8/3/2019 vpn sous 2003

1/28

1

Installation et configuration des vpnsous windows 2003

I- Introduction1-) Prsentation du service routage et accs distant

Le service Routage et Accs Distant encore appel RRAS (pour Routing and Remote Access Service)possde deux fonctions principales :

Il permet de faire communiquer entre-eux des rseaux diffrents ou des sous-rseauxdiffrents (routage)

Il permet des clients situ dans une zone gographiquement loigne de l'entreprised'accder au rseau interne de l'entreprise (accs distance)

Dans cet article nous dtailler la mise en place de l'accs distance avec le service Routage et accsdistant de Microsoft Windows 2003 Server.

2-) Infrastructure logicielle et matrielle de l'accs distance

a/ infrastructure logicielle

Pour tre mis en place dans un environnement Microsoft, l'accs distance requiert la prsence deplusieurs services:

un logiciel d'accs distants client (intgr au systme d'exploitation depuis la sortie deWindows 95)

le service Routage et Accs distant

le service d'annuaire Active Directory

Comme nous le verrons ultrieurement, il est possible d'utiliser un service spcifique nomm IAS(Internet Authentification Service) pour centraliser les demandes d'authentification des clients d'accsdistant.

b/ infrastructure matrielle

Gnralement, une machine ddie est utilise pour jouer le rle de contrleur de domaine et une

autre machine est utilise excuter le service Routage et Accs Distant. Voici une topologie rseautype en ce qui concerne l'accs distance :

8/3/2019 vpn sous 2003

2/28

1

Comme le montre le schma ci-dessus, divers types de rseau peuvent utiliss pour tablir laconnexion entre l'ordinateur client et le serveur d'accs distant. Les trois principaux sont :

les connexions VPN (Virtual Private Network) qui utilisent un rseau public (le plus souvent

Internet). les connexions d'accs distance qui utilisent un Rseau Numrique Intgration de Service

(RNIS), comme par exemple Numris de l'oprateur tlphonique France Tlcom.

les connexions sans fil (ou wireless) qui utilisent des technologies bases sur la propagationd'ondes (infrarouge, bluetooth, WiFi, WiMAX,...).

En consquence, plusieurs types de clients sont distinguables :

les clients VPN

les clients d'accs distance

les clients sans fil

3-) Principe de fonctionnement de l'accs distance

L'tablissement d'une connexion d'accs distance passe par plusieurs tapes :

1. Un client contacte le serveur d'accs distant et lui envoie un identifiant avec un mot de passe

pour tenter de s'authentifier.2. Le serveur d'accs distant commence par vrifier si l'identifiant et le mot de passe

correspondent un utilisateur de l'annuaire Active Directory : c'est la phase d'authentification.3. Si l'utilisateur s'est authentifi avec succs, alors le serveur d'accs distant compare les

paramtres de la demande de connexion avec toutes les stratgies d'accs distant existantes.4. Si les conditions d'une stratgie d'accs distant correspondent avec les paramtres de la

demande de connexion, alors le serveur d'accs distant vrifie si l'utilisateur a l'autorisation dese connecter distance au rseau de l'entreprise : c'est la phase d'autorisation.

5. Si l'utilisateur est autoris se connecter distance au rseau de l'entreprise, alors lesconditions du profil d'accs distant de la connexion sont vrifies.

6. Si toutes les conditions du profil d'accs distant sont vrifies alors la connexion est autoriseet le client reoit une adresse IP.

8/3/2019 vpn sous 2003

3/28

1

les tapes de l'tablissement d'une connexion d'accs distance

II- Configuration gnrale du serveur1-) Lancer la console et activer le service Routage et Accs distant

8/3/2019 vpn sous 2003

4/28

1

Il faut taperrrasmgmt.mscdans la

boite dedialogueexcuterpour lancerla consoleRoutage etAccsDistant.Pour activerle service, ilfaut faire unclic droit surle nom du

serveur etcliquer surConfigureret activer leroutage etl'accsdistant.

L'assistant installation du serveur de routage et d'accs distant se lance.

8/3/2019 vpn sous 2003

5/28

1

On slectionne le mode configuration personnalise pour pouvoir choisir les services que l'on souhaiteinstaller.

