Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Transcription

1 Table des matières 1 Accès distant sur Windows 2008 Server Introduction Accès distant (dial-in) VPN Authentification Configuration d un réseau privé virtuel (vpn) Configuration de l'accès réseau à distance Stratégies d accès distant Autorisation Définir les conditions Profil Hakim Benameurlaine 1

2 1 Accès distant sur Windows 2008 Server 1.1 Introduction L'accès réseau à distance permet à un utilisateur situé en dehors du réseau, de se connecter à l'environnement réseau au travers du service Accès distant (dial-in) ou d'une connexion VPN (Virtual Private Network). Windows 2008 Server implémente le service Routage et Accès distant, qui donne à un serveur le rôle de serveur d'accès distant. Il implémente également un client d'accès distant et un client VPN, permettant ainsi d'établir réciproquement, des connexions via le protocole PPP et des tunnels PPTP, L2TP. 1.2 Accès distant (dial-in) L accès distant permet à un utilisateur d accéder à un serveur d accès distant via une liaison point à point sur RTC. Le serveur d accès distant joue le rôle de passerelle entre le client d accès distant et le réseau local. Lorsqu un client d accès distant se connecte à un serveur d accès distant, il utilise un protocole de liaison de données approprié au support de communication qu il utilise. Le support de communication peut être : RTC réseau téléphonique commuté. RNIS réseau numérique à intégration de service. Support X25 réseau à commutation de paquets. FRAME-RELAY réseau à commutation de trames. ATM Asynchronous Transfer Mode Support DSL Digital Subscriber Line Les protocoles de liaison de données que support Windows 2008 sont: SLIP (Serial Line Internet Protocol) Ce protocole est utilisé pour se connecter via un modem à un serveur SLIP au travers d une connexion non sécurisée. Il s agit d un vieux standard de communication que l on peut trouver dans les environnements Unix. Le protocole SLIP ne peut encapsuler que de l IP Hakim Benameurlaine 2

3 Windows 2008 Server ne peut pas être configuré comme serveur SLIP mais il inclut un client SLIP. PPP (Point to Point Protocol) C'est une amélioration du SLIP. Il peut encapsuler en dehors des protocoles TCP/IP des protocoles IPX/SPX, NetBEUI. L avantage majeur du protocole PPP est qu il n est pas propriétaire, donc n importe quel client supportant PPP peut se connecter à un serveur d accès distant Windows VPN Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux ressources de son entreprise par exemple, comme s'il était physiquement connecté au LAN de cette dernière. Le serveur VPN nécessite une adresse IP public. Le VPN constitue une extension d'un réseau privé à travers un réseau public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son élément de base. Cependant, il est nécessaire de sécuriser les données qui transitent dans ce type de réseau. Windows 2008 Server utilise deux types de protocoles de tunnel qui sont PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol). L'avantage du VPN par rapport à une connexion d'accès distant est que ce dernier peut s'effectuer via une connexion Internet, alors que l'accès distant nécessite quant à lui une connexion point à point utilisant le RTC ou RNIS, ce qui revient économiquement plus cher. Un autre avantage du VPN est la possibilité d'effectuer une interconnexion de deux réseaux d'entreprise à travers un réseau public. PPTP Il s'agit d'un protocole qui rend possible l'interconnexion des réseaux via un réseau IP. C'est notamment un protocole qui permet l'encapsulation sécurisée sur un réseau public pour créer un VPN. L2TP C'est un protocole qui permet d'interconnecter des réseaux dès qu'une connexion point à point orientée paquet est offerte par le tunnel. Le L2TP 2011 Hakim Benameurlaine 3

