à l'ensmm

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Le protocole SSH (Secure Shell)

Pare-feu VPN sans fil N Cisco RV120W

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Firewall Net Integrator Vue d ensemble

Accès aux ressources informatiques de l ENSEEIHT à distance

Utilisation des ressources informatiques de l N7 à distance

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

1 PfSense 1. Qu est-ce que c est

Module 1 : Présentation de l'infrastructure réseau de Microsoft Windows 2000


Fiche de l'awt La sécurité informatique

Internet Subscriber Server II. Just plug in... and go to the Internet

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Mise en place d une politique de sécurité

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Service de certificat

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Mise en route d'un Routeur/Pare-Feu

Notice d installation des cartes 3360 et 3365

Configuration de WebDev déploiement Version 7

RX3041. Guide d'installation rapide

Bibliographie. Gestion des risques

MS 2615 Implémentation et support Microsoft Windows XP Professionnel

Cisco RV110W Pare-feu VPN Wireless-N GUIDE D'ADMINISTRATION

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

LAB : Schéma. Compagnie C / /24 NETASQ

Manuel du client de bureau distant de KDE

Mot de passe sécurisé, systèmes d'authentification S/Key et par jeton de contrôle, protocoles d'authentification pour PPP : PAP, CHAP et EAP

Création d une connexion VPN dans Windows XP pour accéder au réseau local de l UQO. Document préparé par le Service des technologies de l information

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Exemple de configuration USG

Installation du client Cisco VPN 5 (Windows)

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

Installation du client Cisco VPN 5 (Windows)

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

How To? Sécurité des réseaux sans fils

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Eric DENIZOT José PEREIRA Anthony BERGER

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Serveur FTP. 20 décembre. Windows Server 2008R2

ETI/Domo. Français. ETI-Domo Config FR

La Solution Crypto et les accès distants

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Connexion à SQL server

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

BTS INFORMATIQUE DE GESTION

TAGREROUT Seyf Allah TMRIM

Licence professionnelle Réseaux et Sécurité Projets tutorés

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Transcription:

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 1.2 Accès distant (dial-in)...2 1.3 VPN...3 1.4 Authentification...4 1.5 Configuration d un réseau privé virtuel (vpn)...6 1.6 Configuration de l'accès réseau à distance...18 1.7 Stratégies d accès distant...28 1.7.1 Autorisation...28 1.7.2 Définir les conditions...29 1.7.3 Profil...31 2011 Hakim Benameurlaine 1

1 Accès distant sur Windows 2008 Server 1.1 Introduction L'accès réseau à distance permet à un utilisateur situé en dehors du réseau, de se connecter à l'environnement réseau au travers du service Accès distant (dial-in) ou d'une connexion VPN (Virtual Private Network). Windows 2008 Server implémente le service Routage et Accès distant, qui donne à un serveur le rôle de serveur d'accès distant. Il implémente également un client d'accès distant et un client VPN, permettant ainsi d'établir réciproquement, des connexions via le protocole PPP et des tunnels PPTP, L2TP. 1.2 Accès distant (dial-in) L accès distant permet à un utilisateur d accéder à un serveur d accès distant via une liaison point à point sur RTC. Le serveur d accès distant joue le rôle de passerelle entre le client d accès distant et le réseau local. Lorsqu un client d accès distant se connecte à un serveur d accès distant, il utilise un protocole de liaison de données approprié au support de communication qu il utilise. Le support de communication peut être : RTC réseau téléphonique commuté. RNIS réseau numérique à intégration de service. Support X25 réseau à commutation de paquets. FRAME-RELAY réseau à commutation de trames. ATM Asynchronous Transfer Mode Support DSL Digital Subscriber Line Les protocoles de liaison de données que support Windows 2008 sont: SLIP (Serial Line Internet Protocol) Ce protocole est utilisé pour se connecter via un modem à un serveur SLIP au travers d une connexion non sécurisée. Il s agit d un vieux standard de communication que l on peut trouver dans les environnements Unix. Le protocole SLIP ne peut encapsuler que de l IP. 2011 Hakim Benameurlaine 2

