Cours Acces - Distant

WWW.RESEAUMAROC.
COM
Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit, Contact : tssri-reseaux@hotmail.fr
Le service Routage et accs distant
1- Introduction : 2- Composants dune infrastructure daccs rseau : Pour mettre en place une infrastructure daccs rseau distante scurise, ladministrateur doit avoir une parfaite connaissance des lments constitutifs de ce type dinfrastructure, savoir : Serveur daccs rseau Clients daccs rseau Service dauthentification Service dannuaire Active Directory Le service Routage et accs distant de Microsoft prend en charge laccs non traditionnel un rseau. Vous pouvez configurer le service Routage et accs distant de manire ce quil fasse office de serveur daccs distant et connecter ainsi des tltravailleurs aux rseaux dune entreprise. Pour ces clients considrs comme non traditionnels, le ser veur daccs distant authentifie les sessions pour les utilisateurs et services jusqu ce que lutilisateur ou ladministrateur y mette fin. Les utilisateurs distants peuvent alors travailler comme si leurs ordinateurs taient connects physiquement au rseau. Un serveur daccs rseau fournit la connectivit ncessaire aux clients daccs distance et VPN. Ces clients daccs distance peuvent accder aux ressources laide doutils standard. titre dexemple, sur un serveur configur avec le servic e Routage et accs distant, les clients distants peuvent utiliser lExplorateur Windows pour tablir des connexions des units et se connecter des imprimantes. Les connexions sont permanentes, ce qui signifie que les clients ne doivent pas se reconnect er aux ressources rseau lors dune session distance. Offrir un accs rseau tendu implique laugmentation du niveau de scurit afin de protger le rseau contre tout accs non autoris et empcher lutilisation dquipement interne. Pour ce faire, vous pouvez appliquer une authentification renforce afin de valider lidentit des utilisateurs, en plus dun cryptage renforc destin protger les donnes. En rgle gnrale, les mthodes dauthentification utilisent un protocole dauthentification ngoci lors de ltablissement dune connexion. Le serveur daccs distant (serveur
WWW.RESEAUMAROC.COM
configur avec le service Routage et accs distant) gre lauthentification entre le client daccs distant et le contrleur de domaine. Dans une infrastructure plusieurs serveurs daccs rseau, il est possible de centraliser lauthentification en utilisant le service RADIUS afin dauthentifier et dautoriser les clients daccs rseau. Lutilisation de ce service dispense chacun des serveurs daccs de votre rseau deffectuer les oprations dauthentification et dautorisation. Les domaines Active Directory contiennent les comptes dutilisateurs, les mots de passe et les proprits daccs distance ncessaires pour authentifier les informations didentification des utilisateurs et valuer les contraintes dautorisation et de connexion. Une fois un client connect votre rseau, vous pouvez contrler laccs aux ressources au moyen de divers contrles administratifs sur lordinateur client et les serveurs daccs rsea u, parmi lesquels : Partage de fichiers et dimprimantes, Stratgie de groupe local et Stratgie de groupe via le service Active Directory.
3- Configuration requise pour un serveur daccs rseau : Un serveur daccs rseau est un serveur qui fait office de passerelle vers un rseau pour un client. Dans ce module, le serveur daccs rseau est un serveur configur avec le service Routage et accs distant. Il peut galement tre qualifi de serveur daccs distant (pour les
WWW.RESEAUMAROC.COM
connexions daccs distance) ou de serveur VPN, selon le type de connexion quil est habilit ngocier. Lors de lactivation initiale du service Routage et accs distant sur un serveur, lAssistant Installation du serveur de routage et daccs distant apparat. Il affiche des inst ructions pour vous aider configurer correctement votre serveur daccs rseau. Avant de configurer votre serveur daccs rseau, vous devez disposer des informations de configuration suivantes : Quelle est la finalit du serveur : routeur et/ou serveur daccs distant ? Quels sont les fournisseurs et mthodes dauthentification utiliss ? Un client rseau est-il autoris accder uniquement ce serveur ou lensemble du rseau ? Comment les adresses IP (Internet Protocol) doivent-elles tre affectes aux clients qui se connectent ? Quelles sont les options de configuration PPP (Point-to-Point Protocol) ? Quelles sont les prfrences en matire denregistrement des vnements ? 3-a Client daccs rseau :
Pour grer un rseau informatique, ladministrateur doit rendre les ressources rseau accessibles aux utilisateurs qui ne sont pas directement connects au rseau local. Ces utilisateurs peuvent tre des employs, des sous-traitants, des fournisseurs ou encore des
WWW.RESEAUMAROC.COM