4 permet une compression des en-têtes et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les données. PPTP Propriétaire (Microsoft) Encryptage Microsoft intégré Réseaux IP seulement Antérieur à L2TP L2TP Ouvert IPSEC IP, ATM, X.25 Plus récent Windows 2000 et plus 1.4 Authentification Il est essentiel, lors de l'établissement d une connexion d'accès distant, de procéder à la sécurisation des données qui transitent via un mécanisme d'authentification. Au sein de l'infrastructure Windows 2008 Server, plusieurs protocoles d'authentification sont proposés. Ces méthodes diffèrent essentiellement par leur niveau de sécurité. Il est possible de choisir parmi les protocoles d'authentification suivants : PAP (Password Authentification Protocol) Il s'agit d'une méthode d'authentification peu sécurisée et très simple. Le login et le mot de passe sont envoyés en clair par le client d'accès distant au serveur d'accès distant, qui les comparent aux informations qui sont stockées dans la base SAM locale ou Active Directory. SPAP (Shiva Password Authentification Protocol) Ce protocole est plus sécurisé que le protocole PAP. Il permet de connecter des clients Shiva à un serveur d'accès distant Windows. CHAP (Challenge Handshake Authentification Protocol) Il s'agit d'un protocole crypté conçu pour les échanges de mots de passe via IP ou PPP. Les mots de passes sont stockés en clair sur le client et le serveur. Le client envoie le hash au serveur qui le compare au résultat de son hash. MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) Ce type de protocole est basé sur le même principe que le CHAP à la différence que MS-CHAP stocke les mots de passes de façon cryptée, grâce à MD4 qui est une fonction de hachage. MS-CHAP 2 Il s'agit ici d'une version plus récente du MS-CHAP, qui à la différence du MS-CHAPv1, propose une sécurité plus accrue. EAP (Extensible Authentification Protocol) 2011 Hakim Benameurlaine 4

5 Il fait référence à un ensemble de protocoles qui apportent une extension aux méthodes d'authentification actuelles. Exemples : o SmartCard (carte + pin). o Authentification Biométrique (empreinte + pin). Pour configurer les Méthodes d authentification : Aller dans les propriétés du serveur, onglet Sécurité : 2011 Hakim Benameurlaine 5

6 1.5 Configuration d un réseau privé virtuel (vpn) SERVEUR : Nous allons dans cette étape, configurer un serveur VPN Hakim Benameurlaine 6

7 2011 Hakim Benameurlaine 7

8 Si vous ne disposez pas d au moins deux interfaces réseaux, vous recevrez le message suivant : Si vous disposez de deux interfaces réseaux, vous recevrez le message suivant : 2011 Hakim Benameurlaine 8

9 2011 Hakim Benameurlaine 9

10 2011 Hakim Benameurlaine 10

11 2011 Hakim Benameurlaine 11

12 CLIENT : 2011 Hakim Benameurlaine 12

13 2011 Hakim Benameurlaine 13

14 2011 Hakim Benameurlaine 14

15 Autoriser l usager pour le serveur VPN: 2011 Hakim Benameurlaine 15

16 Faire un test de connexion à partir du client : 2011 Hakim Benameurlaine 16

17 Afficher les connexions sur le serveur VPN: 2011 Hakim Benameurlaine 17

18 1.6 Configuration de l'accès réseau à distance SERVEUR : 2011 Hakim Benameurlaine 18

