1

Installation et configuration des vpn sous windows 2003 I- Introduction

1-) Prsentation du service routage et accs distant
Le service Routage et Accs Distant encore appel RRAS (pour Routing and Remote Access Service) possde deux fonctions principales : Il permet de faire communiquer entre-eux des rseaux diffrents ou des sous-rseaux diffrents (routage) Il permet des clients situ dans une zone gographiquement loigne de l'entreprise d'accder au rseau interne de l'entreprise (accs distance)

Dans cet article nous dtailler la mise en place de l'accs distance avec le service Routage et accs distant de Microsoft Windows 2003 Server.

2-) Infrastructure logicielle et matrielle de l'accs distance

a/ infrastructure logicielle Pour tre mis en place dans un environnement Microsoft, l'accs distance requiert la prsence de plusieurs services: un logiciel d'accs distants client (intgr au systme d'exploitation depuis la sortie de Windows 95) le service Routage et Accs distant le service d'annuaire Active Directory

Comme nous le verrons ultrieurement, il est possible d'utiliser un service spcifique nomm IAS (Internet Authentification Service) pour centraliser les demandes d'authentification des clients d'accs distant. b/ infrastructure matrielle Gnralement, une machine ddie est utilise pour jouer le rle de contrleur de domaine et une autre machine est utilise excuter le service Routage et Accs Distant. Voici une topologie rseau type en ce qui concerne l'accs distance :

Comme le montre le schma ci-dessus, divers types de rseau peuvent utiliss pour tablir la connexion entre l'ordinateur client et le serveur d'accs distant. Les trois principaux sont : les connexions VPN (Virtual Private Network) qui utilisent un rseau public (le plus souvent Internet). les connexions d'accs distance qui utilisent un Rseau Numrique Intgration de Service (RNIS), comme par exemple Numris de l'oprateur tlphonique France Tlcom. les connexions sans fil (ou wireless) qui utilisent des technologies bases sur la propagation d'ondes (infrarouge, bluetooth, WiFi, WiMAX,...).

En consquence, plusieurs types de clients sont distinguables : les clients VPN les clients d'accs distance les clients sans fil

3-) Principe de fonctionnement de l'accs distance

L'tablissement d'une connexion d'accs distance passe par plusieurs tapes : 1. Un client contacte le serveur d'accs distant et lui envoie un identifiant avec un mot de passe pour tenter de s'authentifier. 2. Le serveur d'accs distant commence par vrifier si l'identifiant et le mot de passe correspondent un utilisateur de l'annuaire Active Directory : c'est la phase d'authentification. 3. Si l'utilisateur s'est authentifi avec succs, alors le serveur d'accs distant compare les paramtres de la demande de connexion avec toutes les stratgies d'accs distant existantes. 4. Si les conditions d'une stratgie d'accs distant correspondent avec les paramtres de la demande de connexion, alors le serveur d'accs distant vrifie si l'utilisateur a l'autorisation de se connecter distance au rseau de l'entreprise : c'est la phase d'autorisation. 5. Si l'utilisateur est autoris se connecter distance au rseau de l'entreprise, alors les conditions du profil d'accs distant de la connexion sont vrifies. 6. Si toutes les conditions du profil d'accs distant sont vrifies alors la connexion est autorise et le client reoit une adresse IP.

les tapes de l'tablissement d'une connexion d'accs distance

II- Configuration gnrale du serveur

1-) Lancer la console et activer le service Routage et Accs distant

Il faut taper rrasmgmt.m sc dans la boite de dialogue excuter pour lancer la console Routage et Accs Distant. Pour activer le service, il faut faire un clic droit sur le nom du serveur et cliquer sur Configurer et activer le routage et l'accs distant.

L'assistant installation du serveur de routage et d'accs distant se lance.

1
On slectionne le mode configuration personnalise pour pouvoir choisir les services que l'on souhaite installer.

On slectionne les services ncessaires.