On slectionne les services ncessaires.

8/3/2019 vpn sous 2003

6/28

1

L'assistant se termine.

Une fois le service Routage et Accs Distant install, l'arborescence se complte et on a accs plusd'options :

Interface Rseau : liste les cartes rseau et les modemsactuellement connects la machine et permet d'ajouterdes connexions de numrotation la demande.

Clients d'accs distant : liste le nombre de clientsactuellement connects au serveur d'accs distant et offrela possibilit de forcer la fermeture des sessions d'accsdistants.

Ports : Un port est un priphrique virtuel permettant auxclients de se connecter au serveur. Le nombre de portsconfigurs est paramtrable pour chaque type deconnexion (par exemple, il est possible de dfinir un

nombre de ports pour les connexions via le protocolePPTP). Cette vue permet de constater l'tat actif ou inactifde chaque port.

Routage IP : Permet de configurer le routage des paquetsIP. Il est possible ici de configurer les interfaces, d'ajouterdes protocoles (comme le NAT, OSPF ou RIPv2) afin depermettre la dcouverte automatique de routeurs. Cettefentre permet aussi de dfinir une interface en tantqu'agent de relais DHCP.

Stratgies d'accs distant : Une stratgie d'accs distantest un ensemble de conditions dfinissant qui pourraaccder distance au rseau et quelles seront lescaractristiques de cette connexion. Les critres

d'acceptation ou de refus de connexions sont trs varis. Ilest possible de configurer une stratgie pour refuser ou

8/3/2019 vpn sous 2003

7/28

1

accepter un connexion suivant une plage horaire,appartenance un groupe, type de service, protocoleutilis, temps maximum de connexion etc L'ordre deplacement des stratgies est trs importante car c'est lapremire stratgie concerne qui servira accepter ourefuser la connexion. Les stratgies d'accs distant ne

sont pas stockes dans l'active Directory, mais dans lefichier local IAS.mdb. Une solution pour appliquer lesmme stratgies d'accs distant plusieurs serveurd'accs distant est d'utiliser un serveur utilisant leprotocole RADIUS. Le serveur RADIUS de Microsoft senomme IAS (Internet Authentification Service) et seprsente sous la forme d'un service optionnel.

Connexion par accs distant : Cette fentre permet deparamtrer la journalisation (emplacement du journal,types d'vnements enregistrer,...)

2-) Les paramtres du serveur d'accs distant

Des paramtres gnraux sontaccessibles en faisant un clicdroit sur le nom du serveur puisen slectionnantproprits. Les

options intressantes au niveaude l'accs distance (les autresoptions concernent le routage)sont :

o le choix d'activer ou non

l'accs distance(onglet Gnral)

o le choix du protocole

utilis pourl'authentification desutilisateurs (ongletScurit)

o la possibilit de choisir

comment le serveurd'accs distant vaattribuer les adressesIP aux clients (soit dansun pool d'adressesstatique, soit via leprotocole DHCP)

o la possibilit de choisir

avec quelle interfacerseau le serveurd'accs distant doit

obtenir les baux DHCPpour les clients.

8/3/2019 vpn sous 2003

8/28

1

o la possibilit de choisir

quels sont lesvnements qui serontstocks dans le journal(onglet

Enregistrement).

3-) Les protocoles d'authentification

Le service Routage et accs

distant propose plusieursprotocoles plus ou moins scurispour authentifier les utilisateursdistant :

PAP (PasswordAuthentificationProtocol) est un protocolenon scuris car lesidentifiants et les mots depasse sont envoys enclair (c'est--dire sanscryptage) entre le client et

le serveur d'accs distant. SPAP (Shiva Password

AuthentificationProtocol) permet auxmachines clientesquipes avec du matrielde marque Shiva de seconnecter au serveurd'accs distant. Les motsde passe sont protgspar un cryptage rversible(faible scurit).

CHAP (ChallengeHandshakeAuthentificationProtocol) autorise lecryptage des mots depasse envoys du clientvers le serveur d'accsdistant.

MS-CHAP (MicrosoftCHAP) est un protocolepropritaire de Microsoftbas sur CHAP. Il utilisele protocole de cryptage

MPPE (Microsoft Point-to-Point Encryption) et estsupport depuis Windows

8/3/2019 vpn sous 2003

9/28

1

95.