clients. Quant laccs au rseau, il peut seffectuer au moyen de connexions dappel entrant, Internet ou sans fil. En votre qualit dadministrateur systme, il vous appartient de configurer un accs scuris pour les utilisateurs autoriss se connecter votre rseau et de refuser cet accs aux autres utilisateurs. Vous devez donc tre en mesure de configurer et de scuriser votre serveur daccs rseau pour les mthodes daccs suivantes : Rseau priv virtuel (VPN) Accs rseau distance Accs sans fil Un client VPN se connecte via un rseau public ou partag, comme Internet, selon une mthode qui mule une liaison point point sur un rseau priv. Un client daccs distance se connecte par le biais dun rseau de communication, tel que le rseau tlphonique public commut (RTPC), afin de crer une connexion physique un port sur un serveur daccs distant situ sur un rseau priv. Plusieurs technologies peuvent tre utilises pour tablir ce type de connexion au serveur daccs distant : modem, carte RNIS ou adaptateur DSL. Dans le cas dun client sans fil, la connexion stablit au moyen de technologies infrarouges (IR) ou frquences radio (RF) optimises pour les connexions courte distance. Parmi les dispositifs utiliss couramment dans le cadre des rseaux sans fil, citons les ordinateurs portables, les ordinateurs de poche, les assistants numriques (PDA), les tlphones cellulaires, les ordinateurs avec stylet et les rcepteurs de radiomessagerie. 3-b Autorisation et authentification de laccs rseau : Lorsquune entreprise dcide dtendre laccs son rseau, elle doit galement veiller ce que son niveau de scurit soit suffisamment lev pour protger le rseau contre tout accs non autoris et empcher lutilisation dquipement interne. Dans le cas des connexions VPN, sans fil et daccs distance, Microsoft Windows Server. 2003 implmente lauthentification dans deux processus : ouverture de session interactive et autorisation daccs au rseau. Pour accder aux ressources rseau, lutilisateur doit obligatoirement satisfaire ces deux processus. Il est essentiel de faire la distinction entre authentification et autorisation pour bien comprendre comment les tentatives de connexion sont acceptes ou refuses. Lauthentification est la validation des informations didentification lors dune tentative de connexion. Cette procdure douverture de session comprend lenvoi des informations didentification du client daccs rseau (un nom et un mot de passe, par exemple) vers le serveur daccs rseau en texte clair ou sous une forme
WWW.RESEAUMAROC.COM
crypte en utilisant un protocole dauthentification. Lidentification de lutilisateur est ensuite transmise un compte de domaine pour confirmation. Lautorisation est la procdure par laquelle le serveur vrifie que la tent ative de connexion est autorise. Une fois le client distant authentifi, laccs lui est autoris ou refus en fonction des informations didentification du compte et des stratgies daccs distant. La procdure dautorisation ne peut avoir lieu quaprs une tentative douverture de session russie. En cas dchec, laccs est refus. 3-c Mthodes dauthentification disponibles Lauthentification des clients daccs distant constitue un problme important en matire de scurit. En rgle gnrale, les mthodes dauthentification utilisent un protocole dauthentification ngoci lors de ltablissement de la connexion. Les produits de la famille Windows Server 2003 prennent en charge les mthodes dauthentification ci-dessous.
WWW.RESEAUMAROC.COM
WWW.RESEAUMAROC.COM
4- Configuration dune connexion VPN : 4-a Fonctionnement dune connexion VPN :
WWW.RESEAUMAROC.COM
Le service Routage et accs distant fournit des services VPN pour permettre aux utilisateurs daccder des rseaux dentreprise de manire scurise en cryptant les donnes transmises sur un rseau de transport non scuris, comme Internet . Un rseau priv virtuel (VPN, Virtual Private Network) est lextension dun rseau priv qui englobe des liaisons travers des rseaux partags ou publics, comme Internet. Ce type de rseau permet un change de donnes cryptes entre deux ordinateurs travers un rseau partag ou public, selon un mode qui mule une liaison point point sur un rseau priv. Pour muler une liaison point point, les donnes sont encapsules, ou enrobes, laide dun en-tte qui contient les informations de routage, ce qui permet aux donnes de traverser le rseau partag ou public jusqu leur destination finale. Pour muler une liaison prive, les donnes sont cryptes des fins de confidentialit. Les paquets intercepts sur le rseau partag ou public ne peuvent pas tre lus sans les cls de cryptage. La liaison servant lencapsulation et au cryptage des donnes prives est une connexion VPN. Une connexion VPN est galement dsigne sous le nom de tunnel VPN. Le processus dtablissement dune connexion VPN est dcrit ci-dessous : 1. Un client VPN tablit une connexion VPN un serveur daccs distant/VPN reli Internet. (Le serveur VPN fait office de passerelle. Il est, en principe, configur en vue de fournir laccs tout le rseau auquel il est connect.) 2. Le serveur VPN rpond lappel virtuel.