1
L'assistant se termine.

Une fois le service Routage et Accs Distant install, l'arborescence se complte et on a accs plus d'options : Interface Rseau : liste les cartes rseau et les modems actuellement connects la machine et permet d'ajouter des connexions de numrotation la demande. Clients d'accs distant : liste le nombre de clients actuellement connects au serveur d'accs distant et offre la possibilit de forcer la fermeture des sessions d'accs distants. Ports : Un port est un priphrique virtuel permettant aux clients de se connecter au serveur. Le nombre de ports configurs est paramtrable pour chaque type de connexion (par exemple, il est possible de dfinir un nombre de ports pour les connexions via le protocole PPTP). Cette vue permet de constater l'tat actif ou inactif de chaque port. Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer les interfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la dcouverte automatique de routeurs. Cette fentre permet aussi de dfinir une interface en tant qu'agent de relais DHCP. Stratgies d'accs distant : Une stratgie d'accs distant est un ensemble de conditions dfinissant qui pourra accder distance au rseau et quelles seront les caractristiques de cette connexion. Les critres d'acceptation ou de refus de connexions sont trs varis. Il est possible de configurer une stratgie pour refuser ou

1
accepter un connexion suivant une plage horaire, appartenance un groupe, type de service, protocole utilis, temps maximum de connexion etc L'ordre de placement des stratgies est trs importante car c'est la premire stratgie concerne qui servira accepter ou refuser la connexion. Les stratgies d'accs distant ne sont pas stockes dans l'active Directory, mais dans le fichier local IAS.mdb. Une solution pour appliquer les mme stratgies d'accs distant plusieurs serveur d'accs distant est d'utiliser un serveur utilisant le protocole RADIUS. Le serveur RADIUS de Microsoft se nomme IAS (Internet Authentification Service) et se prsente sous la forme d'un service optionnel. Connexion par accs distant : Cette fentre permet de paramtrer la journalisation (emplacement du journal, types d'vnements enregistrer,...)

2-) Les paramtres du serveur d'accs distant

Des paramtres gnraux sont accessibles en faisant un clic droit sur le nom du serveur puis en slectionnant proprits. Les options intressantes au niveau de l'accs distance (les autres options concernent le routage) sont : o o le choix d'activer ou non l'accs distance (onglet Gnral) le choix du protocole utilis pour l'authentification des utilisateurs (onglet Scurit) la possibilit de choisir comment le serveur d'accs distant va attribuer les adresses IP aux clients (soit dans un pool d'adresses statique, soit via le protocole DHCP) la possibilit de choisir avec quelle interface rseau le serveur d'accs distant doit obtenir les baux DHCP pour les clients.

la possibilit de choisir quels sont les vnements qui seront stocks dans le journal (onglet Enregistrement).

3-) Les protocoles d'authentification

Le service Routage et accs distant propose plusieurs protocoles plus ou moins scuris pour authentifier les utilisateurs distant : PAP (Password Authentification Protocol) est un protocole non scuris car les identifiants et les mots de passe sont envoys en clair (c'est--dire sans cryptage) entre le client et le serveur d'accs distant. SPAP (Shiva Password Authentification Protocol) permet aux machines clientes quipes avec du matriel de marque Shiva de se connecter au serveur d'accs distant. Les mots de passe sont protgs par un cryptage rversible (faible scurit). CHAP (Challenge Handshake Authentification Protocol) autorise le cryptage des mots de passe envoys du client vers le serveur d'accs distant. MS-CHAP (Microsoft CHAP) est un protocole propritaire de Microsoft bas sur CHAP. Il utilise le protocole de cryptage MPPE (Microsoft Point-toPoint Encryption) et est support depuis Windows

1
95. MS-CHAP V2 est une amlioration du protocole MS-CHAP avec des cls de cryptage plus fortes et une authentification mutuelle entre le client et le serveur d'accs distant. Il a t implment partir de Windows 98. EAP (Extensible Authentification Protocol) est un protocole volutif qui permet d'authentifier du matriel propritaire de manire scurise.

