#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 1/24

Transmission de donnéesRéseaux : VPN pour Windows 200x

Objectifs.On se propose, dans ce TP, de mettre en uvre un réseau VPN afin que les collaborateurs de l’entrepriseWorldco puissent se connecter au réseau local de l’entreprise depuis leur poste personnel connecté au réseaupublic Internet.Worldco a mis en uvre une solution VPN avec le système d’exploitation Windows 2003 pour connecter lesutilisateurs d’accès distant.Le serveur VPN installé au siège de la société procure des connexions VPN d’accès distant au VPN pour lesemployés.Nous présenterons 2 cas de figure illustrés par 2 activités. Le niveau de sécurité sera différents (avec ActiveDirectory ou non).

PrésentationLe service Routage et Accès Distant encore appelé RRAS (pour Routing and Remote Access Service) possèdedeux fonctions principales :

Il permet de faire communiquer entre eux des réseaux différents ou des sous-réseaux différents (routage)

Il permet à des clients situés dans une zone géographiquement éloignée de l'entreprise d'accéder auréseau interne de l'entreprise (accès à distance)

Dans On détaille la mise en place de l'accès à distance avec le service Routage et accès distant de MicrosoftWindows 2003 Server.

Infrastructure logicielle et matérielle de l'accès à distanceInfrastructure logicielle : Pour être mis en place dans un environnement Microsoft, l'accès à distance requiertla présence de plusieurs services :

un logiciel d'accès distants client (intégré au système d'exploitation depuis la sortie de Windows 95)

le service Routage et Accès distantle service d'annuaire Active Directory

Comme nous le verrons ultérieurement, il est possible d'utiliser un service spécifique nommé IAS (InternetAuthentification Service) pour centraliser les demandes d'authentification des clients d'accès distant.

Infrastructure matérielle : Généralement, une machine dédiée est utilisée pour jouer le rôle de contrôleur dedomaine et une autre machine est utilisée exécuter le service Routage et Accès Distant. Voici une topologieréseau type en ce qui concerne l'accès à distance :

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 2/24

Comme le montre le schéma ci-dessus, divers types de réseau peuvent utilisés pour établir la connexion entrel'ordinateur client et le serveur d'accès distant. Les trois principaux sont :

les connexions VPN (Virtual Private Network) qui utilisent un réseau public (le plus souvent Internet).

les connexions d'accès à distance qui utilisent un Réseau Numérique à Intégration de Service (RNIS),comme par exemple Numéris de l'opérateur téléphonique France Télécom.les connexions sans fil (ou wireless) qui utilisent des technologies basées sur la propagation d'ondes(infrarouge, bluetooth, WiFi, WiMAX,...).

En conséquence, plusieurs types de clients sont distinguables :

les clients VPNles clients d'accès à distance

les clients sans filPrincipe de fonctionnement de l'accès à distance

L'établissement d'une connexion d'accès à distancepasse par plusieurs étapes :

Un client contacte le serveur d'accès distant etlui envoie un identifiant avec un mot de passepour tenter de s'authentifier.Le serveur d'accès distant commence parvérifier si l'identifiant et le mot de passecorrespondent à un utilisateur de l'annuaireActive Directory : c'est la phased'authentification.Si l'utilisateur s'est authentifié avec succès,alors le serveur d'accès distant compare lesparamètres de la demande de connexion avectoutes les stratégies d'accès distant existantes.Si les conditions d'une stratégie d'accès distantcorrespondent avec les paramètres de lademande de connexion, alors le serveurd'accès distant vérifie si l'utilisateur al'autorisation de se connecter à distance auréseau de l'entreprise : c'est la phased'autorisation.Si l'utilisateur est autorisé à se connecter àdistance au réseau de l'entreprise, alors lesconditions du profil d'accès distant de laconnexion sont vérifiées.Si toutes les conditions du profil d'accèsdistant sont vérifiées alors la connexion estautorisée et le client reçoit une adresse IP. Les étapes de l'établissement d'une connexion d'accès à distance

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 3/24

Cahier des chargesPour déployer une solution de réseau privé virtuel (VPN) pour la société Worldco, l’administrateur réseauprocède à une analyse et prend des décisions relatives à sa conception :

configuration des stratégies d’accès distant ;

configuration des domaines ;configuration de la sécurité.

configuration du réseauLes éléments principaux de la configuration réseau sont présentés ci-dessous :

L’intranet de la société Worldco utilise le réseau privé 152.0.0.0 avec le masque de sous-réseau255.255.0.0.