Windows 2008 Server ne peut pas être configuré comme serveur SLIP mais il inclut un client SLIP. PPP (Point to Point Protocol) C'est une amélioration du SLIP. Il peut encapsuler en dehors des protocoles TCP/IP des protocoles IPX/SPX, NetBEUI. L avantage majeur du protocole PPP est qu il n est pas propriétaire, donc n importe quel client supportant PPP peut se connecter à un serveur d accès distant Windows 2008. 1.3 VPN Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux ressources de son entreprise par exemple, comme s'il était physiquement connecté au LAN de cette dernière. Le serveur VPN nécessite une adresse IP public. Le VPN constitue une extension d'un réseau privé à travers un réseau public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son élément de base. Cependant, il est nécessaire de sécuriser les données qui transitent dans ce type de réseau. Windows 2008 Server utilise deux types de protocoles de tunnel qui sont PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol). L'avantage du VPN par rapport à une connexion d'accès distant est que ce dernier peut s'effectuer via une connexion Internet, alors que l'accès distant nécessite quant à lui une connexion point à point utilisant le RTC ou RNIS, ce qui revient économiquement plus cher. Un autre avantage du VPN est la possibilité d'effectuer une interconnexion de deux réseaux d'entreprise à travers un réseau public. PPTP Il s'agit d'un protocole qui rend possible l'interconnexion des réseaux via un réseau IP. C'est notamment un protocole qui permet l'encapsulation sécurisée sur un réseau public pour créer un VPN. L2TP C'est un protocole qui permet d'interconnecter des réseaux dès qu'une connexion point à point orientée paquet est offerte par le tunnel. Le L2TP 2011 Hakim Benameurlaine 3

permet une compression des en-têtes et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les données. PPTP Propriétaire (Microsoft) Encryptage Microsoft intégré Réseaux IP seulement Antérieur à L2TP L2TP Ouvert IPSEC IP, ATM, X.25 Plus récent Windows 2000 et plus 1.4 Authentification Il est essentiel, lors de l'établissement d une connexion d'accès distant, de procéder à la sécurisation des données qui transitent via un mécanisme d'authentification. Au sein de l'infrastructure Windows 2008 Server, plusieurs protocoles d'authentification sont proposés. Ces méthodes diffèrent essentiellement par leur niveau de sécurité. Il est possible de choisir parmi les protocoles d'authentification suivants : PAP (Password Authentification Protocol) Il s'agit d'une méthode d'authentification peu sécurisée et très simple. Le login et le mot de passe sont envoyés en clair par le client d'accès distant au serveur d'accès distant, qui les comparent aux informations qui sont stockées dans la base SAM locale ou Active Directory. SPAP (Shiva Password Authentification Protocol) Ce protocole est plus sécurisé que le protocole PAP. Il permet de connecter des clients Shiva à un serveur d'accès distant Windows. CHAP (Challenge Handshake Authentification Protocol) Il s'agit d'un protocole crypté conçu pour les échanges de mots de passe via IP ou PPP. Les mots de passes sont stockés en clair sur le client et le serveur. Le client envoie le hash au serveur qui le compare au résultat de son hash. MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) Ce type de protocole est basé sur le même principe que le CHAP à la différence que MS-CHAP stocke les mots de passes de façon cryptée, grâce à MD4 qui est une fonction de hachage. MS-CHAP 2 Il s'agit ici d'une version plus récente du MS-CHAP, qui à la différence du MS-CHAPv1, propose une sécurité plus accrue. EAP (Extensible Authentification Protocol) 2011 Hakim Benameurlaine 4

Il fait référence à un ensemble de protocoles qui apportent une extension aux méthodes d'authentification actuelles. Exemples : o SmartCard (carte + pin). o Authentification Biométrique (empreinte + pin). Pour configurer les Méthodes d authentification : Aller dans les propriétés du serveur, onglet Sécurité : 2011 Hakim Benameurlaine 5

1.5 Configuration d un réseau privé virtuel (vpn) SERVEUR : Nous allons dans cette étape, configurer un serveur VPN. 2011 Hakim Benameurlaine 6

2011 Hakim Benameurlaine 7

Si vous ne disposez pas d au moins deux interfaces réseaux, vous recevrez le message suivant : Si vous disposez de deux interfaces réseaux, vous recevrez le message suivant : 2011 Hakim Benameurlaine 8

