V- Configuration des clients d'accs distance et scurisation de l'accs distance

1-) Prsentation du rseau priv virtuel (VPN)

Une connexion rseau priv virtuel ou VPN (Virtual Private Network) permet deux entits de communiquer entres-elle de faon scurise en passant par un rseau public (non scuris) comme Internet. Les rseaux privs virtuels sont souvent utiliss dans le cadre de l'accs distance car ils permettent un utilisateur lambda d'accder aux ressources internes de l'entreprise en utilisant un rseau dont le cot de location est faible (Internet) de manire scurise. Pour cela les rseaux privs virtuels utilisent des protocoles spcifiques comme PPTP ou bien encore L2TP/IPSec appels protocole de tunnel. Les protocoles de tunnel chiffrent les trames de donnes puis encapsulent ces trames dans des paquets IP qui sont envoys sur Internet. La scurit des donnes est maximale puisque les adresses IP prives (celle du client et du serveur d'accs distant) sont chiffres. Il est donc impossible pour un utilisateur non autoris d'avoir accs aux donnes circulant sur la toile.

Les protocoles de cryptage utiliss par PPTP et L2TP sont respectivement MPPE et IPSec.

2-) Configurer une connexion VPN sous Windows XP

Pour crer une connexion VPN sous Windows XP, affichez la page listant les connexions rseau (clic droit / proprits sur l'icne favoris rseau) puis lancez l'Assistant Nouvelle Connexion et cliquez sur Suivant. Slectionnez Connexion au rseau d'entreprise.

Choisissez : Connexion d'accs distance si vous souhaitez vous connecter distance via une ligne RNIS Connexion rseau priv virtuel si vous souhaitez vous connecter au rseau interne de l'entreprise via Internet.

Donnez ensuite un nom la connexion pour pouvoir la reconnatre aisment.

Entrez ensuite le nom DNS pleinement qualifi (FQDN) ou bien l'adresse IP du serveur d'accs distant.

Cliquez sur Suivant, puis sur Terminer pour quitter l'assistant. Vous devez ensuite saisir l'identifiant et le mot de passe utiliser pour s'authentifier auprs du serveur d'accs distant. Vous pouvez choisir d'enregistrer ces informations d'authentification ce qui vitera de les ressaisir l'avenir. Vous pouvez ensuite cliquer sur Se connecter pour tablir la connexion VPN.

Les proprits de la connexion permettent de modifier un grand nombre de paramtre comme le protocole d'authentification utiliser (MS-CHAP V2 est le protocole recommand pour obtenir une scurit maximale), les paramtres TCP/IP, l'adresse IP du serveur d'accs distant, ...

3-) Scuriser les accs distants

Permettre des utilisateurs distants d'accder aux ressources internes de l'entreprise peut s'avrer risqu du point de vue de la scurit. Voici un ensemble de rgles simples qui permettent de scuriser au mieux une connexion d'accs distance : Centralisez les demandes d'authentifications l'aide d'un serveur RADIUS. Scurisez au maximum le trafic entre le serveur RADIUS et les serveurs d'accs distant (utilisation d'une cl pr-partage, de signatures numriques pour identifier les serveurs d'accs distant, d'IPSec pour crypter les changes de donnes,...). Configurez les stratgies d'accs distant les plus restrictives possibles (limitez les plages horaires, paramtrez une dure d'inactivit de la connexion faible, utilisez uniquement les protocoles MS-CHAP V2 ou EAP pour authentifier les utilisateurs, utilisez le cryptage maximal,...) Si vous utilisez le protocole L2TP/IPSec mettez en place un systme de certificats. Mettez en place une stratgie de groupe verrouillant le compte des utilisateurs distant aprs un certain nombre de tentatives infructueuses.

Vous pouvez aussi envisager l'installation d'un pare-feu comme ISA Server afin d'augmenter le niveau de scurit du rseau interne de l'entreprise