MS-CHAP V2 est uneamlioration du protocoleMS-CHAP avec des clsde cryptage plus fortes etune authentification

mutuelle entre le client etle serveur d'accs distant.Il a t implment partir de Windows 98.

EAP (ExtensibleAuthentificationProtocol) est un protocolevolutif qui permetd'authentifier du matrielpropritaire de manirescurise.

III- Mettre en place une stratgied'accs distant

1-) Configuration du serveur d'accs distant pour fonctionner dans undomaine

Pour autoriser un utilisateur se connecter au rseau interne de l'entreprise, le serveur d'accsdistant doit autoriser et authentifier cet utilisateur en comparant l'identifiant et le mot de passe avec les

informations contenues dans le service d'annuaire Active Directory. Pour que le serveur d'accsdistant puisse se connecter au contrleur de domaine et effectuer ces actions, deux conditions doiventtre remplies :

o le serveur d'accs distant doit tre membre du domaine.

o le serveur d'accs distant doit tre explicitement autoris pour accder aux informations

contenues dans le service d'annuaire Active Directory (pour cela il faut utiliser la commandenetsh).

autorisation du serveur d'accs distant l'aide de la commande netsh.

Pour qu'un utilisateur puisse se connecter distance au rseau de l'entreprise, il faut effectuer desmodification au niveau de son compte dans le service d'annuaire Active Directory. Il existe trois typesd'autorisations :

8/3/2019 vpn sous 2003

10/28

1

o Autoriser l'accs

o Refuser l'accs

o Contrler l'accs via la stratgie d'accs distant

Une stratgie d'accs distant est un ensemble de conditions dfinissant qui pourra accder distance au rseau et quelles seront les caractristiques de cette connexion. Les critres

d'acceptation ou de refus de connexions sont trs varis. Il est possible de configurer unestratgie pour refuser ou accepter un connexion suivant une plage horaire, appartenance un groupe,type de service, protocole utilis, temps maximum de connexion etc L'ordre de placement desstratgies est trs important car c'est la premire stratgie concerne qui servira accepter ourefuser la connexion. Les stratgies d'accs distant ne sont pas stockes dans le service d'annuaireActive Directory, mais dans le fichier local IAS.mdb (situ dans le rpertoire c:\windows\system32\isa).

les trois types d'autorisations d'accs distant(autoriser / refuser / contrler avec une stratgie d'accs distant)

2-) Cration d'une stratgie d'accs distant

L'assistant Nouvelle stratgie d'accs distantpermet de crer rapidement des stratgies d'accsdistant.

8/3/2019 vpn sous 2003

11/28

1

Il faut commencer par donner un nom la stratgie et choisir le type de paramtrage. L'assistantpropose d'utiliser un scnario prdfini ou bien de personnaliser totalement la stratgie d'accs distant(rserv aux utilisateurs expriments en raison du nombre de protocoles disponibles).

Il existe quatre types mthodes d'accs dfinies par dfaut. Dans cet exemple, une connexion VPN(Virtual Private Network) est mise en place.

8/3/2019 vpn sous 2003

12/28

1

Il faut ensuite slectionner le ou les groupes qui ont l'autorisation de se connecter distance.

Ensuite, il faut choisir le protocole d'authentification qui sera utilis (le choix par dfaut est le protocoleMS-CHAP V2).

8/3/2019 vpn sous 2003

13/28

1

Il faut ensuite slectionner le niveau de cryptage et terminer l'assistant.

8/3/2019 vpn sous 2003

14/28

1

3-) Paramtrage d'une stratgie d'accs distant

Chaque stratgie d'accs distant possde un ordre d'application.Lorsqu'un utilisateur tente d'tablir une connexion le serveur d'accsdistant compare les stratgies d'accs distant en partant du numrole plus faible. La premire stratgie dont les conditions (planification,type de mdia, ...) correspondent est applique. Si aucune stratgiene concorde alors l'accs est refuse.

On peut diter les paramtres d'une stratgie d'accs distant pouravoir accs plus d'options.

