Académique Documents
Professionnel Documents
Culture Documents
Dans cet article nous dtailler la mise en place de l'accs distance avec le service Routage et accs distant de Microsoft Windows 2003 Server.
Comme nous le verrons ultrieurement, il est possible d'utiliser un service spcifique nomm IAS (Internet Authentification Service) pour centraliser les demandes d'authentification des clients d'accs distant. b/ infrastructure matrielle Gnralement, une machine ddie est utilise pour jouer le rle de contrleur de domaine et une autre machine est utilise excuter le service Routage et Accs Distant. Voici une topologie rseau type en ce qui concerne l'accs distance :
Comme le montre le schma ci-dessus, divers types de rseau peuvent utiliss pour tablir la connexion entre l'ordinateur client et le serveur d'accs distant. Les trois principaux sont : les connexions VPN (Virtual Private Network) qui utilisent un rseau public (le plus souvent Internet). les connexions d'accs distance qui utilisent un Rseau Numrique Intgration de Service (RNIS), comme par exemple Numris de l'oprateur tlphonique France Tlcom. les connexions sans fil (ou wireless) qui utilisent des technologies bases sur la propagation d'ondes (infrarouge, bluetooth, WiFi, WiMAX,...).
En consquence, plusieurs types de clients sont distinguables : les clients VPN les clients d'accs distance les clients sans fil
Il faut taper rrasmgmt.m sc dans la boite de dialogue excuter pour lancer la console Routage et Accs Distant. Pour activer le service, il faut faire un clic droit sur le nom du serveur et cliquer sur Configurer et activer le routage et l'accs distant.
1
On slectionne le mode configuration personnalise pour pouvoir choisir les services que l'on souhaite installer.
1
L'assistant se termine.
Une fois le service Routage et Accs Distant install, l'arborescence se complte et on a accs plus d'options : Interface Rseau : liste les cartes rseau et les modems actuellement connects la machine et permet d'ajouter des connexions de numrotation la demande. Clients d'accs distant : liste le nombre de clients actuellement connects au serveur d'accs distant et offre la possibilit de forcer la fermeture des sessions d'accs distants. Ports : Un port est un priphrique virtuel permettant aux clients de se connecter au serveur. Le nombre de ports configurs est paramtrable pour chaque type de connexion (par exemple, il est possible de dfinir un nombre de ports pour les connexions via le protocole PPTP). Cette vue permet de constater l'tat actif ou inactif de chaque port. Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer les interfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la dcouverte automatique de routeurs. Cette fentre permet aussi de dfinir une interface en tant qu'agent de relais DHCP. Stratgies d'accs distant : Une stratgie d'accs distant est un ensemble de conditions dfinissant qui pourra accder distance au rseau et quelles seront les caractristiques de cette connexion. Les critres d'acceptation ou de refus de connexions sont trs varis. Il est possible de configurer une stratgie pour refuser ou
1
accepter un connexion suivant une plage horaire, appartenance un groupe, type de service, protocole utilis, temps maximum de connexion etc L'ordre de placement des stratgies est trs importante car c'est la premire stratgie concerne qui servira accepter ou refuser la connexion. Les stratgies d'accs distant ne sont pas stockes dans l'active Directory, mais dans le fichier local IAS.mdb. Une solution pour appliquer les mme stratgies d'accs distant plusieurs serveur d'accs distant est d'utiliser un serveur utilisant le protocole RADIUS. Le serveur RADIUS de Microsoft se nomme IAS (Internet Authentification Service) et se prsente sous la forme d'un service optionnel. Connexion par accs distant : Cette fentre permet de paramtrer la journalisation (emplacement du journal, types d'vnements enregistrer,...)
la possibilit de choisir quels sont les vnements qui seront stocks dans le journal (onglet Enregistrement).
1
95. MS-CHAP V2 est une amlioration du protocole MS-CHAP avec des cls de cryptage plus fortes et une authentification mutuelle entre le client et le serveur d'accs distant. Il a t implment partir de Windows 98. EAP (Extensible Authentification Protocol) est un protocole volutif qui permet d'authentifier du matriel propritaire de manire scurise.
autorisation du serveur d'accs distant l'aide de la commande netsh. Pour qu'un utilisateur puisse se connecter distance au rseau de l'entreprise, il faut effectuer des modification au niveau de son compte dans le service d'annuaire Active Directory. Il existe trois types d'autorisations :
1
o o o Autoriser l'accs Refuser l'accs Contrler l'accs via la stratgie d'accs distant
Une stratgie d'accs distant est un ensemble de conditions dfinissant qui pourra accder distance au rseau et quelles seront les caractristiques de cette connexion. Les critres d'acceptation ou de refus de connexions sont trs varis. Il est possible de configurer une stratgie pour refuser ou accepter un connexion suivant une plage horaire, appartenance un groupe, type de service, protocole utilis, temps maximum de connexion etc L'ordre de placement des stratgies est trs important car c'est la premire stratgie concerne qui servira accepter ou refuser la connexion. Les stratgies d'accs distant ne sont pas stockes dans le service d'annuaire Active Directory, mais dans le fichier local IAS.mdb (situ dans le rpertoire c:\windows\system32\isa).