L’ordinateur serveur VPN est directement relié à Internet à l’aide d’une liaison WAN.L’adresse IP de la carte WAN sur Internet est 172.17.10.6. Celle-ci est attribuée à Worldco par lefournisseur de services Internet (ISP). Sur Internet, l’adresse IP de la carte WAN est connue sous le nomde domaine vpn.worldco.com si l’enregistrement DNS a été réalisé (sinon on utilisera l’adresse IP).

Le serveur VPN est configuré avec un pool d’adresses IP statiques attribuables aux clients d’accèsdistant, formant un sous-ensemble du segment de réseau intranet (un pool d’adresses sur le sous-réseau).

La figure présente la configuration réseau du serveur VPN de Worldco.

Configuration réseau du serveur VPN de Worldco.

Configuration générale du serveurPour configurer le serveur nous allons effectuer les étapes décrites ci-dessous.Basée sur la configuration réseau de l’intranet du siège social de la société, la configuration du serveur VPN estla suivante :Installation du matériel sur le serveur VPN.La carte réseau utilisée pour la connexion au segment d’intranet et la carte WAN utilisée pour la connexion àInternet sont installées conformément aux instructions du fabricant. Une fois que les pilotes sont installés etopérationnels, les deux cartes apparaissent comme des connexions locales dans le dossier Connexions réseau etaccès à distance.

Configuration TCP/IP sur les cartes LAN (réseau local) et WAN (réseau étendu).Pour la carte LAN, l'adresse IP 152.0.0.1 avec le masque de sous-réseau 255.255.0.0 est configurée. Pour lacarte WAN, l'adresse IP 172.17.10.6 avec le masque de sous-réseau 255.255.0.0 est configurée. Aucunepasserelle par défaut n’est configurée pour les cartes. Les adresses des serveurs DNS et WINS sont égalementconfigurées.

Activité 1 : sécurité au niveau utilisateur.Ce cas de figure illustre la connexion d’un utilisateur nomade (poste XP connecté à Internet) à une ressourcepartagée sur un poste de l’entreprise. Un serveur VPN (connecté à internet) autorise l’accès, pour un utilisateurnomade déclaré sur le serveur VPN (pas de contrôleur de domaine), à la ressource partagée sur le poste del’entreprise.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 4/24

Le serveur VPN.Le serveur est installé avec le système Windows 2003 Server (pas d’AD). Il dispose de deux cartes réseaux.Configuration de la première carte réseau (WAN):

Propriétés Favoris Réseauxà Propriétés connexion Wanà Protocole TCP/IP

Configuration de la deuxième carte réseau (LAN): Propriétés Favoris Réseauxà Propriétés connexion Lanà Protocole TCP/IP

Lancer la console et activer le service Routage et Accès distant

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 5/24

Il faut taper rrasmgmt.msc dans la boite de dialogue exécuter pour lancer la console Routage et Accès Distant.Pour activer le service, il faut faire un clic droit sur le nom du serveur et cliquer sur Configurer et activer leroutage et l'accès distant.

L'assistant installation du serveur de routage et d'accès distant se lance.

Pour la configuration routage et l’accès distant on utilise un assistant et on choisit l’option VPN uniquement (onpourrait utiliser la même connexion pour l’accès à Internet de l’entreprise avec l’option 3) : Démarrerà Programmeà Outils d’administrationà Routage et accès distant

On précise la carte « externe » du serveur et on fixe une plage d’adresses IP (ports) qui sera utilisée par lesclients VPN nomades (101 adresses dans notre exemple).