WWW.RESEAUMAROC.COM
3. Le serveur VPN authentifie lappelant et vrifie son autorisation de connexion. 4. Le serveur VPN transfre les donnes entre le client VPN et le rseau dentrepris e. Les rseaux privs virtuels permettent aux utilisateurs ou aux entreprises de se connecter des serveurs distants, des succursales ou dautres entreprises sur un rseau public, tout en bnficiant de communications scurises. Aux yeux de lutilisate ur, la connexion scurise apparat toujours comme une communication sur un rseau priv, et ce, bien quelle soit tablie sur un rseau public. Autres avantages : Rduction des cots. Le rseau VPN nutilise pas de ligne tlphonique et requiert un minimum de matriel (cest votre fournisseur de services Internet quil appartient de grer lquipement de communication). Scurit accrue. Les donnes sensibles sont dissimules pour les utilisateurs non autoriss, mais les utilisateurs autoriss peuvent y accder par lintermdiaire de la connexion. Le serveur VPN applique lauthentification et le cryptage. Prise en charge des protocoles rseau. Vous pouvez excuter distance une application qui dpend des protocoles rseau les plus courants, dont TCP/IP (Transmission Control Protocol/Internet Protocol). Scurit des adresses IP. Les informations envoyes sur un rseau priv virtuel tant cryptes, les adresses que vous spcifiez sont protges et seule ladresse IP externe est visible pour le trafic transmis sur Internet. Aucun frais administratif nest li la modification des adresses IP pour laccs distant sur Internet. 4-b Composants dune connexion VPN :
WWW.RESEAUMAROC.COM
Une connexion VPN est constitue des composants suivants : Serveur VPN. Ordinateur qui accepte les connexions VPN manant de clients VPN ; un serveur configur avec le service Routage et accs distant par exemple. Client VPN. Ordinateur qui amorce une connexion VPN un serveur VPN. Rseau de transit. Rseau public ou priv travers par les donnes encapsules. Tunnel ou connexion VPN. Segment de la connexion dans lequel vos donnes sont cryptes et encapsules. Protocoles de tunneling. Protocoles utiliss pour grer les tunnels et encapsuler des donnes prives (cest le cas du protocole PPTP, par exemple). Donnes en tunnel. Donnes achemines gnralement via une liaison point point prive. Authentification. Dans une connexion VPN, lidentit du client et du serveur est authentifie. Un rseau VPN authentifie galement les donnes envoyes afin de sassurer que les donnes reues proviennent bien de lautre extrmit de la connexion et quelles nont pas t interceptes et modifies. Attribution dun serveur de noms et dadresses. Le serveur VPN est responsable de lattribution dadresses IP. Pour ce faire, il utilise soit le protocole par dfaut, savoir DHCP (Dynamic Host Configuration Protocol), soit un pool statique cr par ladministrateur. Il alloue galement des adresses de serveur DNS (Domain Name System) et WINS (Windows Internet Name Service) aux clients. Les serveurs de noms allous sont ceux qui desservent le rseau Intranet auquel le serveur VPN se connecte.
WWW.RESEAUMAROC.COM
4-c Protocoles de cryptage pour une connexion VPN
Les produits de la famille Windows Server 2003 utilisent deux types de protocoles de tunneling (cryptage) pour scuriser les communications : PPTP (Point-to-Point Tunneling Protocol). Utilisation des mthodes dauthentification PPP au niveau utilisateur et MPPE (Microsoft Point-to Point Encryption) pour le cryptage des donnes. L2TP/IPSec (Layer Two Tunneling Protocol with Internet Protocol Security). Utilisation des mthodes dauthentification PPP au niveau utilisateur sur une connexion crypte avec la mthode IPSec. Cette mthode ncessite une authentification de lhte au moyen du protocole Kerberos, dun secret partag ou de certificats dordinateur. Il est conseill dutiliser la mthode L2TP/IPSec avec des certificats pour bnficier dune authentification VPN scurise. Grce lauthentification et au cryptage IPSec, le transfert des donnes par lintermdiaire dun rseau priv virtuel compatible L2TP est aussi sr quau sein dun rseau local dentreprise. Le client et le serveur VPN doivent prendre en charge les mthodes L2TP et IPSec. La prise en charge de L2TP par le client est intgre dans le client daccs distant Windows XP et la prise en charge de L2TP par le serveur VPN est intgre dans les produits de la famille Windows Server 2003.
WWW.RESEAUMAROC.COM
La prise en charge de L2TP par le serveur est installe lors de linstallation du service Routage et accs distant. Selon les options slectionnes lors de lexcution de lAssistant Installation du serveur daccs distant et de routage, le protocole L2TP est configur pour 5 ou 128 ports L2TP. 4-d Configuration requise pour un serveur VPN : Le tableau suivant rpertorie ce quil faut savoir avant de configurer un serveur daccs distant/VPN.
