05 ws2008

2011 Hakim Benameurlaine 1
Table des matires

1 Accs distant sur Windows 2008 Server ............................................................................2
1.1 Introduction ............................................................................................................2
1.2 Accs distant (dial-in) ...............................................................................................2
1.3 VPN.........................................................................................................................3
1.4 Authentification.......................................................................................................4
1.5 Configuration dun rseau priv virtuel (vpn).............................................................6
1.6 Configuration de l'accs rseau distance...............................................................18
1.7 Stratgies daccs distant .......................................................................................28
1.7.1 Autorisation ...................................................................................................28
1.7.2 Dfinir les conditions ......................................................................................29
1.7.3 Profil..............................................................................................................31

1 Accs distant sur Windows 2008 Server
1.1 Introduction
L'accs rseau distance permet un utilisateur situ en dehors du
rseau, de se connecter l'environnement rseau au travers du service
Accs distant (dial-in) ou d' une connexion VPN (Virtual Pri vate Network).
Windows 2008 Server implmente le service Routage et Accs
distant, qui donne un serveur le rle de serveur d'accs distant.
Il implmente galement un client d'accs distant et un client VPN,
permettant ainsi d'tablir rciproquement, des connexions via le protocole
PPP et des tunnels PPTP, L2TP.
1.2 Accs distant (dial-in)
Laccs distant permet un utilisateur daccder un serveur daccs distant via
une liaison point point sur RTC.
Le serveur daccs distant joue le rle de passerelle entre le client daccs distant
et le rseau local.
Lorsquun client daccs distant se connecte un serveur daccs distant, il utilise
un protocole de liaison de donnes appropri au support de communication quil
utilise.
Le support de communication peut tre :
RTC rseau tlphonique commut.
RNIS rseau numrique intgration de service.
Support X25 rseau commutation de paquets.
FRAME-RELAY rseau commutation de trames.
ATM Asynchronous Transfer Mode
Support DSL Digital Subscriber Line
Les protocoles de liaison de donnes que support Windows 2008 sont:
SLIP (Serial Line Internet Protocol)
Ce protocole est utilis pour se connecter via un modem un serveur
SLIP au travers dune connexion non scurise. Il sagit dun vieux
standard de communication que lon peut trouver dans les
environnements Uni x. Le protocole SLIP ne peut encapsuler que de
l IP.
Windows 2008 Server ne peut pas tre configur comme serveur
SLIP mais il inclut un client SLIP.
PPP (Point to Point Protocol)
C'est une amlioration du SLIP. Il peut encapsuler en dehors des
protocoles TCP/IP des protocoles IPX/SPX, NetBEUI.
Lavantage majeur du protocole PPP est quil nest pas propritaire,
donc nimporte quel client supportant PPP peut se connecter un
serveur daccs distant Wi ndows 2008.
1.3 VPN
Le VPN (Virtual Pri vate Network), permet un utilisateur d'accder aux
ressources de son entreprise par exemple, comme s'il tait physiquement
connect au LAN de cette dernire. Le serveur VPN ncessite une adresse
IP public.
Le VPN constitue une extension d' un rseau pri v travers un rseau
public. De ce fait, le VPN n'est dot d'aucune mesure de scurit dans son
lment de base.
Cependant, il est ncessaire de scuriser les donnes qui transitent dans
ce type de rseau.
Windows 2008 Server utilise deux types de protocoles de tunnel qui sont
PPTP (Point-to-Point Tunneli ng Protocol) et L2TP (Layer Two Tunneling
Protocol).
L'avantage du VPN par rapport une connexion d'accs distant est que ce
dernier peut s'effectuer via une connexion Internet, alors que l'accs distant
ncessite quant lui une connexion poi nt point uti lisant le RTC ou RNIS,
ce qui revient conomiquement plus cher.
Un autre avantage du VPN est la possibilit d'effectuer une interconnexion
de deux rseaux d'entreprise travers un rseau public.
PPTP
Il s'agit d' un protocole qui rend possible l'interconnexion des rseaux via
un rseau IP. C'est notamment un protocole qui permet l'encapsulation
scurise sur un rseau public pour crer un VPN.
L2TP
C'est un protocole qui permet d'interconnecter des rseaux ds qu' une
connexion poi nt poi nt oriente paquet est offerte par le tunnel. Le L2TP
permet une compression des en-ttes et une authentification en tunnel. Il
utilise aussi IPSec afin de crypter les donnes.
PPTP L2TP
Propritaire (Microsoft) Ouvert
Encryptage Microsoft intgr IPSEC
Rseaux IP seulement IP, ATM, X.25
Antrieur L2TP Plus rcent
Windows 2000 et plus
1.4 Authentification
Il est essentiel, lors de l'tablissement dune connexion d'accs distant, de
procder la scurisation des donnes qui transitent via un mcanisme
d'authentification. Au sei n de l'i nfrastructure Windows 2008 Server,
plusieurs protocoles d'authentification sont proposs. Ces mthodes
diffrent essentiellement par leur niveau de scurit.
Il est possible de choisir parmi les protocoles d'authentification sui vants :
PAP (Password Authentification Protocol)
Il s'agit d' une mthode d'authentification peu scurise et trs simple.
Le login et le mot de passe sont envoys en clair par le client d'accs
distant au serveur d'accs distant, qui les comparent aux informations
qui sont stockes dans la base SAM locale ou Acti ve Directory.
SPAP (Shi va Password Authentification Protocol)
Ce protocole est plus scuris que le protocole PAP. Il permet de
connecter des clients Shi va un serveur d'accs distant Windows.
CHAP (Challenge Handshake Authentification Protocol)
Il s'agit d'un protocole crypt conu pour les changes de mots de
passe via IP ou PPP. Les mots de passes sont stocks en clair sur le
client et le serveur. Le client envoie le hash au serveur qui le compare
au rsultat de son hash.
MS-CHAP (Microsoft Challenge Handshake Authentification Protocol)
Ce type de protocole est bas sur le mme pri ncipe que le CHAP la
diffrence que MS-CHAP stocke les mots de passes de faon crypte,
grce MD4 qui est une fonction de hachage.
MS-CHAP 2
Il s'agit ici d'une version plus rcente du MS-CHAP, qui la diffrence
du MS-CHAPv1, propose une scurit plus accrue.
EAP (Extensible Authentification Protocol)
Il fait rfrence un ensemble de protocoles qui apportent une
extension aux mthodes d'authentification actuelles.
Exemples :
o SmartCard (carte + pi n).
o Authentification Biomtrique (empreinte + pin).
Pour configurer les Mthodes dauthentification :
Aller dans les proprits du serveur, onglet Scurit :