Le routage permet d’atteindre les emplacements intranet et Internet.Pour atteindre les emplacements intranet, un itinéraire statique est configuré avec les paramètres suivants :

Interface : La carte LAN reliée à l’intranet

Destination : 172.31.0.0Masque de réseau : 255.255.0.0

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 6/24

Passerelle : 172.31.0.1

Valeur métrique : 1Cet itinéraire statique simplifie le routage en récapitulant toutes les destinations sur l’intranet. Grâce àl’utilisation de cet itinéraire statique, le serveur VPN n’a pas besoin d’être configuré avec un protocole deroutage tel que RIP ou OSPF.

Pour atteindre les emplacements Internet, un itinéraire statique est configuré avec les paramètres suivants :Interface : La carte WAN reliée à Internet

Destination : 0.0.0.0Masque de réseau : 0.0.0.0

Passerelle : 0.0.0.0Valeur métrique : 1

Cet itinéraire statique récapitule toutes les destinations sur Internet. Cet itinéraire permet au serveur VPN derépondre à une connexion VPN de client d’accès distant ou de routeur à la demande, n’importe où sur Internet.

Remarque : Comme la carte WAN crée une connexion point à point vers le fournisseur de services Internet(ISP), vous pouvez saisir n’importe quelle adresse de passerelle. L’adresse de passerelle 0.0.0.0 est un exemple.0.0.0.0 correspond à l’adresse IP non renseignée.

L'assistant se termine.

Une fois le service Routage et Accès Distant installé, l'arborescence se complète et on a accès à plus d'options :

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 7/24

Interface Réseau : liste les cartes réseau et les modems actuellement connectés à la machine et permetd'ajouter des connexions de numérotation à la demande.Clients d'accès distant : liste le nombre de clients actuellement connectés au serveur d'accès distant etoffre la possibilité de forcer la fermeture des sessions d'accès distants.Ports : Un port est un périphérique virtuel permettant aux clients de se connecter au serveur. Le nombrede ports configurés est paramétrable pour chaque type de connexion. Cette vue permet de constater l'étatactif ou inactif de chaque port.

Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer lesinterfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la découverteautomatique de routeurs. Cette fenêtre permet aussi de définir une interface en tant qu'agent de relaisDHCP.

Stratégies d'accès distant : Une stratégie d'accès distant est un ensemble de conditions définissant quipourra accéder à distance au réseau et quelles seront les caractéristiques de cette connexion. Les critèresd'acceptation ou de refus de connexions sont très variés. Il est possible de configurer une stratégie pourrefuser ou accepter un connexion suivant une plage horaire, appartenance à un groupe, type de service,protocole utilisé, temps maximum de connexion etc… L'ordre de placement des stratégies est trèsimportante car c'est la première stratégie concernée qui servira à accepter ou refuser la connexion. Lesstratégies d'accès distant ne sont pas stockées dans l'active Directory, mais dans le fichier local IAS.mdb.Une solution pour appliquer les mêmes stratégies d'accès distant à plusieurs serveurs d'accès distant estd'utiliser un serveur utilisant le protocole RADIUS. Le serveur RADIUS de Microsoft se nomme IAS(Internet Authentification Service) et se présente sous la forme d'un service optionnel.

Connexion par accès distant : Cette fenêtre permet de paramétrer la journalisation (emplacement dujournal, types d'évènements à enregistrer,...)

Il faut maintenant paramétrer le routage qui sera statique dans notre cas :

Il faut créer un utilisateur sur le serveur. Ce compte sera utilisé depuis le poste nomade pour valider l’accès autravers du serveur VPN.

Dans les propriétés de l’utilisateur crée (onglet Appel entrant), il faut autoriser l’accès distant VPN.

Le serveur est maintenant opérationnel.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 8/24

Un poste de l’entreprise avec un partage.Configuration de la carte réseau: Propriétés Favoris Réseauxà Propriétés connexionà Protocole TCP/IP

Tester la connexion avec Ping, puis créer un partage pour le poste nomade.

Le poste client nomade.Création de la connexion réseau:

Propriétés Favoris Réseauxà Nouvelle connexion

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 9/24

L’utilisateur peut désormais se connecter via VPN et accéder au réseau local de son entreprise et au partageréalisé sur un des postes interne de l’entreprise.