Pour inscrire un serveur daccs distant dans Active Directory, procdez comme suit : 1. Ouvrez une session avec un compte dutilisateur autoris inscrire un serveur daccs distant dans Active Directory. 2. linvite de commandes, tapez ce qui suit : netsh ras add registeredserver Nom_Domaine Nom_Ordinateur (o Nom_Domaine est le nom du domaine dans lequel vous inscrivez le serveur daccs distant et Nom_Ordinateur le nom dordinateur du serveur daccs distant) Pour configurer un serveur daccs distant pour une connexion VPN, procdez comme suit : 1. Ouvrez une session avec un compte dutilisateur ne disposant pas de droits dadministration. 2. Cliquez sur Dmarrer, puis sur Panneau de configuration. 3. Dans le Panneau de configuration, ouvrez Outils dadministration, cliquez avec le bouton droit sur Grer votre serveur, puis slectionnez Excuter en tant que.
WWW.RESEAUMAROC.COM
4. Dans la bote de dialogue Excuter en tant que, slectionnez loption Lutilisateur suivant, entrez un compte dutilisateur (ainsi que le mot de passe) autoris effectuer la tche, puis cliquez sur OK. 5. Dans la fentre Grer votre serveur, cliquez sur Ajouter ou supprimer un rle pour accder lAssistant Configurer votre serveur. 6. Sur la page tapes prliminaires, cliquez sur Suivant. 7. Sur la page Rle du serveur, cliquez sur Serveur VPN / Accs distant, puis sur Suivant. 8. Sur la page Aperu des slections, cliquez sur Suivant. 9. Sur la page de Bienvenue, cliquez sur Suivant. 10. Sur la page Configuration, slectionnez Accs distance (connexion distance ou VPN), puis cliquez sur Suivant. 11. Sur la page Accs distant, vrifiez que loption VPN est slectionne, puis cliquez sur Suivant. 12. Sur la page Connexion VPN, cliquez sur linterface rseau qui assure la connexion de cet ordinateur Internet. Linterface rseau slectionne sera configure pour recevoir des connexions de clients VPN. Toute interface non slectionne sera configure pour la connexion votre rseau priv. 13. Sur la page Attribution dadresses IP, slectionnez soit Automatiquement, soit partir dune plage dadresses spcifie. Loption slectionne par dfaut est Automatiquement. Cette option configure votre serveur de faon ce quil gnre et attribue des adresses IP des clients distants. Cliquez sur Suivant. 14. Sur la page Gestion des serveurs daccs distant multiples, loption Non, utiliser Routage et accs distance pour authentifier les requtes de connexion est slectionne automatiquement. Ne modifiez pas cette slection. De cette faon, le serveur est configur pour authentifier les demandes de connexion localement au moyen de lauthentification Windows, de la gestion des comptes Windows et des stratgies daccs distant stockes en local. Cliquez sur Suivant. 15. Sur la page Fin de lAssistant Installation du serveur du routage et daccs distant , passez en revue les informations rsumes. Vrifiez les points suivants : les clients VPN se connectent linterface publique approprie ; des adresses IP sont attribues aux clients VPN pour linterface rseau approprie ; les connexions clientes sont acceptes et authentifies laide de stratgies daccs distant pour ce serveur VPN. 16. Si lune des informations rsumes ne convient pas, cliquez sur Prcdent et apportez les modifications ncessaires. Si les informations sont correctes, cliquez sur Terminer. 17. Un message Routage et accs distant indique alors ce qui suit : Windows na pas pu ajouter cet ordinateur la liste des serveurs daccs distants valides dans Active Directory. Pour que vous puissiez utiliser cet ordinateur comme un serveur daccs distant, ladministrateur de domaine doit terminer cette tche . Cliquez sur OK. 18. Un autre message Routage et accs distant indique ce qui suit : Pour prendre en charge le relais des messages DHCP partir de clients daccs distant, vous devez configurer les proprits de lagent de relais DHCP avec ladresse IP de votre serveur DHCP . Cliquez sur OK.
WWW.RESEAUMAROC.COM
19. Le service Routage et accs distant dmarre automatiquement et lAssistant Configurer votre serveur rapparat. Sur la page Ce serveur est maintenant un serveur daccs distant et de rseau VPN, cliquez sur Terminer. 4-e Comment configurer un client daccs distant pour une connexion VPN : Pour configurer un client daccs distant pour une connexion VPN, procdez comme suit : 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. 2. Dans le Panneau de configuration, cliquez sur Connexions rseau. 3. Dans les Connexions rseau, double-cliquez sur Assistant Nouvelle Connexion. 4. Sur la page Bienvenue dans lAssistant Nouvelle connexion, cliquez sur Suivant. 5. Sur la page Type de connexion rseau, slectionnez Connexion au rseau dentreprise, puis cliquez sur Suivant. 6. Sur la page Connexion rseau, slectionnez Connexion rseau priv virtuel, puis cliquez sur Suivant. 7. Entrez le nom de la connexion sur la page Nom de la connexion (il sagit gnralement du nom de votre entreprise), puis cliquez sur Suivant. 8. Sur la page Slection de serveur VPN, entrez le nom dhte (Microsoft.com, par exemple) ou ladresse IP du serveur VPN auquel vous vous connectez, puis cliquez sur Suivant. 9. Si vous disposez dautorisations dadministration sur lordinateur local, vous pouvez slectionner loption Tous les utilisateurs ou Mon utilisation uniquement sur la page Disponibilit de connexion. Si vous avez ouvert une session avec un compte dutilisateur ne disposant pas de droits dadministration, seule loption Mon utilisation uniquement peut tre slectionne. Cliquez sur Suivant. 10. Sur la page Fin de lAssistant Nouvelle connexion, cliquez sur Terminer. 5- Configuration dune connexion daccs distance 5-a Laccs rseau distance :