8/3/2019 vpn sous 2003

15/28

1

Dans la fentre de proprits dechaque stratgie, les conditionsslectionne sont rcapitules dansune petite fentre. Le boutonAjouterpermet d'implmenter des conditionssupplmentaires.

Le bouton Modifier le profilpermet demettre en place des conditionsavances pour la connexion. Si lesconditions dfinies dans la fentreConditions de la stratgie sont vrifisalors le serveur d'accs distantapplique les conditions dfinies dans leprofil. Le profil permet donc de filtrer de

faon plus fine les demandes d'accsdistant.

Le profil d'appel entrant permet de slectionner des options avances comme :

le type de mdia (RNIS, VPN, ...).

le protocole d'authentification utiliser (MS-CHAP V2, EAP, ...).

le dlai d'inactivit de la connexion.

la dure maximale d'une connexion.

la slection du niveau de cryptage (aucun, MPPE 40bits, MPPE 56bits ou MPPE 128bits).

les plages horaires autorises pour l'accs distance.

etc...

Du point de vue de la scurit il est recommand de mettre en place les protocoles d'authentificationMS-CHAP V2 ou EAP en utilisant le niveau de cryptage le plus fort (128 bits) afin de minimiser lesrisques de piratage. De plus il faut mettre en place les conditions horaires les plus strictes (c'est--direinterdire l'accs distance lorsque cela est possible, limiter la dure d'une session et mettre en placeune dure d'inactivit faible).

8/3/2019 vpn sous 2003

16/28

1

IV- Centralisation des clients d'accsdistant l'aide du serveur IAS

1-) Prsentation et installation d'IAS

Lorsque l'on dispose de plusieurs serveurs d'accs distant, il peut s'avrer fastidieux de mettre enplace une stratgie d'accs uniforme. La solution la plus simple reste de mettre en place un serveurutilisant le protocole RADIUS (pour Remote Authentication Dial-In User Service) qui permet uneautorisation et une authentification des utilisateurs distant de manire centralise. Microsoft advelopp son propre serveur RADIUS qui s'intgre Windows 2003 Server sous la forme d'unservice optionnel. Ce service se nomme IAS pour Internet Authentification Service.

8/3/2019 vpn sous 2003

17/28

1

la centralisation de l'accs distant grce au service IAS

Une fois en place et correctement paramtr le serveur IAS joue le rle d'intermdiaire entre lesserveurs d'accs distant et le contrleur de domaine Ceci modifie donc les tapes lors del'tablissement d'une connexion d'accs distance :

1. Un client contacte le serveur d'accs distant et lui envoie un identifiant avec un mot de passepour tenter d'tablir la connexion.

2. Le serveur d'accs distant (qui est un client RADIUS du point de vue du serveur IAS) envoiela demande d'authentification au serveur IAS en UDP via les ports 1812 et 1813.

3. Le serveur IAS excute les phases d'authentification et d'autorisation auprs d'un contrleurde domaine

4. Si l'utilisateur distant a correctement t identifi alors le serveur IAS compare les stratgiesd'accs distant configures avec la demande de connexion du client.

5. Si les paramtres de la demande de connexion concordent avec une stratgie d'accs distantalors le serveur IAS envoie un message au serveur d'accs distant qui fournit ensuite uneadresse IP au client.

Pour lancer l'installation du service IAS, allez dans lepanneau deconfiguration, puis slectionnez ajout/suppression de programmes. Cliquezensuite sur le boutonAjouter ou supprimer des composants de Windows.

Dans la premire fentre de l'assistant Composants de Windows, slectionnez l'option Services demise en rseau.

8/3/2019 vpn sous 2003

18/28

1

Enfin cchez la case Service d'authentification Internetpuis cliquez surOK. Enfin faites suivant pourlancer l'installation d'IAS.

Une fois le service install, vous pouvez y accder en tapant ias.mscdans la boite de dialogueexcuter ou bien en cliquant surService d'authentification Internetdans les outils d'administration.

8/3/2019 vpn sous 2003

19/28

1

2-) Configuration d'IAS

Voici une capture d'cran de la console Service d'authentification Internet:

Client RADIUS

Le conteneur Clients RADIUS liste l'ensemble desserveurs d'accs distants qui sont des clients vis--vis du serveur IAS. Pour qu'un serveur d'accsdistant fasse partie de cette liste, il suffit de l'y ajouteren utilisant l'assistant Ajouter un client RADIUS.