On observant les propriétés de la connexion VPN du poste client, on voit les paramètres utilisés par défaut :

Activité 2 : sécurité au niveau domaine.Dans cette activité, la sécurité est renforcée. L’entreprise dispose d’un contrôleur de domaine AD qui identifieles utilisateurs. Plusieurs cas sont possibles :

L’entreprise dispose de plusieurs serveurs et la machine contrôleur de domaine est différente de lamachine serveur VPN. Il faudra dans ce cas valider le serveur VPN auprès de l’ AD du contrôleur dedomaine.

Le serveur VPN est installé sur un contrôleur de domaine (moins bien au niveau sécurité). Dans ce casle serveur VPN utilise la sécurité du domaine mais il faudra tout de même valider le serveur VPN auprèsd’AD.

Le serveur.Le serveur est promu en contrôleur de domaine et les comptes et ressources sont mises en place. Lancer laconsole et activer le service Routage et Accès distant.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 10/24

Il faut taper rrasmgmt.msc dans la boite de dialogue exécuter pour lancer la console Routage et Accès Distant.Pour activer le service, il faut faire un clic droit sur le nom du serveur et cliquer sur Configurer et activer leroutage et l'accès distant.

L'assistant installation du serveur de routage et d'accès distant se lance.

On sélectionne le mode configuration personnalisée pour pouvoir choisir les services que l'on souhaite installer.

On sélectionne les services nécessaires.

L'assistant se termine.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 11/24

Une fois le service Routage et Accès Distant installé, l'arborescence se complète et on a accès à plus d'options :

Interface Réseau : liste les cartes réseau et les modems actuellement connectés à la machine et permetd'ajouter des connexions de numérotation à la demande.Clients d'accès distant : liste le nombre de clients actuellement connectés au serveur d'accès distant etoffre la possibilité de forcer la fermeture des sessions d'accès distants.Ports : Un port est un périphérique virtuel permettant aux clients de se connecter au serveur. Le nombrede ports configurés est paramétrable pour chaque type de connexion (par exemple, il est possible dedéfinir un nombre de ports pour les connexions via le protocole PPTP). Cette vue permet de constaterl'état actif ou inactif de chaque port.Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer lesinterfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la découverteautomatique de routeurs. Cette fenêtre permet aussi de définir une interface en tant qu'agent de relaisDHCP.Stratégies d'accès distant : Une stratégie d'accès distant est un ensemble de conditions définissant quipourra accéder à distance au réseau et quelles seront les caractéristiques de cette connexion. Les critèresd'acceptation ou de refus de connexions sont très variés. Il est possible de configurer une stratégie pourrefuser ou accepter un connexion suivant une plage horaire, appartenance à un groupe, type de service,protocole utilisé, temps maximum de connexion etc… L'ordre de placement des stratégies est trèsimportant car c'est la première stratégie concernée qui servira à accepter ou refuser la connexion. Lesstratégies d'accès distant ne sont pas stockées dans l'active Directory, mais dans le fichier local IAS.mdb.Une solution pour appliquer les mêmes stratégies d'accès distant à plusieurs serveurs d'accès distant estd'utiliser un serveur utilisant le protocole RADIUS. Le serveur RADIUS de Microsoft se nomme IAS(Internet Authentification Service) et se présente sous la forme d'un service optionnel.Connexion par accès distant : Cette fenêtre permet de paramétrer la journalisation (emplacement dujournal, types d'évènements à enregistrer,...)

Les paramètres du serveur d'accès distant

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 12/24

Des paramètres généraux sont accessibles en faisant un clic droit sur le nom du serveur puis en sélectionnantpropriétés. Les options intéressantes au niveau de l'accès à distance (les autres options concernent le routage)sont :

le choix d'activer ou non l'accès à distance (onglet Général)le choix du protocole utilisé pour l'authentification des utilisateurs (onglet Sécurité)

la possibilité de choisir comment le serveur d'accès distant va attribuer les adresses IP aux clients (soitdans un pool d'adresses statique, soit via le protocole DHCP)

la possibilité de choisir avec quelle interface réseau le serveur d'accès distant doit obtenir les bauxDHCP pour les clients.

la possibilité de choisir quels sont les évènements qui seront stockés dans le journal (ongletEnregistrement).