WWW.RESEAUMAROC.COM
Vous pouvez utiliser un serveur configur avec le service Routage et accs distant pour permettre laccs distance lintranet de votre entreprise. Laccs rseau distance est une procdure par laquelle un client daccs distant tablit une connexion temporaire un port physique situ sur un serveur daccs distant en utilisant les services dun fournisseur de tlcommunications, tel quun tlphone analogique, RNIS (Rseau Numrique Intgration de Services) ou X.25. Laccs rseau distance sur une ligne de tlphone analogique ou RNIS est une connexion physique entre le client et le serveur daccs rseau distance. Vous pouvez crypter les donnes transmises sur la connexion, mais cela nest pas obligatoire. Le processus dtablissement dune connexion rseau distance est dcrit ci-dessous : 1. Un client appelle le serveur daccs distant. 2. Lquipement daccs rseau distance install sur un serveur daccs distant rpond aux demandes de connexion entrantes ma nant de clients daccs distant. 3. Le serveur daccs distant authentifie et autorise lappelant. 4. Le serveur daccs distant transfre des donnes entre le client daccs rseau distance et le rseau intranet de lentreprise. (Le serveur daccs dist ant fait office de passerelle. Il fournit laccs lintgralit du rseau auquel il est connect.)
WWW.RESEAUMAROC.COM
5-b Composants dune connexion daccs distance :
Une connexion daccs distance est constitue des composants suivants : Serveur daccs distant. Ordinateur qui accepte les connexions daccs distance manant de clients daccs distance ; un serveur configur avec le service Routage et accs distant, par exemple. Client daccs distance. Ordinateur qui amorce une connexion daccs distance un serveur daccs distance. Protocoles de rseau local (LAN) et daccs distant. Les programmes dapplication utilisent des protocoles de rseau local (LAN) pour transporter les informations. Les protocoles daccs distant sont utiliss pour ngocier les connexions et assurer le tramage des donnes des protocoles LAN qui sont envoyes sur des liaisons de rseau tendu (WAN). Options de rseau tendu (WAN). Les clients peuvent se connecter au rseau en utilisant des lignes tlphoniques standard et un modem ou un pool de modems. La technologie RNIS permet ltablissement de liaisons plus rapides. Il est galement possible de connecter des clients daccs distant des serveurs daccs distant au moyen de liaisons X.25 ou ATM (Asynchronous Transfer Mode). La prise en charge des connexions directes est assure par un cble Null Modem RS-232C, une connexion par port parallle ou une connexion infrarouge.
WWW.RESEAUMAROC.COM
Authentification. Dans une connexion daccs distance, lidentit du client et du serveur est authent ifie. Lutilisation de cartes puce dans le cadre de lauthentification des utilisateurs constitue la forme dauthentification la plus puissante dans la famille Windows Server 2003. Attribution dun serveur de noms et dadresses. Le serveur daccs dista nt est responsable de lattribution dadresses IP. Pour ce faire, il utilise soit le protocole par dfaut, savoir DHCP (Dynamic Host Configuration Protocol). Il affecte galement des adresses de serveur DNS (Domain Name System) et WINS (Windows Internet Name Service) aux clients. Les serveurs de noms qui allouent des adresses aux clients daccs distant sont ceux qui desservent le rseau intranet auquel le serveur daccs distant se connecte.
5-c Mthodes dauthentification disponibles pour une connexion daccs distance :
Les produits de la famille Windows Server 2003 prennent en charge les mthodes dauthentification suivantes pour laccs rseau distance : CHAP PAP SPAP MS-CHAP MS-CHAP v2
WWW.RESEAUMAROC.COM
EAP-TLS EAP-MD5 Challenge
La mthode dauthentification la plus puissante pour les versions antrieures de Windows est EAP-TLS, une mthode dauthentification mutuelle par laquelle le client et le serveur prouvent leurs identits respectives. Lors du processus dauthentification, le client daccs distant envoie son certificat dutilisateur, tandis que le serveur daccs distant envoie son certificat dordinateur. Si lun des certificats nest pas envoy ou nest pas valide, la connexion est interrompue. Lutilisation de certificats de cartes puce avec EAP -TLS dans le cadre de lauthentification des utilisateurs constitue la forme dauthentification la plus puissante dans la famille Windows Server 2003. La mise en place dune infrastructure de cls publiques (PKI) est obligatoire pour utiliser des certificat s de cartes puce dans le cadre de lauthentification des utilisateurs. 5-d Configuration requise pour un serveur daccs distant : Le tableau suivant rpertorie ce quil faut savoir avant de configurer un serveur daccs distant pour laccs distance.
