CONTEXTE GSB - MISSION NUMERO HUIT CONFIGURER UN ACCES DISTANT SECURISE A UNE RESSOURCE LOCALE DE GSB Préambule GSB veut donner un accès distant sécurisé aux ordinateurs locaux de leurs collaborateurs nomades. Ainsi ceux-ci pourront facilement, quel que soit l'endroit où ils se trouvent accéder à toutes leurs ressources locales. Vous êtes chargés d'élaborer le prototype de la solution. Le prototype sera considéré comme valide si un poste distant peut ouvrir un bureau distant sur le poste local et que vous démontrez que cet échange est sécurisé dans un tunnel VPN. Objectifs de la 8 ème mission Il y a 3 grandes étapes dans la mission : mise en place de l'infrastructure actifs et adressage du prototype mise en place des services (serveur VPN, client VPN, bureau à distance) validation (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de trames montrant le tunnel) Le prototype est simplifié par rapport à la réalité et au plan d adressage de GSB. Ainsi par exemple le serveur VPN fait aussi office de serveur AD et restera dans le VLAN Serveurs, alors qu un serveur VPN se trouve généralement dans une DMZ ; un serveur AD ne devrait pas s y trouver. Compte rendu : Un compte rendu sous Word montrant les différentes étapes commentées (imprime-écran), les tests de validation, et répondant de façon argumentée aux dernières questions doit être rédigées il doit intégrer les analyses de trames commentées. LMD 1
Schéma du prototype Matériel nécessaire : 2 switchs 3750 préconfigurés (voir script en annexe). 2 routeurs (1841 et 2911) 1 câble croisé ou un hub entre les 2 routeurs 6 PC sous Windows seven 1 Serveur 2008 R2 (serveur VPN et AD) dans la ferme. VLAN et connexions : Salle A o Un commutateur d accès préconfiguré connecté au port serveur o les postes ne sont pas placés dans les VLAN o le routeur InterVlan est connecté au port trunk de l équipe (voir script) o la liaison inter-routeur doit être gérée. o Le poste analyseur est connecté au port monitoré de l équipe (voir script) Salle B o Un commutateur d accès préconfiguré connecté au port serveur o les postes Admin et Tests sont placés dans le VLAN Admin o Le poste analyseur est connecté au port monitoré de l équipe (voir script) Ferme de serveurs o Un serveur 2008 R2 (serveur VPN et AD) Adressage : Respecter le plan d adressage des VLAN pour les postes et les routeurs La connexion inter-routeur se fera sur le réseau 88.88.88.0/30 Routeur internet 88.88.88.2 Routeur inter vlan 88.88.88.1 Poste d accès distant 200.100.40.10/24 Routeur Internet 200.100.40.254/24 Serveur AD/VPN : 172.16.X.53 /16 (x= n de groupe) LMD 2
Travail à faire 1. Mise en place de l'infrastructure actifs et adressage salle A Le commutateur d accès est configuré par l équipe technique profs. Sur le routeur inter-vlan, il faut déclarer les interfaces mais aussi le NAT/PAT et la redirection vers le serveur VPN (port 1723). Sur le routeur Internet, il faut déclarer les règles de filtrage qui empêchent le routage des adresses privées. Il faut configurer le client VPN. Voir les différentes annexes. 2. Mise en place des services (serveur VPN, client VPN, bureau à distance) salle B Il y a 2 choses à faire : configurer le serveur VPN configurer le poste offrant le bureau à distance Voir les différentes annexes. 