Dans notre cas, on n’utilise pas DHCP et il faudra définir une plage d’adresses pour les clients VPN commedans le cas de l’activité 1.

Les protocoles d'authentification

Le service Routage et accès distant propose plusieurs protocoles plus ou moins sécurisé pour authentifier lesutilisateurs distant :

PAP (Password Authentification Protocol) est un protocole non sécurisé car les identifiants et les motsde passe sont envoyés en clair (c'est-à-dire sans cryptage) entre le client et le serveur d'accès distant.SPAP (Shiva Password Authentification Protocol) permet aux machines clientes équipées avec dumatériel de marque Shiva de se connecter au serveur d'accès distant. Les mots de passe sont protégéspar un cryptage réversible (faible sécurité).

CHAP (Challenge Handshake Authentification Protocol) autorise le cryptage des mots de passe envoyésdu client vers le serveur d'accès distant.

MS-CHAP (Microsoft CHAP) est un protocole propriétaire de Microsoft basé sur CHAP. Il utilise leprotocole de cryptage MPPE (Microsoft Point-to-Point Encryption) et est supporté depuis Windows 95.

MS-CHAP V2 est une amélioration du protocole MS-CHAP avec des clés de cryptage plus fortes et uneauthentification mutuelle entre le client et le serveur d'accès distant. Il a été implémenté à partir deWindows 98.EAP (Extensible Authentification Protocol) est un protocole évolutif qui permet d'authentifier dumatériel propriétaire de manière sécurisée

Configuration du serveur d'accès distant pour fonctionner dans un domainePour autoriser un utilisateur à se connecter au réseau interne de l'entreprise, le serveur d'accès distant doitautoriser et authentifier cet utilisateur en comparant l'identifiant et le mot de passe avec les informationscontenues dans le service d'annuaire Active Directory. Pour que le serveur d'accès distant puisse se connecterau contrôleur de domaine et effectuer ces actions, deux conditions doivent être remplies :

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 13/24

le serveur d'accès distant doit être membre du domaine.

le serveur d'accès distant doit être explicitement autorisé pour accéder aux informations contenues dansle service d'annuaire Active Directory (pour cela il faut utiliser la commande netsh).

Autorisation du serveur d'accès distant à l'aide de la commande netsh.

Pour qu'un utilisateur puisse se connecter à distance au réseau de l'entreprise, il faut effectuer des modificationsau niveau de son compte dans le service d'annuaire Active Directory. Il existe trois types d'autorisations :

Autoriser l'accès

Refuser l'accèsContrôler l'accès via la stratégie d'accès distant

Une stratégie d'accès distant est un ensemble de conditions définissant qui pourra accéder à distance au réseauet quelles seront les caractéristiques de cette connexion. Les critères d'acceptation ou de refus de connexionssont très variés. Il est possible de configurer une stratégie pour refuser ou accepter un connexion suivant uneplage horaire, appartenance à un groupe, type de service, protocole utilisé, temps maximum de connexion etc…L'ordre de placement des stratégies est très important car c'est la première stratégie concernée qui servira àaccepter ou refuser la connexion. Les stratégies d'accès distant ne sont pas stockées dans le service d'annuaireActive Directory, mais dans le fichier local IAS.mdb (situé dans le répertoire c:\windows\system32\isa).

les trois types d'autorisations d'accès distant(autoriser / refuser / contrôler avec une stratégie d'accès distant)

Création d'une stratégie d'accès distantL'assistant Nouvelle stratégie d'accès distant permet de créer rapidement des stratégies d'accès distant.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 14/24

Il faut commencer par donner un nom à la stratégie et choisir le type de paramétrage. L'assistant proposed'utiliser un scénario prédéfini ou bien de personnaliser totalement la stratégie d'accès distant (réservé auxutilisateurs expérimentés en raison du nombre de protocoles disponibles).

Il existe quatre types méthodes d'accès définies par défaut. Dans cet exemple, une connexion VPN (VirtualPrivate Network) est mise en place.

Il faut ensuite sélectionner le ou les groupes qui ont l'autorisation de se connecter à distance.

Ensuite, il faut choisir le protocole d'authentification qui sera utilisé (le choix par défaut est le protocole MS-CHAP V2).