8/3/2019 vpn sous 2003

20/28

1

Pour ajouter un client RADIUS, il suffit d'entrer son nom de domaine pleinement qualifi (FQDN) oubien son adresse IP ainsi qu'une chane de caractre permettant de le reconnatre facilement.

Il faut ensuite choisir le type de technologie RADIUS utiliser (ici RADIUS standard), une cl partage(optionnelle) pour crypter les changes entre le client et le serveur IAS. On peut aussi ccher la caseLes requtes doivent contenir l'attribut de l'authentificateur de message qui aura pour effet de forcer leclient RADIUS s'authentifier chaque connexion auprs du serveur IAS en envoyant une signaturenumrique.

8/3/2019 vpn sous 2003

21/28

1

Connexion par accs distant

Le conteneur Connexion par accs distant permet de configurer la journalisation. Il est par exemplepossible de choisir les informations qui seront enregistres.

Mais aussi, l'emplacement, le format et la frquence d'actualisation du fichier journal.

Stratgie d'accs distant

Le conteneurStratgie d'accs distantest identique celui prsentdans la console Routage et accs distant. Il stocke l'ensemble desstratgies d'accs distant disponibles pour chaque serveur d'accsdistant.

8/3/2019 vpn sous 2003

22/28

1

3-) Configuration du serveur d'accs distant pour utiliser IAS

Pour que les serveur d'accsdistant envoie les demandesd'authentifications vers leserveur IAS, il est ncessairede modifier leur configurationoriginelle. Pour cela il fautlancer la console Routage etAccs distant(vous pouveztaperrrasmgmt.mscdans laboite de dialogue excuter) puisfaire un clic droit sur le nom duserveur, puisproprits.Sectionnez ensuite l'ongletScurit et vous devriezaccdez la fentre ci-contre.

ChoisissezAuthentificationRADIUSdans la liste

droulante Fournisseurd'authentifications, puis cliquezsur le bouton Configurer.

8/3/2019 vpn sous 2003

23/28

1

Dans la fentre AuthentificationRADIUS, cliquez sur le boutonAjouter.

Vous devez saisir le nom DNSpleinement qualifi du serveur IASdans le champ rserv cet effet.

Si vous avez choisi d'utilis unecl pr-partage lors de l'ajout duserveur d'accs distant dans la

liste des client RADIUS du serveurIAS, vous devez saisir la mmecl en cliquant sur le boutonModifier.

Si vous avez cch l'option Lesrequtes doivent contenir l'attributde l'authentificateur de message,lors de l'ajout du serveur d'accsdistant dans la liste des clientRADIUS du serveur IAS, alorsvous devez aussi ccher la caseToujours utiliser l'authentificateur

de messages. Ainsi chaquedemande d'accs distant, leserveur d'accs distant enverraune signature numriquepermettant de l'identifier en tantque client RADIUS auprs duserveur IAS.

Vous pouvez ventuellementmodifier le port par dfaut pourenvoyer les messagesd'authentification vers le serveurIAS.

8/3/2019 vpn sous 2003

24/28

1

Une fois toutes ces modifications effectues vous devez redmarrer le service Routage et accsdistantpour que les modifications soient prises en compte.

V- Configuration des clients d'accs distance et scurisation de l'accs distance

1-) Prsentation du rseau priv virtuel (VPN)

Une connexion rseau priv virtuel ou VPN (Virtual Private Network) permet deux entits decommuniquer entres-elle de faon scurise en passant par un rseau public (non scuris) commeInternet. Les rseaux privs virtuels sont souvent utiliss dans le cadre de l'accs distance car ils

permettent un utilisateur lambda d'accder aux ressources internes de l'entreprise en utilisant unrseau dont le cot de location est faible (Internet) de manire scurise. Pour cela les rseaux privsvirtuels utilisent des protocoles spcifiques comme PPTPou bien encore L2TP/IPSecappelsprotocole de tunnel.