3. Validations (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de trames montrant le tunnel) Pour capturer les différents échanges dans le réseau local, il faut placer des analyseurs de trames sur les ports monitorés correspondant aux équipes (voir script). Les éléments suivants permettent de valider la solution Vérification dhcp VPN l adresse du poste distant doit être donnée par le serveur VPN dans le plan d'adressage de ce serveur. Vérification accès poste local (Vlan 1x et 3x) à partir du poste distant On «ping» sur les 2 postes du réseau local (PC admin et PC test VPN) et aussi sur le serveur. On observe dans l'échange que le «ping» vers le poste dans l'intranet est bien relayé par le serveur VPN Ouverture bureau distant On lance un «ping» à partir du bureau distant du poste test VPN ouvert sur le poste distant vers le serveur ou vers le poste admin. Réfléchissez à ce qu implique cet échange. Que capture-t-on? LMD 3
Mais il faut aussi comprendre ce qui se passe, en répondant aux questions suivantes : Pourquoi le poste distant doit-il obtenir une adresse dans le réseau du serveur VPN et non dans le réseau du poste bureau Distant? Sur quelle liaison l'échange est-t-il "tunnelisé"? Quels sont les 2 extrémités du tunnel? Quels sont les protocoles au dessus D'IP utilisés pour la connexion VPN puis pour le tunnel VPN? Quel est le poste qui communique directement avec le poste Bureau Distant? Dans l'échange Client distant/bureau distant quelle est la partie tunnelisée et la partie non tunnelisée? Quel sont les 2 fonctions principales du serveur VPN? LMD 4
ANNEXES Configuration du serveur VPN Il s'agit d'un serveur 2008R2. Pour pouvoir installer les stratégies d'accès réseau, il faut qu'il soit contrôleur de domaine. Utilisez le serveur AD 2008R2 dont vous disposez. Attention dans les écrans suivants, le serveur s'appelle W8SISR5LAB il fait partie du domaine SISR5.org. Son adresse IP est pour vous 172.16.X.53 ici, mais dans les copies d écran l adresse est 172.16.100.10. Modifier systématiquement 100 par X et.10 par.53. Travail à faire : Il faut installer le rôle prenant en charge le service de connexion VPN (rappel : Il faut que l'ad soit installée pour accéder à ce rôle) c est un problème de sécurité puisque on doit choisir entre mettre l AD dans la DMZ ou mettre le serveur VPN dans le Vlan serveurs ce que nous avons fait ici. Une fois le rôle installé, il faut le configurer et le démarrer LMD 5
On choisit bien entendu VPN Attention à ce que le service démarre bien. Il faut maintenant accéder aux propriétés du service LMD 6
Sur l'onglet IPV4 on va définir une plage d'adresses pour donner des adresses aux clients VPN autorisés à se connecter. Les autres propriétés sont intéressantes à observer. Notamment on voit que les accès distants sont gérés par des ports virtuels auxquels sont associés des protocoles. LMD 7
2 types de port nous intéressent SSTP et PPTP (Secure Socket Tunneling Protocol et Point To Point Tunneling Protocol). Il faut maintenant créer dans l'ad un utilisateur qui se connectera à distance (utivpn/utivpn) Et l'autoriser à se connecter à distance LMD 8
Configuration du client VPN Choisir "configurer une nouvelle connexion ou un nouveau réseau puis "connexion à votre espace de travail" Choisir "Utiliser ma connexion Internet (VPN)" Choisir "Je configurerai une connexion Internet ultérieurement". LMD 9
On donne l'adresse publique du routeur et un nom à la connexion 88.88.88.1 On donne l'identifiant de l'utilisateur qui a les droits de connexion distante. On constate maintenant la présence d'une nouvelle connexion (géré encore une fois par un port virtuel). On peut observer les propriétés de cette connexion. On voit d'ailleurs que le protocole sera choisi automatiquement entre les bouts du VPN. LMD 10
On se connecte On constate avec ipconfig que la connexion a reçu une adresse IP dans la plage prévue (attention la capture suivante a été fait après différents tests c'est pourquoi on a 202). Et que cette adresse lui permet de communiquer avec le réseau 172.16.100.0/24 Coté serveur VPN on doit voir l'utilisateur connecté LMD 11