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 15/24

Il faut ensuite sélectionner le niveau de cryptage et terminer l'assistant.

Paramétrage d'une stratégie d'accès distant

Chaque stratégie d'accès distant possède un ordre d'application. Lorsqu'unutilisateur tente d'établir une connexion le serveur d'accès distant compare lesstratégies d'accès distant en partant du numéro le plus faible. La premièrestratégie dont les conditions (planification, type de média, ...) correspondentest appliquée. Si aucune stratégie ne concorde alors l'accès est refusée. On peutéditer les paramètres d'une stratégie d'accès distant pour avoir accès à plusd'options.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 16/24

Dans la fenêtre de propriétés de chaque stratégie, les conditions sélectionnées sont récapitulées dans une petitefenêtre. Le bouton Ajouter permet d'implémenter des conditions supplémentaires.

Le bouton Modifier le profil permet de mettre en place des conditions avancées pour la connexion. Si lesconditions définies dans la fenêtre Conditions de la stratégie sont vérifiées alors le serveur d'accès distantapplique les conditions définies dans le profil.

Le profil permet donc de filtrer de façon plus fine les demandes d'accès distant.Le profil d'appel entrant permet de sélectionner des options avancées comme :

le type de média (RNIS, VPN, ...).le protocole d'authentification à utiliser (MS-CHAP V2, EAP, ...).

le délai d'inactivité de la connexion.la durée maximale d'une connexion.

la sélection du niveau de cryptage (aucun, MPPE 40bits, MPPE 56bits ou MPPE 128bits).les plages horaires autorisées pour l'accès à distance.

etc...Du point de vue de la sécurité il est recommandé de mettre en place les protocoles d'authentification MS-CHAPV2 ou EAP en utilisant le niveau de cryptage le plus fort (128 bits) afin de minimiser les risques de piratage. Deplus il faut mettre en place les conditions horaires les plus strictes (c'est-à-dire interdire l'accès à distancelorsque cela est possible, limiter la durée d'une session et mettre en place une durée d'inactivité faible).

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 17/24

Configuration des clients d'accès à distance et sécurisation de l'accèsUne connexion réseau privé virtuel ou VPN (Virtual Private Network) permet à deux entités de communiquerentres-elle de façon sécurisée en passant par un réseau public (non sécurisé) comme Internet. Les réseaux privésvirtuels sont souvent utilisés dans le cadre de l'accès à distance car ils permettent à un utilisateur lambdad'accéder aux ressources internes de l'entreprise en utilisant un réseau dont le coût de location est faible(Internet) de manière sécurisée. Pour cela les réseaux privés virtuels utilisent des protocoles spécifiques commePPTP ou bien encore L2TP/IPSec appelés protocole de tunnel.

Les protocoles de tunnel chiffrent les trames de données puis encapsulent ces trames dans des paquets IP quisont envoyés sur Internet. La sécurité des données est maximale puisque les adresses IP privées (celle du clientet du serveur d'accès distant) sont chiffrées. Il est donc impossible pour un utilisateur non autorisé d'avoir accèsaux données circulant sur la toile.

Les protocoles de cryptage utilisés par PPTP et L2TP sont respectivement MPPE et IPSec.Configurer une connexion VPN sous Windows XP

Pour créer une connexion VPN sous Windows XP, affichez la page listant les connexions réseau (clic droit /propriétés sur l'icône favoris réseau) puis lancez l'Assistant Nouvelle Connexion et cliquez sur Suivant.Sélectionnez Connexion au réseau d'entreprise.

Choisissez :Connexion d'accès à distance si vous souhaitez vous connecter à distance via une ligne RNIS

Connexion réseau privé virtuel si vous souhaitez vous connecter au réseau interne de l'entreprise viaInternet.

Donnez ensuite un nom à la connexion pour pouvoir la reconnaître aisément.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 18/24

Entrez ensuite le nom DNS pleinement qualifié (FQDN) ou bien l'adresse IP du serveur d'accès distant.