III- Mettre en place une stratgie d'accs distant

1-) Configuration du serveur d'accs distant pour fonctionner dans un domaine
Pour autoriser un utilisateur se connecter au rseau interne de l'entreprise, le serveur d'accs distant doit autoriser et authentifier cet utilisateur en comparant l'identifiant et le mot de passe avec les informations contenues dans le service d'annuaire Active Directory. Pour que le serveur d'accs distant puisse se connecter au contrleur de domaine et effectuer ces actions, deux conditions doivent tre remplies : o o le serveur d'accs distant doit tre membre du domaine. le serveur d'accs distant doit tre explicitement autoris pour accder aux informations contenues dans le service d'annuaire Active Directory (pour cela il faut utiliser la commande netsh).

autorisation du serveur d'accs distant l'aide de la commande netsh. Pour qu'un utilisateur puisse se connecter distance au rseau de l'entreprise, il faut effectuer des modification au niveau de son compte dans le service d'annuaire Active Directory. Il existe trois types d'autorisations :

1
o o o Autoriser l'accs Refuser l'accs Contrler l'accs via la stratgie d'accs distant

Une stratgie d'accs distant est un ensemble de conditions dfinissant qui pourra accder distance au rseau et quelles seront les caractristiques de cette connexion. Les critres d'acceptation ou de refus de connexions sont trs varis. Il est possible de configurer une stratgie pour refuser ou accepter un connexion suivant une plage horaire, appartenance un groupe, type de service, protocole utilis, temps maximum de connexion etc L'ordre de placement des stratgies est trs important car c'est la premire stratgie concerne qui servira accepter ou refuser la connexion. Les stratgies d'accs distant ne sont pas stockes dans le service d'annuaire Active Directory, mais dans le fichier local IAS.mdb (situ dans le rpertoire c:\windows\system32\isa).

les trois types d'autorisations d'accs distant (autoriser / refuser / contrler avec une stratgie d'accs distant)

2-) Cration d'une stratgie d'accs distant

L'assistant Nouvelle stratgie d'accs distant permet de crer rapidement des stratgies d'accs distant.

Il faut commencer par donner un nom la stratgie et choisir le type de paramtrage. L'assistant propose d'utiliser un scnario prdfini ou bien de personnaliser totalement la stratgie d'accs distant (rserv aux utilisateurs expriments en raison du nombre de protocoles disponibles).

Il existe quatre types mthodes d'accs dfinies par dfaut. Dans cet exemple, une connexion VPN (Virtual Private Network) est mise en place.

Il faut ensuite slectionner le ou les groupes qui ont l'autorisation de se connecter distance.

Ensuite, il faut choisir le protocole d'authentification qui sera utilis (le choix par dfaut est le protocole MS-CHAP V2).

Il faut ensuite slectionner le niveau de cryptage et terminer l'assistant.

3-) Paramtrage d'une stratgie d'accs distant

Chaque stratgie d'accs distant possde un ordre d'application. Lorsqu'un utilisateur tente d'tablir une connexion le serveur d'accs distant compare les stratgies d'accs distant en partant du numro le plus faible. La premire stratgie dont les conditions (planification, type de mdia, ...) correspondent est applique. Si aucune stratgie ne concorde alors l'accs est refuse. On peut diter les paramtres d'une stratgie d'accs distant pour avoir accs plus d'options.

1
Dans la fentre de proprits de chaque stratgie, les conditions slectionne sont rcapitules dans une petite fentre. Le bouton Ajouter permet d'implmenter des conditions supplmentaires.

Le bouton Modifier le profil permet de mettre en place des conditions avances pour la connexion. Si les conditions dfinies dans la fentre Conditions de la stratgie sont vrifis alors le serveur d'accs distant applique les conditions dfinies dans le profil. Le profil permet donc de filtrer de faon plus fine les demandes d'accs distant. Le profil d'appel entrant permet de slectionner des options avances comme : le type de mdia (RNIS, VPN, ...). le protocole d'authentification utiliser (MS-CHAP V2, EAP, ...). le dlai d'inactivit de la connexion. la dure maximale d'une connexion. la slection du niveau de cryptage (aucun, MPPE 40bits, MPPE 56bits ou MPPE 128bits). les plages horaires autorises pour l'accs distance. etc...