19 2011 Hakim Benameurlaine 19

20 2011 Hakim Benameurlaine 20

21 2011 Hakim Benameurlaine 21

22 Configurer le modem du serveur : 2011 Hakim Benameurlaine 22

23 2011 Hakim Benameurlaine 23

24 CLIENT : 2011 Hakim Benameurlaine 24

25 2011 Hakim Benameurlaine 25

26 2011 Hakim Benameurlaine 26

27 Faire un test : 2011 Hakim Benameurlaine 27

28 1.7 Stratégies d accès distant Les stratégies d accès distant sont utilisées pour accorder ou non l accès aux clients d accès distant ou VPN en se basant sur un ensemble de conditions, d autorisations et de profils. La réussite d une connexion d accès distant ou VPN ne repose pas uniquement sur l acceptation pour un utilisateur d effectuer des appels entrants. On va pouvoir indiquer qu un utilisateur peut établir une connexion uniquement s il utilise un protocole d authentification comme défini dans la stratégie, qu il se connecte selon un horaire donné, etc Autorisation Le serveur d accès distant ou VPN vérifie que l utilisateur s authentifiant possède l autorisation d établir une connexion. Les autorisations sont définies à la fois dans les propriétés du compte utilisateur pour lequel on souhaite lui autoriser ou interdire l établissement d une connexion, et dans la stratégie elle-même. Aller dans les propriétés du compte utilisateur, onglet Appel entrant Hakim Benameurlaine 28

29 Trois possibilités sont offertes : Autoriser l accès Si un utilisateur possède cette autorisation alors le profil défini dans la stratégie est appliqué à l utilisateur, et la connexion est établie sauf si une contre-indication apparaît dans le profil. Refuser l accès Si un utilisateur possède cette autorisation, l accès lui est refusé sauf dans le cas où l attribut Ignore-User-Dialin-Properties possède la valeur Vrai. Si L autorisation d accès est refusée alors la connexion écho ue. Contrôler l accès via la stratégie d accès distant Cette option indique que l autorisation de connexion de l utilisateur ne dépend pas des propriétés de son compte mais des autorisations définies dans la stratégie elle-même : L option Refuser l autorisation d accès distant indique que l utilisateur ne pourra pas établir de connexion. L option Accorder l autorisation d accès distant indique que l utilisateur pourra établir de connexion et le profil sera alors appliqué à l utilisateur Définir les conditions Pour qu un utilisateur puisse établir une connexion, il doit obligatoirement remplir toutes les conditions définies dans la stratégie. Si une seule des conditions n est pas remplie, alors la connexion échoue. Pour définir les conditions : 1) Aller dans la console Routage et accès distant Hakim Benameurlaine 29

30 2) Dans le conteneur Stratégies d accès distant, éditer une stratégie. 3) Cliquer sur le bouton Ajouter. 4) La liste des conditions que vous pouvez ajouter apparaît. Sélectionner une condition et cliquer sur le bouton Ajouter pour lui attribuer une valeur en fonction de la condition choisie Hakim Benameurlaine 30

31 1.7.3 Profil Si les propriétés de la connexion répondent aux conditions et que l utilisateur possède l autorisation d établir une connexion, il se voit attribuer un profil de connexion qui correspond à un ensemble de propriétés appliquées à la connexion. Le profil peut aussi être un élément permettant de refuser l établissement d une connexion, si certain paramètres du profil entrent en conflit avec la manière dont la connexion a été établie. Par exemple si le protocole d authentification utilisé ne correspond pas avec les indications du profil. Un profil est composé des éléments suivants : 2011 Hakim Benameurlaine 31

32 Onglet Contraintes pour les appels entrant Permet d indiquer que la connexion peut s établir uniquement selon un horaire donné, définir des délais de connexion, etc Hakim Benameurlaine 32

33 Onglet IP Permet de définir comment les adresses IP seront attribuées aux clients d accès distant ou VPN. Il est aussi possible de définir des filtres d entrée et de sortie pour la connexion établie selon le profil. Ceci permet de définir quels sont les flux qui auront le droit d entrer dans le réseau privé Hakim Benameurlaine 33

34 Onglet Liaison multiples Permet de définir pour les clients d accès distant la prise en charge du protocole BAP Hakim Benameurlaine 34

35 Onglet Authentification Permet de spécifier les méthodes d authentification acceptables pour les clients d accès distant ou VPN. Il faut aussi que le serveur d accès distant prenne en charge ces méthodes d authentification Hakim Benameurlaine 35

36 Onglet Cryptage Permet d indiquer les niveaux de cryptage autorisés pour la connexion Hakim Benameurlaine 36