Cliquez sur Suivant, puis sur Terminer pour quitter l'assistant. Vous devez ensuite saisir l'identifiant et le motde passe à utiliser pour s'authentifier auprès du serveur d'accès distant. Vous pouvez choisir d'enregistrer cesinformations d'authentification ce qui évitera de les ressaisir à l'avenir.

Vous pouvez ensuite cliquer sur Se connecter pour établir la connexion VPN

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 19/24

Les propriétés de la connexion permettent de modifier un grand nombre de paramètre comme le protocoled'authentification à utiliser (MS-CHAP V2 est le protocole recommandé pour obtenir une sécurité maximale),les paramètres TCP/IP, l'adresse IP du serveur d'accès distant, ...

Les paramètres de connexion VPNDans l’onglet Réseau, l’option Type du serveur d'accès à distance appelé est définie sur Point-to-PointTunneling Protocol (PPTP). Cela permet d’accroître les performances de connexion. Quand l’option Type duserveur d'accès à distance appelé est définie sur Automatique, une association de sécurité (SA) IPSec pour uneconnexion L2TP est d’abord tentée. En configurant la connexion avec PPTP, l’association de sécurité IPSecpour une connexion L2TP n’est pas tentée.

Activité 3 : Renforcer la sécurité avec le serveur IAS.Bien que ce ne soit pas utile dans notre cas (un seul serveur VPN), on présente ici le serveur d’authentificationInternet (IAS) dont la mise en place est présenté dans le cadre de cette activité.Lorsque l'on dispose de plusieurs serveurs d'accès distant, il peut s'avérer fastidieux de mettre en place unestratégie d'accès uniforme. La solution la plus simple reste de mettre en place un serveur utilisant le protocoleRADIUS (pour Remote Authentication Dial-In User Service) qui permet une autorisation et uneauthentification des utilisateurs distant de manière centralisée. Microsoft a développé son propre serveurRADIUS qui s'intègre à Windows 2003 Server sous la forme d'un service optionnel. Ce service se nomme IASpour Internet Authentification Service.

la centralisation de l'accès distant grâce au service IAS

Une fois en place et correctement paramétré le serveur IAS joue le rôle d'intermédiaire entre les serveursd'accès distant et le contrôleur de domaine Ceci modifie donc les étapes lors de l'établissement d'une connexiond'accès à distance :

Un client contacte le serveur d'accès distant et lui envoie un identifiant avec un mot de passe pour tenterd'établir la connexion.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 20/24

Le serveur d'accès distant (qui est un client RADIUS du point de vue du serveur IAS) envoie lademande d'authentification au serveur IAS en UDP via les ports 1812 et 1813.Le serveur IAS exécute les phases d'authentification et d'autorisation auprès d'un contrôleur de domaine

Si l'utilisateur distant a correctement été identifié alors le serveur IAS compare les stratégies d'accèsdistant configurées avec la demande de connexion du client.

Si les paramètres de la demande de connexion concordent avec une stratégie d'accès distant alors leserveur IAS envoie un message au serveur d'accès distant qui fournit ensuite une adresse IP au client.

Pour lancer l'installation du service IAS, allez dans le panneau de configuration, puis sélectionnezajout/suppression de programmes. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants deWindows.

Dans la première fenêtre de l'assistant Composants de Windows, sélectionnez l'option Services de mise enréseau.

Enfin côchez la case Service d'authentification Internet puis cliquez sur OK. Enfin faites suivant pour lancerl'installation d'IAS.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 21/24

Une fois le service installé, vous pouvez y accéder en tapant ias.msc dans la boite de dialogue exécuter ou bienen cliquant sur Service d'authentification Internet dans les outils d'administration.

Configuration d'IASVoici une capture d'écran de la console Service d'authentification Internet :

Client RADIUSLe conteneur Clients RADIUS liste l'ensemble des serveurs d'accès distants qui sont des clients vis-à-vis duserveur IAS. Pour qu'un serveur d'accès distant fasse partie de cette liste, il suffit de l'y ajouter en utilisantl'assistant Ajouter un client RADIUS.

Pour ajouter un client RADIUS, il suffit d'entrer son nom de domaine pleinement qualifié (FQDN) ou bien sonadresse IP ainsi qu'une chaîne de caractère permettant de le reconnaître facilement.