Du point de vue de la scurit il est recommand de mettre en place les protocoles d'authentification MS-CHAP V2 ou EAP en utilisant le niveau de cryptage le plus fort (128 bits) afin de minimiser les risques de piratage. De plus il faut mettre en place les conditions horaires les plus strictes (c'est--dire interdire l'accs distance lorsque cela est possible, limiter la dure d'une session et mettre en place une dure d'inactivit faible).

IV- Centralisation des clients d'accs distant l'aide du serveur IAS

1-) Prsentation et installation d'IAS
Lorsque l'on dispose de plusieurs serveurs d'accs distant, il peut s'avrer fastidieux de mettre en place une stratgie d'accs uniforme. La solution la plus simple reste de mettre en place un serveur utilisant le protocole RADIUS (pour Remote Authentication Dial-In User Service) qui permet une autorisation et une authentification des utilisateurs distant de manire centralise. Microsoft a dvelopp son propre serveur RADIUS qui s'intgre Windows 2003 Server sous la forme d'un service optionnel. Ce service se nomme IAS pour Internet Authentification Service.

la centralisation de l'accs distant grce au service IAS Une fois en place et correctement paramtr le serveur IAS joue le rle d'intermdiaire entre les serveurs d'accs distant et le contrleur de domaine Ceci modifie donc les tapes lors de l'tablissement d'une connexion d'accs distance : 1. Un client contacte le serveur d'accs distant et lui envoie un identifiant avec un mot de passe pour tenter d'tablir la connexion. 2. Le serveur d'accs distant (qui est un client RADIUS du point de vue du serveur IAS) envoie la demande d'authentification au serveur IAS en UDP via les ports 1812 et 1813. 3. Le serveur IAS excute les phases d'authentification et d'autorisation auprs d'un contrleur de domaine 4. Si l'utilisateur distant a correctement t identifi alors le serveur IAS compare les stratgies d'accs distant configures avec la demande de connexion du client. 5. Si les paramtres de la demande de connexion concordent avec une stratgie d'accs distant alors le serveur IAS envoie un message au serveur d'accs distant qui fournit ensuite une adresse IP au client.

Pour lancer l'installation du service IAS, allez dans le panneau de configuration, puis slectionnez ajout/suppression de programmes. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants de Windows.

Dans la premire fentre de l'assistant Composants de Windows, slectionnez l'option Services de mise en rseau.

Enfin cchez la case Service d'authentification Internet puis cliquez sur OK. Enfin faites suivant pour lancer l'installation d'IAS.

Une fois le service install, vous pouvez y accder en tapant ias.msc dans la boite de dialogue excuter ou bien en cliquant sur Service d'authentification Internet dans les outils d'administration.

2-) Configuration d'IAS

Voici une capture d'cran de la console Service d'authentification Internet :

Client RADIUS Le conteneur Clients RADIUS liste l'ensemble des serveurs d'accs distants qui sont des clients vis-vis du serveur IAS. Pour qu'un serveur d'accs distant fasse partie de cette liste, il suffit de l'y ajouter en utilisant l'assistant Ajouter un client RADIUS.

1
Pour ajouter un client RADIUS, il suffit d'entrer son nom de domaine pleinement qualifi (FQDN) ou bien son adresse IP ainsi qu'une chane de caractre permettant de le reconnatre facilement.

Il faut ensuite choisir le type de technologie RADIUS utiliser (ici RADIUS standard), une cl partage (optionnelle) pour crypter les changes entre le client et le serveur IAS. On peut aussi ccher la case Les requtes doivent contenir l'attribut de l'authentificateur de message qui aura pour effet de forcer le client RADIUS s'authentifier chaque connexion auprs du serveur IAS en envoyant une signature numrique.

Connexion par accs distant Le conteneur Connexion par accs distant permet de configurer la journalisation. Il est par exemple possible de choisir les informations qui seront enregistres.

Mais aussi, l'emplacement, le format et la frquence d'actualisation du fichier journal.

Stratgie d'accs distant Le conteneur Stratgie d'accs distant est identique celui prsent dans la console Routage et accs distant. Il stocke l'ensemble des stratgies d'accs distant disponibles pour chaque serveur d'accs distant.