WWW.RESEAUMAROC.COM
Pour configurer le serveur daccs distant pour une connexion daccs distance, procdez comme suit : 1. Ouvrez Grer votre serveur, puis cliquez sur Ajouter ou supprimer un rle. 2. Sur la page tapes prliminaires, cliquez sur Suivant. 3. Sur la page Rle du serveur, slectionnez Serveur VPN / Accs distant, puis cliquez sur Suivant. 4. Sur la page Aperu des slections, cliquez sur Suivant. 5. Sur la page de Bienvenue, cliquez sur Suivant. 6. Sur la page Configuration , slectionnez Accs distance (connexion distance ou VPN), puis cliquez sur Suivant. 7. Sur la page Accs distant, cliquez sur Accs distance, puis sur Suivant. 8. Sur la page Slection du rseau, slectionnez linterface rseau connecte Internet, puis cliquez sur Suivant. 9. Sur la page Attribution dadresses IP, cliquez sur Suivant. 10. Sur la page Gestion des serveurs daccs distant multiples, cliquez sur Suivant. 11. Sur la page Fin de lAssistant Installation du serveur du routage et daccs distant , cliquez sur Terminer. 12. Dans la bote de dialogue Routage et accs distant, cliquez sur OK. 13. Sur la page Ce serveur est maintenant un serveur daccs distant et de rseau VPN , cliquez sur Terminer. 5-e Comment configurer un client daccs distant pour une connexion d accs distance: Les connexions rseau vous permettent de configurer un client pour une connexion daccs distance. Vous pourrez changer cette connexion ultrieurement en modifiant les paramtres. Les paramtres dune connexion daccs distance (tels que le numro de tlphone, le nombre de tentatives de renumrotation, etc.) sont dfinis pour chaque connexion. Ces paramtres de pr-connexion et post-connexion naffectent pas ceux des autres connexions. Pour configurer un client daccs distant en vue dune connexion daccs distance, procdez comme suit : 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. 2. Dans le Panneau de configuration, cliquez sur Connexions rseau. 3. Dans les Connexions rseau, double-cliquez sur Assistant Nouvelle
WWW.RESEAUMAROC.COM
Connexion. 4. Dans la page Bienvenue dans lAssistant Nouvelle connexion, cliquez sur Suivant. 5. Sur la page Type de connexion rseau, slectionnez Connexion au rseau dentreprise, puis cliquez sur Suivant. 6. Sur la page Connexion rseau, choisissez Connexion daccs distance, puis cliquez sur Suivant. 7. Entrez le nom de la connexion sur la page Nom de la connexion (il sagit gnralement du nom de votre entreprise), puis cliquez sur Suivant. 8. Sur la page Entrez le numro de tlphone composer, entrez le numro de tlphone de la connexion, puis cliquez sur Suivant. 9. Sur la page Disponibilit de connexion, slectionnez Tous les utilisateurs ou Mon utilisation uniquement, puis cliquez sur Suivant. 10. Sur la page Fin de lAssistant Nouvelle connexion, cliquez sur Terminer. 6- Configuration dune connexion sans fil : Microsoft Windows XP et Windows Server 2003 offrent une prise en charge tendue de la technologie rseau sans fil afin daccepter les priphriques sans fil sur le rseau dentreprise . La technologie utilise sur un rseau sans fil permet plusieurs priphriques de communiquer au moyen de protocoles rseau standard et dondes lectromagntiques (et non de cbles rseau) afin de transporter des signaux sur toute ou une partie de lin frastructure rseau. Parmi les dispositifs utiliss couramment dans le cadre des rseaux sans fil, citons les ordinateurs portables, les ordinateurs de poche, les assistants numriques (PDA), les tlphones cellulaires, les ordinateurs stylet et les rcepteurs de radiomessagerie. Vous pouvez utiliser un rseau local sans fil (WLAN) dans des bureaux provisoires ou dautres endroits o linstallation de cbles serait trop onreuse, ou pour complter un LAN existant afin de permettre aux utilisateurs de tr availler en diffrents endroits dun btiment divers moments. Les utilisateurs mobiles peuvent employer des tlphones cellulaires, des assistants numriques (PDA), des ordinateurs portables ou dautres priphriques pour accder la messagerie lectronique. Les personnes qui voyagent et qui sont munies dordinateurs portables peuvent se connecter Internet par le biais de stations de base installes dans des aroports, des gares et dautres lieux publics. Un rseau WLAN fonctionne selon deux modes diffrents, dfinis par la norme IEEE (Institute of Electrical and Electronics Engineers) 802.11 : Infrastructure points daccs. Les stations sans fil (priphriques avec cartes rseau radio ou modems externes) se connectent aux points daccs sans fil qu i fonctionnent comme des ponts entre les stations et le segment principal du rseau existant. Ainsi, les utilisateurs sans fil au sein dune entreprise ou dun btiment de campus peuvent ils accder aux ressources rseau comme sils se connectaient normale ment au rseau.