Il faut ensuite choisir le type de technologie RADIUS à utiliser (ici RADIUS standard), une clé partagée(optionnelle) pour crypter les échanges entre le client et le serveur IAS. On peut aussi côcher la case Les

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 22/24

requêtes doivent contenir l'attribut de l'authentificateur de message qui aura pour effet de forcer le clientRADIUS à s'authentifier à chaque connexion auprès du serveur IAS en envoyant une signature numérique.

Connexion par accès distantLe conteneur Connexion par accès distant permet de configurer la journalisation. Il est par exemple possible dechoisir les informations qui seront enregistrées.

Mais aussi, l'emplacement, le format et la fréquence d'actualisation du fichier journal.

Stratégie d'accès distantLe conteneur Stratégie d'accès distant est identique à celui présent dans la console Routage et accès distant. Ilstocke l'ensemble des stratégies d'accès distant disponibles pour chaque serveur d'accès distant.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 23/24

Configuration du serveur d'accès distant pour utiliser IASPour que le serveur d'accès distant envoie les demandes d'authentifications vers le serveur IAS, il est nécessairede modifier leur configuration originelle. Pour cela il faut lancer la console Routage et Accès distant (vouspouvez taper rrasmgmt.msc dans la boite de dialogue exécuter) puis faire un clic droit sur le nom du serveur,puis propriétés. Sectionnez ensuite l'onglet Sécurité et vous devriez accédez à la fenêtre ci-contre.

Choisissez Authentification RADIUS dans la liste déroulante Fournisseur d'authentifications, puis cliquez sur lebouton Configurer.

Dans la fenêtre Authentification RADIUS, cliquez sur le bouton Ajouter.Vous devez saisir le nom DNS pleinement qualifié du serveur IAS dans le champ réservé à cet effet.

Si vous avez choisi d'utilisé une clé pré-partagée lors de l'ajout du serveur d'accès distant dans la liste des clientRADIUS du serveur IAS, vous devez saisir la même clé en cliquant sur le bouton Modifier.

Si vous avez côché l'option Les requêtes doivent contenir l'attribut de l'authentificateur de message, lors del'ajout du serveur d'accès distant dans la liste des client RADIUS du serveur IAS, alors vous devez aussi côcherla case Toujours utiliser l'authentificateur de messages. Ainsi à chaque demande d'accès distant, le serveurd'accès distant enverra une signature numérique permettant de l'identifier en tant que client RADIUS auprès duserveur IAS.Vous pouvez éventuellement modifier le port par défaut pour envoyer les messages d'authentification vers leserveur IAS.

#Niedercorn LT « la Briquerie » 57100 THIONVILLE VPN & page 24/24

Une fois toutes ces modifications effectuées vous devez redémarrer le service Routage et accès distant pour queles modifications soient prises en compte.

Conclusion : sécuriser les accès distantsLa console Routage et accès distant (RRAS) regroupe toutes les fonctionnalités nécessaires à la création deconnexions d'accès distant. Les méthodes d'accès distant proposées (réseau privé virtuel, sans fil,...) permettentune adaptation à tout les cas de figure envisageables. L'association des profils d'accès distant et des stratégiesd'accès distant permet de sécuriser et de réglementer de façon très fine une connexion à travers un réseau publiccomme Internet.

De plus, la mise en place du service IAS facilite la maintenance des stratégies d'accès distant grâce àl'utilisation du protocole RADIUS qui permet la centralisation des requêtes d'authentification.

En conclusion, l'infrastructure intégrée à Windows 2000/2003 server permet de mettre en place rapidement unservice d'accès à distance fiable, sécurisé et hautement paramétrable.

La société Worldco a utilisé des technologies VPN Windows 2003 pour étendre la connectivité d’Internet envue de connecter les utilisateurs distants. Les serveurs VPN et d’accès distant Windows 2003, utilisés enassociation avec le service d’authentification Internet, procurent l’authentification, l’autorisation, la gestion descomptes et l’administration centralisées des stratégies d’accès distant pour une solution d’accès distant VPN.

Compte renduPrésenter les différentes activités demandées en précisant les tests effectués à chaque étape.