1 Accs distant sur Windows 2008 Server ............................................................................2 1.1 Introduction ............................................................................................................2 1.2 Accs distant (dial-in) ...............................................................................................2 1.3 VPN.........................................................................................................................3 1.4 Authentification.......................................................................................................4 1.5 Configuration dun rseau priv virtuel (vpn).............................................................6 1.6 Configuration de l'accs rseau distance...............................................................18 1.7 Stratgies daccs distant .......................................................................................28 1.7.1 Autorisation ...................................................................................................28 1.7.2 Dfinir les conditions ......................................................................................29 1.7.3 Profil..............................................................................................................31
2011 Hakim Benameurlaine 2 1 Accs distant sur Windows 2008 Server 1.1 Introduction L'accs rseau distance permet un utilisateur situ en dehors du rseau, de se connecter l'environnement rseau au travers du service Accs distant (dial-in) ou d' une connexion VPN (Virtual Pri vate Network). Windows 2008 Server implmente le service Routage et Accs distant, qui donne un serveur le rle de serveur d'accs distant. Il implmente galement un client d'accs distant et un client VPN, permettant ainsi d'tablir rciproquement, des connexions via le protocole PPP et des tunnels PPTP, L2TP. 1.2 Accs distant (dial-in) Laccs distant permet un utilisateur daccder un serveur daccs distant via une liaison point point sur RTC. Le serveur daccs distant joue le rle de passerelle entre le client daccs distant et le rseau local. Lorsquun client daccs distant se connecte un serveur daccs distant, il utilise un protocole de liaison de donnes appropri au support de communication quil utilise. Le support de communication peut tre : RTC rseau tlphonique commut. RNIS rseau numrique intgration de service. Support X25 rseau commutation de paquets. FRAME-RELAY rseau commutation de trames. ATM Asynchronous Transfer Mode Support DSL Digital Subscriber Line Les protocoles de liaison de donnes que support Windows 2008 sont: SLIP (Serial Line Internet Protocol) Ce protocole est utilis pour se connecter via un modem un serveur SLIP au travers dune connexion non scurise. Il sagit dun vieux standard de communication que lon peut trouver dans les environnements Uni x. Le protocole SLIP ne peut encapsuler que de l IP. 2011 Hakim Benameurlaine 3 Windows 2008 Server ne peut pas tre configur comme serveur SLIP mais il inclut un client SLIP. PPP (Point to Point Protocol) C'est une amlioration du SLIP. Il peut encapsuler en dehors des protocoles TCP/IP des protocoles IPX/SPX, NetBEUI. Lavantage majeur du protocole PPP est quil nest pas propritaire, donc nimporte quel client supportant PPP peut se connecter un serveur daccs distant Wi ndows 2008. 1.3 VPN Le VPN (Virtual Pri vate Network), permet un utilisateur d'accder aux ressources de son entreprise par exemple, comme s'il tait physiquement connect au LAN de cette dernire. Le serveur VPN ncessite une adresse IP public. Le VPN constitue une extension d' un rseau pri v travers un rseau public. De ce fait, le VPN n'est dot d'aucune mesure de scurit dans son lment de base. Cependant, il est ncessaire de scuriser les donnes qui transitent dans ce type de rseau. Windows 2008 Server utilise deux types de protocoles de tunnel qui sont PPTP (Point-to-Point Tunneli ng Protocol) et L2TP (Layer Two Tunneling Protocol). L'avantage du VPN par rapport une connexion d'accs distant est que ce dernier peut s'effectuer via une connexion Internet, alors que l'accs distant ncessite quant lui une connexion poi nt point uti lisant le RTC ou RNIS, ce qui revient conomiquement plus cher. Un autre avantage du VPN est la possibilit d'effectuer une interconnexion de deux rseaux d'entreprise travers un rseau public. PPTP Il s'agit d' un protocole qui rend possible l'interconnexion des rseaux via un rseau IP. C'est notamment un protocole qui permet l'encapsulation