WWW.RESEAUMAROC.COM
gal gal (ad hoc). Dans un rseau dgal gal, les clients sans fil communiquent directement entre eux sans utiliser de cbles. Ainsi, plusieurs utilisateurs situs dans une zone limite, telle quune salle de confrence, peuvent -ils former un rseau provisoire sans utiliser de points daccs. Bien quils puissent communiquer et partager des ressources, il leur est impossible daccder aux ressources rseau qui ne font pas partie de ce rseau dgal gal.
6-a Composants dune connexion sans fil : Un rseau local sans fil (WLAN) est constitu des composants suivants : Client sans fil (station). Une station est un priphrique informatique quip dune carte rseau sans fil. Un ordinateur personnel quip dune carte rseau sans fil e st dsign sous le nom de client sans fil. Les clients sans fil peuvent communiquer directement entre eux ou par le biais dun point daccs sans fil. Point daccs sans fil. Un point daccs sans fil est un priphrique rseau quip dune carte rseau sans fil qui fait office de pont entre les stations et un rseau cbl traditionnel. Un point daccs comprend les lments suivants : Au moins une interface qui connecte le point daccs un rseau cbl existant (un segment Ethernet, par exemple). Un quipement radio au moyen duquel il tablit une connexion sans fil des clients sans fil. Un logiciel de pontage IEEE 802.1D qui permet de faire office de pont transparent entre les rseaux sans fil et cbl. Ports. Un port est le canal dun priphrique capable de grer une seule connexion point point. Un client sans fil standard quip dune seule carte rseau sans fil possde un seul port et peut grer une seule connexion sans fil. Un point daccs sans fil type possde plusieurs ports et peut prendre en charge plusieurs connexions sans fil simultanes. Authentification. Le service Routage et accs distant fournit des services dauthentification, tels que les mthodes dauthentification 802.1x et IAS Windows Server 2003 fournit galement des services per sonnalisables pour lmission et la gestion de certificats qui sont utiliss dans les systmes de scurit logiciels employant la technologie de cl publique. Attribution dun serveur de noms et dadresses. Le service Routage et accs distant prend en charge les rseaux sans fil comme sil sagissait dautres clients daccs distant, tels que des clients VPN ou daccs distance. Ce service fournit des stratgies daccs distant et dallocation dadresses IP propres aux clients rseau sans fil.
WWW.RESEAUMAROC.COM
6-b Normes sans fil :
WWW.RESEAUMAROC.COM
La norme 802.11, galement connue sous le nom de Wi-Fi, regroupe un ensemble de spcifications destines aux rseaux WLAN, labores par un groupe de travail de lIEEE. 802.11 dfinit la partie physique et MAC (Media Access Control) de la couche de liaison de donnes du modle OSI (Open Systems Interconnection). La couche MAC est la mme pour toutes les normes 802.11. Cependant, limplmentation varie en fonction de la norme. La norme 802.11b prend en charge des dbits binaires plus levs que la spcification 802.11 dorigine. 802.11b gre deux vitesses de transmission supplmentaires, savoir : 5,5 Mbit/s (mgabits par seconde) et 11 Mbit/s. Cette spcification offre une bonne porte, mais est sensible aux interfrences radio. De nombreux fabricants commercialisent des priphriques 802.11b abordables pour le march des rseaux domestiques et des petites entreprises. 802.11a offre des vitesses de transmission plus leves, de lordre de 54 Mbits/s, moyennant toutefois une porte rduite. Cette technologie plus rapide permet doptimiser les performances des applications de confrence et vido sur un rseau local sans fil. Elle utilise 12 canaux distincts qui ne se chevauchent, ce qui se traduit par un fonctionnement optimal dans les zones densment peuples, ainsi que par une rsistance accrue aux interfrences et un meilleur dbit. Cette technologie utilise une autre partie du spectre radiolectrique que les spcifications 802.11, 802.11b et 802.11g, ce qui empche toute interoprabilit. 802.11g est une amlioration de la norme 802.11b, avec laquelle elle est compatible. Pour mettre niveau la norme 802.11b vers 802.11g, une simple mise jour du microprogramme peut se rvler ncessaire. Les vitesses de transmission prises en charge peuvent atteindre 54 Mbit/s, mais la porte est infrieure la spcification 802.11b. linstar de la norme 802.11b, 802.11g est sensible aux interfrences.
WWW.RESEAUMAROC.COM