1.5 Configuration dun rseau priv virtuel (vpn)
SERVEUR :
Nous allons dans cette tape, configurer un serveur VPN.


Si vous ne disposez pas dau moins deux interfaces rseaux, vous recevrez le
message suivant :

Si vous disposez de deux interfaces rseaux, vous recevrez le message suivant :




CLIENT :



Autoriser lusager pour le serveur VPN:

Faire un test de connexion partir du client :

Afficher les connexions sur le serveur VPN:

1.6 Configuration de l'accs rseau distance
SERVEUR :




Configurer le modem du serveur :


CLIENT :



Faire un test :

1.7 Stratgies daccs distant
Les stratgies daccs distant sont utilises pour accorder ou non laccs
aux clients daccs distant ou VPN en se basant sur un ensemble de
conditions, dautorisations et de profils.
La russite dune connexion daccs distant ou VPN ne repose pas
uniquement sur lacceptation pour un utilisateur deffectuer des appels
entrants.
On va pouvoir indiquer quun utilisateur peut tablir une connexion
uniquement sil uti lise un protocole dauthentification comme dfini dans la
stratgie, quil se connecte selon un horaire donn, etc.
1.7.1 Autorisation
Le serveur daccs distant ou VPN vrifie que l utilisateur sauthentifiant
possde lautorisation dtablir une connexion.
Les autorisations sont dfinies la fois dans les proprits du compte
utilisateur pour lequel on souhaite lui autoriser ou i nterdire ltablissement
dune connexion, et dans la stratgie elle-mme.
Aller dans les proprits du compte utilisateur, onglet Appel entrant.

Trois possibilits sont offertes :
Autoriser laccs
Si un utilisateur possde cette autorisation alors le profil dfini dans la
stratgie est appliqu l utilisateur, et la connexion est tablie sauf si une
contre-indication apparat dans le profil.
Refuser laccs
Si un utilisateur possde cette autorisation, laccs lui est refus sauf dans
le cas o lattribut Ignore-User-Dialin-Properties possde la valeur Vrai.
Si Lautorisation daccs est refuse alors la connexion choue.
Contrler laccs via la stratgie daccs distant
Cette option indique que lautorisation de connexion de lutilisateur ne
dpend pas des proprits de son compte mais des autorisations dfi nies
dans la stratgie elle-mme :

Loption Refuser lautorisation daccs distant indique que lutilisateur
ne pourra pas tablir de connexion.
Loption Accorder lautorisation daccs distant indique que lutilisateur
pourra tablir de connexion et le profil sera alors appliqu lutilisateur.
1.7.2 Dfinir les conditions
Pour qu un utilisateur puisse tablir une connexion, il doit obligatoirement
remplir toutes les conditions dfi nies dans la stratgie. Si une seule des
conditions nest pas remplie, alors la connexion choue.
Pour dfinir les conditions :
1) Aller dans la console Routage et accs distant.
2) Dans le conteneur Stratgies daccs distant, diter une stratgie.

3) Cliquer sur le bouton Ajouter.
4) La liste des conditions que vous pouvez ajouter apparat.
Slectionner une condition et cliquer sur le bouton Ajouter pour lui
attribuer une valeur en fonction de la condition choisie.


1.7.3 Profil
Si les proprits de la connexion rpondent aux conditions et que
luti lisateur possde lautorisation dtablir une connexion, il se voit
attribuer un profi l de connexion qui correspond un ensemble de
proprits appliques la connexion.
Le profil peut aussi tre un lment permettant de refuser ltablissement
dune connexion, si certai n paramtres du profil entrent en conflit avec la
manire dont la connexion a t tabli e. Par exemple si le protocole
dauthentification utilis ne correspond pas avec les i ndications du profil.
Un profi l est compos des lments suivants :
Onglet Contraintes pour les appels entrant

Permet dindiquer que la connexion peut stablir uniquement selon un
horaire donn, dfinir des dlais de connexion, etc.

Onglet IP

Permet de dfi nir comment les adresses IP seront attribues aux clients
daccs distant ou VPN.
Il est aussi possible de dfi nir des filtres dentre et de sortie pour la
connexion tablie selon le profil. Ceci permet de dfi nir quels sont les flux
qui auront le droit dentrer dans le rseau priv.

Onglet Liaison multiples

Permet de dfinir pour les clients daccs distant la prise en charge du
protocole BAP.
Onglet Authentification

Permet de spcifier les mthodes dauthentification acceptables pour les
clients daccs distant ou VPN. Il faut aussi que le serveur daccs distant
prenne en charge ces mthodes dauthentification.
Onglet Cryptage

Permet dindiquer les niveaux de cryptage autoriss pour la connexion.

05 ws2008

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

05 ws2008

Загружено:

Авторское право:

Доступные форматы

2011 Hakim Benameurlaine 1

Table des matires

Вам также может понравиться