scurise sur un rseau public pour crer un VPN. L2TP C'est un protocole qui permet d'interconnecter des rseaux ds qu' une connexion poi nt poi nt oriente paquet est offerte par le tunnel. Le L2TP 2011 Hakim Benameurlaine 4 permet une compression des en-ttes et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les donnes. PPTP L2TP Propritaire (Microsoft) Ouvert Encryptage Microsoft intgr IPSEC Rseaux IP seulement IP, ATM, X.25 Antrieur L2TP Plus rcent Windows 2000 et plus 1.4 Authentification Il est essentiel, lors de l'tablissement dune connexion d'accs distant, de procder la scurisation des donnes qui transitent via un mcanisme d'authentification. Au sei n de l'i nfrastructure Windows 2008 Server, plusieurs protocoles d'authentification sont proposs. Ces mthodes diffrent essentiellement par leur niveau de scurit. Il est possible de choisir parmi les protocoles d'authentification sui vants : PAP (Password Authentification Protocol) Il s'agit d' une mthode d'authentification peu scurise et trs simple. Le login et le mot de passe sont envoys en clair par le client d'accs distant au serveur d'accs distant, qui les comparent aux informations qui sont stockes dans la base SAM locale ou Acti ve Directory. SPAP (Shi va Password Authentification Protocol) Ce protocole est plus scuris que le protocole PAP. Il permet de connecter des clients Shi va un serveur d'accs distant Windows. CHAP (Challenge Handshake Authentification Protocol) Il s'agit d'un protocole crypt conu pour les changes de mots de passe via IP ou PPP. Les mots de passes sont stocks en clair sur le client et le serveur. Le client envoie le hash au serveur qui le compare au rsultat de son hash. MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) Ce type de protocole est bas sur le mme pri ncipe que le CHAP la diffrence que MS-CHAP stocke les mots de passes de faon crypte, grce MD4 qui est une fonction de hachage. MS-CHAP 2 Il s'agit ici d'une version plus rcente du MS-CHAP, qui la diffrence du MS-CHAPv1, propose une scurit plus accrue. EAP (Extensible Authentification Protocol) 2011 Hakim Benameurlaine 5 Il fait rfrence un ensemble de protocoles qui apportent une extension aux mthodes d'authentification actuelles. Exemples : o SmartCard (carte + pi n). o Authentification Biomtrique (empreinte + pin). Pour configurer les Mthodes dauthentification : Aller dans les proprits du serveur, onglet Scurit :
2011 Hakim Benameurlaine 6
1.5 Configuration dun rseau priv virtuel (vpn) SERVEUR : Nous allons dans cette tape, configurer un serveur VPN.
2011 Hakim Benameurlaine 7
2011 Hakim Benameurlaine 8 Si vous ne disposez pas dau moins deux interfaces rseaux, vous recevrez le message suivant :
Si vous disposez de deux interfaces rseaux, vous recevrez le message suivant :
2011 Hakim Benameurlaine 9
2011 Hakim Benameurlaine 10
2011 Hakim Benameurlaine 11
2011 Hakim Benameurlaine 12 CLIENT :
2011 Hakim Benameurlaine 13
2011 Hakim Benameurlaine 14
2011 Hakim Benameurlaine 15 Autoriser lusager pour le serveur VPN:
2011 Hakim Benameurlaine 16 Faire un test de connexion partir du client :
2011 Hakim Benameurlaine 17 Afficher les connexions sur le serveur VPN:
2011 Hakim Benameurlaine 18 1.6 Configuration de l'accs rseau distance SERVEUR :
2011 Hakim Benameurlaine 19
2011 Hakim Benameurlaine 20
2011 Hakim Benameurlaine 21
2011 Hakim Benameurlaine 22 Configurer le modem du serveur :
2011 Hakim Benameurlaine 23
2011 Hakim Benameurlaine 24 CLIENT :
2011 Hakim Benameurlaine 25
2011 Hakim Benameurlaine 26
2011 Hakim Benameurlaine 27 Faire un test :
2011 Hakim Benameurlaine 28 1.7 Stratgies daccs distant Les stratgies daccs distant sont utilises pour accorder ou non laccs aux clients daccs distant ou VPN en se basant sur un ensemble de conditions, dautorisations et de profils. La russite dune connexion daccs distant ou VPN ne repose pas uniquement sur lacceptation pour un utilisateur deffectuer des appels entrants. On va pouvoir indiquer quun utilisateur peut tablir une connexion uniquement sil uti lise un protocole dauthentification comme dfini dans la stratgie, quil se connecte selon un horaire donn, etc. 1.7.1 Autorisation Le serveur daccs distant ou VPN vrifie que l utilisateur sauthentifiant possde lautorisation dtablir une connexion. Les autorisations sont dfinies la fois dans les proprits du compte utilisateur pour lequel on souhaite lui autoriser ou i nterdire ltablissement dune connexion, et dans la stratgie elle-mme. Aller dans les proprits du compte utilisateur, onglet Appel entrant.