les trois types d'autorisations d'accs distant (autoriser / refuser / contrler avec une stratgie d'accs distant)
Il faut commencer par donner un nom la stratgie et choisir le type de paramtrage. L'assistant propose d'utiliser un scnario prdfini ou bien de personnaliser totalement la stratgie d'accs distant (rserv aux utilisateurs expriments en raison du nombre de protocoles disponibles).
Il existe quatre types mthodes d'accs dfinies par dfaut. Dans cet exemple, une connexion VPN (Virtual Private Network) est mise en place.
Il faut ensuite slectionner le ou les groupes qui ont l'autorisation de se connecter distance.
Ensuite, il faut choisir le protocole d'authentification qui sera utilis (le choix par dfaut est le protocole MS-CHAP V2).
1
Dans la fentre de proprits de chaque stratgie, les conditions slectionne sont rcapitules dans une petite fentre. Le bouton Ajouter permet d'implmenter des conditions supplmentaires.
Le bouton Modifier le profil permet de mettre en place des conditions avances pour la connexion. Si les conditions dfinies dans la fentre Conditions de la stratgie sont vrifis alors le serveur d'accs distant applique les conditions dfinies dans le profil. Le profil permet donc de filtrer de faon plus fine les demandes d'accs distant. Le profil d'appel entrant permet de slectionner des options avances comme : le type de mdia (RNIS, VPN, ...). le protocole d'authentification utiliser (MS-CHAP V2, EAP, ...). le dlai d'inactivit de la connexion. la dure maximale d'une connexion. la slection du niveau de cryptage (aucun, MPPE 40bits, MPPE 56bits ou MPPE 128bits). les plages horaires autorises pour l'accs distance. etc...
Du point de vue de la scurit il est recommand de mettre en place les protocoles d'authentification MS-CHAP V2 ou EAP en utilisant le niveau de cryptage le plus fort (128 bits) afin de minimiser les risques de piratage. De plus il faut mettre en place les conditions horaires les plus strictes (c'est--dire interdire l'accs distance lorsque cela est possible, limiter la dure d'une session et mettre en place une dure d'inactivit faible).
la centralisation de l'accs distant grce au service IAS Une fois en place et correctement paramtr le serveur IAS joue le rle d'intermdiaire entre les serveurs d'accs distant et le contrleur de domaine Ceci modifie donc les tapes lors de l'tablissement d'une connexion d'accs distance : 1. Un client contacte le serveur d'accs distant et lui envoie un identifiant avec un mot de passe pour tenter d'tablir la connexion. 2. Le serveur d'accs distant (qui est un client RADIUS du point de vue du serveur IAS) envoie la demande d'authentification au serveur IAS en UDP via les ports 1812 et 1813. 3. Le serveur IAS excute les phases d'authentification et d'autorisation auprs d'un contrleur de domaine 4. Si l'utilisateur distant a correctement t identifi alors le serveur IAS compare les stratgies d'accs distant configures avec la demande de connexion du client. 5. Si les paramtres de la demande de connexion concordent avec une stratgie d'accs distant alors le serveur IAS envoie un message au serveur d'accs distant qui fournit ensuite une adresse IP au client.
Pour lancer l'installation du service IAS, allez dans le panneau de configuration, puis slectionnez ajout/suppression de programmes. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants de Windows.
Dans la premire fentre de l'assistant Composants de Windows, slectionnez l'option Services de mise en rseau.
Enfin cchez la case Service d'authentification Internet puis cliquez sur OK. Enfin faites suivant pour lancer l'installation d'IAS.
Une fois le service install, vous pouvez y accder en tapant ias.msc dans la boite de dialogue excuter ou bien en cliquant sur Service d'authentification Internet dans les outils d'administration.
Client RADIUS Le conteneur Clients RADIUS liste l'ensemble des serveurs d'accs distants qui sont des clients vis-vis du serveur IAS. Pour qu'un serveur d'accs distant fasse partie de cette liste, il suffit de l'y ajouter en utilisant l'assistant Ajouter un client RADIUS.