Les protocoles de tunnel chiffrent les trames de donnes puis encapsulent ces trames dans despaquets IP qui sont envoys sur Internet. La scurit des donnes est maximale puisque les adressesIP prives (celle du client et du serveur d'accs distant) sont chiffres. Il est donc impossible pour unutilisateur non autoris d'avoir accs aux donnes circulant sur la toile.

Les protocoles de cryptage utiliss par PPTP et L2TP sont respectivement MPPE et IPSec.

2-) Configurer une connexion VPN sous Windows XP

Pour crer une connexion VPN sous Windows XP, affichez la page listant les connexions rseau (clicdroit / proprits sur l'icne favoris rseau) puis lancez l'Assistant Nouvelle Connexion et cliquez surSuivant. Slectionnez Connexion au rseau d'entreprise.

8/3/2019 vpn sous 2003

25/28

1

Choisissez :

o Connexion d'accs distance si vous souhaitez vous connecter distance via une ligne RNIS

o Connexion rseau priv virtuelsi vous souhaitez vous connecter au rseau interne de

l'entreprise via Internet.

8/3/2019 vpn sous 2003

26/28

1

Donnez ensuite un nom la connexion pour pouvoir la reconnatre aisment.

Entrez ensuite le nom DNS pleinement qualifi (FQDN) ou bien l'adresse IP du serveur d'accsdistant.

8/3/2019 vpn sous 2003

27/28

1

Cliquez surSuivant, puis surTerminerpourquitter l'assistant. Vous devez ensuite saisir

l'identifiant et le mot de passe utiliser pours'authentifier auprs du serveur d'accsdistant. Vous pouvez choisir d'enregistrer cesinformations d'authentification ce qui viterade les ressaisir l'avenir.

Vous pouvez ensuite cliquer sur Seconnecter pour tablir la connexion VPN.

Les proprits de laconnexion permettent demodifier un grand nombrede paramtre comme leprotocoled'authentification utiliser(MS-CHAP V2 est leprotocole recommandpour obtenir une scuritmaximale), lesparamtres TCP/IP,l'adresse IP du serveurd'accs distant, ...

8/3/2019 vpn sous 2003

28/28

1

3-) Scuriser les accs distants

Permettre des utilisateurs distants d'accder aux ressources internes de l'entreprise peut s'avrerrisqu du point de vue de la scurit. Voici un ensemble de rgles simples qui permettent de scuriserau mieux une connexion d'accs distance :

o Centralisez les demandes d'authentifications l'aide d'un serveur RADIUS.

o Scurisez au maximum le trafic entre le serveur RADIUS et les serveurs d'accs distant

(utilisation d'une cl pr-partage, de signatures numriques pour identifier les serveursd'accs distant, d'IPSec pour crypter les changes de donnes,...).

o Configurez les stratgies d'accs distant les plus restrictives possibles (limitez les plages

horaires, paramtrez une dure d'inactivit de la connexion faible, utilisez uniquement lesprotocoles MS-CHAP V2 ou EAP pour authentifier les utilisateurs, utilisez le cryptagemaximal,...)

o Si vous utilisez le protocole L2TP/IPSec mettez en place un systme de certificats.

o Mettez en place une stratgie de groupe verrouillant le compte des utilisateurs distant aprs

un certain nombre de tentatives infructueuses.

Vous pouvez aussi envisager l'installation d'un pare-feu comme ISA Server afin d'augmenter le niveaude scurit du rseau interne de l'entreprise.

VI- ConclusionLa console Routage et accs distant (RRAS) regroupe toutes les fonctionnalits ncessaires lacration de connexions d'accs distant. Les mthodes d'accs distant proposes (rseau priv virtuel,sans fil,...) permettent une adaptation tout les cas de figure envisageables. L'association des profilsd'accs distant et des stratgies d'accs distant permet de scuriser et de rglementer de faon trsfine une connexion travers un rseau public comme Internet. De plus, la mise en place du serviceIAS facilite la maintenance des stratgies d'accs distant grce l'utilisation du protocole RADIUS qui

permet la centralisation des requtes d'authentification.

En conclusion, l'infrastructure intgre Windows 2000/2003 server permet de mettre en placerapidement un service d'accs distance fiable, scuris et hautement paramtrable.