2011 Hakim Benameurlaine 29 Trois possibilits sont offertes : Autoriser laccs Si un utilisateur possde cette autorisation alors le profil dfini dans la stratgie est appliqu l utilisateur, et la connexion est tablie sauf si une contre-indication apparat dans le profil. Refuser laccs Si un utilisateur possde cette autorisation, laccs lui est refus sauf dans le cas o lattribut Ignore-User-Dialin-Properties possde la valeur Vrai. Si Lautorisation daccs est refuse alors la connexion choue. Contrler laccs via la stratgie daccs distant Cette option indique que lautorisation de connexion de lutilisateur ne dpend pas des proprits de son compte mais des autorisations dfi nies dans la stratgie elle-mme :
Loption Refuser lautorisation daccs distant indique que lutilisateur ne pourra pas tablir de connexion. Loption Accorder lautorisation daccs distant indique que lutilisateur pourra tablir de connexion et le profil sera alors appliqu lutilisateur. 1.7.2 Dfinir les conditions Pour qu un utilisateur puisse tablir une connexion, il doit obligatoirement remplir toutes les conditions dfi nies dans la stratgie. Si une seule des conditions nest pas remplie, alors la connexion choue. Pour dfinir les conditions : 1) Aller dans la console Routage et accs distant. 2011 Hakim Benameurlaine 30 2) Dans le conteneur Stratgies daccs distant, diter une stratgie.
3) Cliquer sur le bouton Ajouter. 4) La liste des conditions que vous pouvez ajouter apparat. Slectionner une condition et cliquer sur le bouton Ajouter pour lui attribuer une valeur en fonction de la condition choisie.
2011 Hakim Benameurlaine 31
1.7.3 Profil Si les proprits de la connexion rpondent aux conditions et que luti lisateur possde lautorisation dtablir une connexion, il se voit attribuer un profi l de connexion qui correspond un ensemble de proprits appliques la connexion. Le profil peut aussi tre un lment permettant de refuser ltablissement dune connexion, si certai n paramtres du profil entrent en conflit avec la manire dont la connexion a t tabli e. Par exemple si le protocole dauthentification utilis ne correspond pas avec les i ndications du profil. Un profi l est compos des lments suivants : 2011 Hakim Benameurlaine 32 Onglet Contraintes pour les appels entrant
Permet dindiquer que la connexion peut stablir uniquement selon un horaire donn, dfinir des dlais de connexion, etc.
2011 Hakim Benameurlaine 33 Onglet IP
Permet de dfi nir comment les adresses IP seront attribues aux clients daccs distant ou VPN. Il est aussi possible de dfi nir des filtres dentre et de sortie pour la connexion tablie selon le profil. Ceci permet de dfi nir quels sont les flux qui auront le droit dentrer dans le rseau priv.
2011 Hakim Benameurlaine 34 Onglet Liaison multiples
Permet de dfinir pour les clients daccs distant la prise en charge du protocole BAP. 2011 Hakim Benameurlaine 35 Onglet Authentification
Permet de spcifier les mthodes dauthentification acceptables pour les clients daccs distant ou VPN. Il faut aussi que le serveur daccs distant prenne en charge ces mthodes dauthentification. 2011 Hakim Benameurlaine 36 Onglet Cryptage
Permet dindiquer les niveaux de cryptage autoriss pour la connexion.