1
Pour ajouter un client RADIUS, il suffit d'entrer son nom de domaine pleinement qualifi (FQDN) ou bien son adresse IP ainsi qu'une chane de caractre permettant de le reconnatre facilement.
Il faut ensuite choisir le type de technologie RADIUS utiliser (ici RADIUS standard), une cl partage (optionnelle) pour crypter les changes entre le client et le serveur IAS. On peut aussi ccher la case Les requtes doivent contenir l'attribut de l'authentificateur de message qui aura pour effet de forcer le client RADIUS s'authentifier chaque connexion auprs du serveur IAS en envoyant une signature numrique.
Connexion par accs distant Le conteneur Connexion par accs distant permet de configurer la journalisation. Il est par exemple possible de choisir les informations qui seront enregistres.
Stratgie d'accs distant Le conteneur Stratgie d'accs distant est identique celui prsent dans la console Routage et accs distant. Il stocke l'ensemble des stratgies d'accs distant disponibles pour chaque serveur d'accs distant.
Pour que les serveur d'accs distant envoie les demandes d'authentifications vers le serveur IAS, il est ncessaire de modifier leur configuration originelle. Pour cela il faut lancer la console Routage et Accs distant (vous pouvez taper rrasmgmt.msc dans la boite de dialogue excuter) puis faire un clic droit sur le nom du serveur, puis proprits. Sectionnez ensuite l'onglet Scurit et vous devriez accdez la fentre ci-contre. Choisissez Authentification RADIUS dans la liste droulante Fournisseur d'authentifications, puis cliquez sur le bouton Configurer.
Vous devez saisir le nom DNS pleinement qualifi du serveur IAS dans le champ rserv cet effet. Si vous avez choisi d'utilis une cl pr-partage lors de l'ajout du serveur d'accs distant dans la liste des client RADIUS du serveur IAS, vous devez saisir la mme cl en cliquant sur le bouton Modifier. Si vous avez cch l'option Les requtes doivent contenir l'attribut de l'authentificateur de message, lors de l'ajout du serveur d'accs distant dans la liste des client RADIUS du serveur IAS, alors vous devez aussi ccher la case Toujours utiliser l'authentificateur de messages. Ainsi chaque demande d'accs distant, le serveur d'accs distant enverra une signature numrique permettant de l'identifier en tant que client RADIUS auprs du serveur IAS. Vous pouvez ventuellement modifier le port par dfaut pour envoyer les messages d'authentification vers le serveur IAS.
1
Une fois toutes ces modifications effectues vous devez redmarrer le service Routage et accs distant pour que les modifications soient prises en compte.
Les protocoles de cryptage utiliss par PPTP et L2TP sont respectivement MPPE et IPSec.
Choisissez : o o Connexion d'accs distance si vous souhaitez vous connecter distance via une ligne RNIS Connexion rseau priv virtuel si vous souhaitez vous connecter au rseau interne de l'entreprise via Internet.
1
Donnez ensuite un nom la connexion pour pouvoir la reconnatre aisment.
Entrez ensuite le nom DNS pleinement qualifi (FQDN) ou bien l'adresse IP du serveur d'accs distant.
Cliquez sur Suivant, puis sur Terminer pour quitter l'assistant. Vous devez ensuite saisir l'identifiant et le mot de passe utiliser pour s'authentifier auprs du serveur d'accs distant. Vous pouvez choisir d'enregistrer ces informations d'authentification ce qui vitera de les ressaisir l'avenir. Vous pouvez ensuite cliquer sur Se connecter pour tablir la connexion VPN.
Les proprits de la connexion permettent de modifier un grand nombre de paramtre comme le protocole d'authentification utiliser (MS-CHAP V2 est le protocole recommand pour obtenir une scurit maximale), les paramtres TCP/IP, l'adresse IP du serveur d'accs distant, ...
o o
Vous pouvez aussi envisager l'installation d'un pare-feu comme ISA Server afin d'augmenter le niveau de scurit du rseau interne de l'entreprise.
VI- Conclusion
La console Routage et accs distant (RRAS) regroupe toutes les fonctionnalits ncessaires la cration de connexions d'accs distant. Les mthodes d'accs distant proposes (rseau priv virtuel, sans fil,...) permettent une adaptation tout les cas de figure envisageables. L'association des profils d'accs distant et des stratgies d'accs distant permet de scuriser et de rglementer de faon trs fine une connexion travers un rseau public comme Internet. De plus, la mise en place du service IAS facilite la maintenance des stratgies d'accs distant grce l'utilisation du protocole RADIUS qui permet la centralisation des requtes d'authentification. En conclusion, l'infrastructure intgre Windows 2000/2003 server permet de mettre en place rapidement un service d'accs distance fiable, scuris et hautement paramtrable.