2011 Hakim Benameurlaine 9

2011 Hakim Benameurlaine 10

2011 Hakim Benameurlaine 11

CLIENT : 2011 Hakim Benameurlaine 12

2011 Hakim Benameurlaine 13

2011 Hakim Benameurlaine 14

Autoriser l usager pour le serveur VPN: 2011 Hakim Benameurlaine 15

Faire un test de connexion à partir du client : 2011 Hakim Benameurlaine 16

Afficher les connexions sur le serveur VPN: 2011 Hakim Benameurlaine 17

1.6 Configuration de l'accès réseau à distance SERVEUR : 2011 Hakim Benameurlaine 18

2011 Hakim Benameurlaine 19

2011 Hakim Benameurlaine 20

2011 Hakim Benameurlaine 21

Configurer le modem du serveur : 2011 Hakim Benameurlaine 22

2011 Hakim Benameurlaine 23

CLIENT : 2011 Hakim Benameurlaine 24

2011 Hakim Benameurlaine 25

2011 Hakim Benameurlaine 26

Faire un test : 2011 Hakim Benameurlaine 27

1.7 Stratégies d accès distant Les stratégies d accès distant sont utilisées pour accorder ou non l accès aux clients d accès distant ou VPN en se basant sur un ensemble de conditions, d autorisations et de profils. La réussite d une connexion d accès distant ou VPN ne repose pas uniquement sur l acceptation pour un utilisateur d effectuer des appels entrants. On va pouvoir indiquer qu un utilisateur peut établir une connexion uniquement s il utilise un protocole d authentification comme défini dans la stratégie, qu il se connecte selon un horaire donné, etc. 1.7.1 Autorisation Le serveur d accès distant ou VPN vérifie que l utilisateur s authentifiant possède l autorisation d établir une connexion. Les autorisations sont définies à la fois dans les propriétés du compte utilisateur pour lequel on souhaite lui autoriser ou interdire l établissement d une connexion, et dans la stratégie elle-même. Aller dans les propriétés du compte utilisateur, onglet Appel entrant. 2011 Hakim Benameurlaine 28

Trois possibilités sont offertes : Autoriser l accès Si un utilisateur possède cette autorisation alors le profil défini dans la stratégie est appliqué à l utilisateur, et la connexion est établie sauf si une contre-indication apparaît dans le profil. Refuser l accès Si un utilisateur possède cette autorisation, l accès lui est refusé sauf dans le cas où l attribut Ignore-User-Dialin-Properties possède la valeur Vrai. Si L autorisation d accès est refusée alors la connexion écho ue. Contrôler l accès via la stratégie d accès distant Cette option indique que l autorisation de connexion de l utilisateur ne dépend pas des propriétés de son compte mais des autorisations définies dans la stratégie elle-même : L option Refuser l autorisation d accès distant indique que l utilisateur ne pourra pas établir de connexion. L option Accorder l autorisation d accès distant indique que l utilisateur pourra établir de connexion et le profil sera alors appliqué à l utilisateur. 1.7.2 Définir les conditions Pour qu un utilisateur puisse établir une connexion, il doit obligatoirement remplir toutes les conditions définies dans la stratégie. Si une seule des conditions n est pas remplie, alors la connexion échoue. Pour définir les conditions : 1) Aller dans la console Routage et accès distant. 2011 Hakim Benameurlaine 29

2) Dans le conteneur Stratégies d accès distant, éditer une stratégie. 3) Cliquer sur le bouton Ajouter. 4) La liste des conditions que vous pouvez ajouter apparaît. Sélectionner une condition et cliquer sur le bouton Ajouter pour lui attribuer une valeur en fonction de la condition choisie. 2011 Hakim Benameurlaine 30

1.7.3 Profil Si les propriétés de la connexion répondent aux conditions et que l utilisateur possède l autorisation d établir une connexion, il se voit attribuer un profil de connexion qui correspond à un ensemble de propriétés appliquées à la connexion. Le profil peut aussi être un élément permettant de refuser l établissement d une connexion, si certain paramètres du profil entrent en conflit avec la manière dont la connexion a été établie. Par exemple si le protocole d authentification utilisé ne correspond pas avec les indications du profil. Un profil est composé des éléments suivants : 2011 Hakim Benameurlaine 31

Onglet Contraintes pour les appels entrant Permet d indiquer que la connexion peut s établir uniquement selon un horaire donné, définir des délais de connexion, etc. 2011 Hakim Benameurlaine 32

Onglet IP Permet de définir comment les adresses IP seront attribuées aux clients d accès distant ou VPN. Il est aussi possible de définir des filtres d entrée et de sortie pour la connexion établie selon le profil. Ceci permet de définir quels sont les flux qui auront le droit d entrer dans le réseau privé. 2011 Hakim Benameurlaine 33

Onglet Liaison multiples Permet de définir pour les clients d accès distant la prise en charge du protocole BAP. 2011 Hakim Benameurlaine 34

Onglet Authentification Permet de spécifier les méthodes d authentification acceptables pour les clients d accès distant ou VPN. Il faut aussi que le serveur d accès distant prenne en charge ces méthodes d authentification. 2011 Hakim Benameurlaine 35

Onglet Cryptage Permet d indiquer les niveaux de cryptage autorisés pour la connexion. 2011 Hakim Benameurlaine 36

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back