Configuration du bureau distant sur le poste dans l'intranet On paramètre maintenant le poste qui offre son bureau distant. Il faut sélectionner "N'autoriser ". Attention se poste doit être intégré à l'ad. On sélectionne l'utilisateur "utivpn" ce qui nécessite une authentification administrateur On doit obtenir le résultat suivant : Tes de connexion : On peut maintenant ouvrir un bureau distant à partir du client VPN. LMD 12
Observations Sur le serveur VPN Quand un poste est connecté au VPN on va trouver cela (attention ici changement d'adresse car capture fait à un autre moment) après un ipconfig Et si on affiche la table de routage, on note le routage vers un poste précis (masque 255.255.255.255) Notons au passage l'adresse MAC de la carte du serveur car elle sera importante dans nos analyses de trames. LMD 13
SCRIPT commutateur d accès #profs vlan 309 name GSB15-9-Serveurs vlan 409 name GSB15-9-DMZ vlan 19 name GSB15-9-ResauxSystemes end int range fa1/0/37-38 switchport access vlan 309 int range fa1/0/38-40 switchport access vlan 409 int range fa1/0/41-42 switchport access vlan 19 end #trunk acccès Ferme int fa 1/0/48 switchport trunk encapsulation dot1q switchport mode trunk end #trunk routeur par équipe int fa 1/0/31-36 switchport trunk encapsulation dot1q switchport mode trunk end #monitor session par equipe conf monitor session 1 source interface fa 1/0/31 monitor session 1 destination interface fa 1/0/41 encapsulation replicate monitor session 2 source interface fa 1/0/32 monitor session 2 destination interface fa 1/0/42 encapsulation replicate monitor session 3 source interface fa 1/0/33 monitor session 3 destination interface fa 1/0/43 encapsulation replicate monitor session 4 source interface fa 1/0/34 monitor session 4 destination interface fa 1/0/44 encapsulation replicate monitor session 5 source interface fa 1/0/35 monitor session 5 destination interface fa 1/0/45 encapsulation replicate monitor session 6 source interface fa 1/0/36 monitor session 6 destination interface fa 1/0/46 encapsulation replicate end #equipe 1 vlan 11 name GSB1_RESEAUX_SYSTEMES vlan 301 name GSB1_SERVEURS vlan 401 name GSB1_DMZ int range fa1/0/1-2 switchport access vlan 301 int range fa1/0/3-4 switchport access vlan 401 int range fa1/0/5-6 switchport access vlan 11 #equipe 2 vlan 302 name GSB2_SERVEURS vlan 402 name GSB2_DMZ vlan 12 name GSB2_RESEAUX_SYSTEMES int range fa 1/0/7-12 int range fa 1/0/7-8 switchport access vlan 302 int range fa 1/0/9-10 switchport access vlan 402 int range fa 1/0/11-12 switchport access vlan 12 #equipe 3 vlan 303 name GSB3_SERVEURS vlan 403 name GSB3_DMZ vlan 13 name GSB3_RESEAUX_SYSTEMES int range fa 1/0/13-18 int range fa 1/0/13-14 switchport access vlan 303 int range fa 1/0/15-16 switchport access vlan 403 int range fa 1/0/17-18 switchport access vlan 13 #equipe 4 vlan 404 name GSB4-DMZ vlan 304 name GSB4-SERVEURS vlan 14 name GSB4-RESEAU-SYSTEME in range fa1/0/19-20 sw mode access sw access vlan 404 in range fa1/0/21-22 sw mode access sw access vlan 304 in range fa1/0/23-24 sw mode access sw access vlan 14 #equipe 5 vlan 305 name GSB5_SERVEURS int range fa1/0/25-26 switchport access vlan 305 ex vlan 405 name GSB5_DMZ int range fa1/0/27-28 switchport access vlan 405 ex vlan 15 name GSB5_RESEAUX_SYSTEMES int range fa1/0/29-30 switchport access vlan 15 end #equipe6 vlan 306 name GB6-SERVEURS vlan 406 name GB6-DMZ vlan 16 name GB6-RESEAUX_SYSTEMES int range fa1/0/33-34 switchport access vlan 406 int range fa1/0/31-32 switchport access vlan 306 int range fa1/0/35-36 switchport access vlan 16 LMD 14