802.1x est une extension de la norme 802.11 qui dfinit une mthode dauthentification de laccs au port avant dautoriser laccs au rseau. Cette spcification a t conue pour pallier certaines des lacunes de la scurit sans fil 802.11. Cependant, elle peut galement tre utilise pour les rseaux locaux cbls. Dans le cadre de lauthentification, 802.1x peut utiliser des certificats avec EAP-TLS, des mots de passe avec EAP-MS-CHAP v2 ou encore le protocole PEAP. Le protocole PEAP peut tre configur avec la mthode TLS ou MSCHAP v2. Lutilisation du mcanisme dauthentification PEAP -TLS est conseille, dans la mesure o il constitue la mthode de dtermination des cls et dauthentification la plus puissante. Un certificat est ncessaire sur le serveur daccs distant pour la mthode MS CHAP v2. Dans le cas de la mthode PEAP-TLS, des certificats sont ncessaires pour les serveurs daccs distant et le client. La mise en .uvre de la spcification 802.1x demande un investissement sur le plan du matriel et de linfrastructure. 6-c Mthodes dauthentification disponibles pour les rseaux sans fil : Sagissant de lauthentification, la norme 802.11 dfinit des types dauthentification cl partage et systme ouvert. Pour la confidentialit des donnes, la norme 802.11 dfinit une cl WEP (Wired Equivalent Privacy). La norme 802.11 ne dfinit, ni ne fournit de protocole de gestion des cls WEP prvoyant la dtermination et le renouvellement automatiques des cls de cryptage. Il sagit l dune limitation des services de scurit IEEE 802.11, notamment pour un mode dinfrastructure sans fil avec un grand nombre de clients sans fil. Pour remdier ce problme, il est possible dassocier un contrle daccs au rseau bas sur le port IEEE 802.1x la mthode EAP-TLS pour les rseaux IEEE 802.11. 802.1x utilise EAP comme protocole dauthentification. Le protocole EAP permet un change de messages et ltablissement dune conversation ouverte entre le client et le serveur lors du processus dauthentification en vue dune ngociation des protocoles dauthentification. La prise en charge offerte par la norme 802.1x pour les types de protocole EAP vous permet de choisir parmi plusieurs mthodes dauthentification pour les serveurs et clients sans fil, savoir : EAP-MS-CHAP v2. EAP-MS-CHAP v2 effectue une authentification mutuelle. Cette mthode utilise des certificats pour lauthentification du serveur et des informations didentification bases sur un mot de passe pour lauthentification du client. EAP-TLS. EAP-TLS effectue une authentification mutuelle. Il sagit de la mthode la plus puissante en matire d authentification et de dtermination des cls. Elle utilise des certificats pour lauthentification du client et du serveur. PEAP (Protected EAP). Le protocole PEAP assure une protection accrue du processus dauthentification grce au cryptage des paquets de ngociation EAP initiaux. PEAP prend en charge les mthodes EAP-TLS et EAP-MSCHAP v2. 6-d Comment configurer le client daccs rseau pour une connexion sans fil : Pour configurer un client daccs rseau pour une connexion sans fil, procdez comme s uit : 1. Ouvrez le dossier Connexions rseau.
WWW.RESEAUMAROC.COM
2. Cliquez avec le bouton droit sur la connexion rseau sans fil approprie, slectionnez Proprits, puis cliquez sur longlet Configuration rseaux sans fil. 3. Indiquez si vous souhaitez ajouter une nouvelle connexion rseau sans fil ou modifier ou supprimer une connexion existante, puis slectionnez la tche correspondante dans le tableau ci-dessous. 4. Si vous ajoutez ou modifiez une connexion rseau sans fil, cliquez sur longlet Association, puis configurez les paramtres selon vos besoins. 5. Pour configurer lauthentification 802.1x pour la connexion rseau sans fil, cliquez sur longlet Authentification, puis configurez les paramtres selon vos besoins. 6. Pour vous connecter un rseau sans fil aprs avoir configur les paramtres, cliquez sur le nom du rseau dans la section Rseaux disponibles de longlet Rseaux sans fil, puis sur Configurer et OK. 7. Pour modifier lordre dans lequel les tentatives de connexion aux rseaux favoris sont effectues, sous Rseaux favoris, cliquez sur le rseau sans fil dont vous souhaitez modifier la position dans la liste, puis cliquez sur Haut ou Bas. 8. Pour mettre jour la liste des rseaux disponibles situs porte de votre ordinateur, cliquez sur Actualiser. 9. Pour vous connecter automatiquement aux rseaux disponibles qui napparaissent pas dans Rseaux favoris, cliquez sur Avanc, puis activez la case cocher Se connecter automatiquement aux rseaux non favoris.
WWW.RESEAUMAROC.COM

Cours Acces - Distant

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Acces - Distant

Transféré par

Droits d'auteur :

Formats disponibles

WWW.RESEAUMAROC.

Le service Routage et accs distant

4- Configuration dune connexion VPN : 4-a Fonctionnement dune connexion VPN :

4-c Protocoles de cryptage pour une connexion VPN

5-b Composants dune connexion daccs distance :

5-c Mthodes dauthentification disponibles pour une connexion daccs distance :

EAP-TLS EAP-MD5 Challenge

6-b Normes sans fil :

Vous aimerez peut-être aussi