3-) Configuration du serveur d'accs distant pour utiliser IAS

Pour que les serveur d'accs distant envoie les demandes d'authentifications vers le serveur IAS, il est ncessaire de modifier leur configuration originelle. Pour cela il faut lancer la console Routage et Accs distant (vous pouvez taper rrasmgmt.msc dans la boite de dialogue excuter) puis faire un clic droit sur le nom du serveur, puis proprits. Sectionnez ensuite l'onglet Scurit et vous devriez accdez la fentre ci-contre. Choisissez Authentification RADIUS dans la liste droulante Fournisseur d'authentifications, puis cliquez sur le bouton Configurer.

Dans la fentre Authentification RADIUS, cliquez sur le bouton Ajouter.

Vous devez saisir le nom DNS pleinement qualifi du serveur IAS dans le champ rserv cet effet. Si vous avez choisi d'utilis une cl pr-partage lors de l'ajout du serveur d'accs distant dans la liste des client RADIUS du serveur IAS, vous devez saisir la mme cl en cliquant sur le bouton Modifier. Si vous avez cch l'option Les requtes doivent contenir l'attribut de l'authentificateur de message, lors de l'ajout du serveur d'accs distant dans la liste des client RADIUS du serveur IAS, alors vous devez aussi ccher la case Toujours utiliser l'authentificateur de messages. Ainsi chaque demande d'accs distant, le serveur d'accs distant enverra une signature numrique permettant de l'identifier en tant que client RADIUS auprs du serveur IAS. Vous pouvez ventuellement modifier le port par dfaut pour envoyer les messages d'authentification vers le serveur IAS.

1
Une fois toutes ces modifications effectues vous devez redmarrer le service Routage et accs distant pour que les modifications soient prises en compte.

V- Configuration des clients d'accs distance et scurisation de l'accs distance

1-) Prsentation du rseau priv virtuel (VPN)
Une connexion rseau priv virtuel ou VPN (Virtual Private Network) permet deux entits de communiquer entres-elle de faon scurise en passant par un rseau public (non scuris) comme Internet. Les rseaux privs virtuels sont souvent utiliss dans le cadre de l'accs distance car ils permettent un utilisateur lambda d'accder aux ressources internes de l'entreprise en utilisant un rseau dont le cot de location est faible (Internet) de manire scurise. Pour cela les rseaux privs virtuels utilisent des protocoles spcifiques comme PPTP ou bien encore L2TP/IPSec appels protocole de tunnel. Les protocoles de tunnel chiffrent les trames de donnes puis encapsulent ces trames dans des paquets IP qui sont envoys sur Internet. La scurit des donnes est maximale puisque les adresses IP prives (celle du client et du serveur d'accs distant) sont chiffres. Il est donc impossible pour un utilisateur non autoris d'avoir accs aux donnes circulant sur la toile.

Les protocoles de cryptage utiliss par PPTP et L2TP sont respectivement MPPE et IPSec.

2-) Configurer une connexion VPN sous Windows XP

Pour crer une connexion VPN sous Windows XP, affichez la page listant les connexions rseau (clic droit / proprits sur l'icne favoris rseau) puis lancez l'Assistant Nouvelle Connexion et cliquez sur Suivant. Slectionnez Connexion au rseau d'entreprise.

Choisissez : o o Connexion d'accs distance si vous souhaitez vous connecter distance via une ligne RNIS Connexion rseau priv virtuel si vous souhaitez vous connecter au rseau interne de l'entreprise via Internet.

1
Donnez ensuite un nom la connexion pour pouvoir la reconnatre aisment.

Entrez ensuite le nom DNS pleinement qualifi (FQDN) ou bien l'adresse IP du serveur d'accs distant.

Cliquez sur Suivant, puis sur Terminer pour quitter l'assistant. Vous devez ensuite saisir l'identifiant et le mot de passe utiliser pour s'authentifier auprs du serveur d'accs distant. Vous pouvez choisir d'enregistrer ces informations d'authentification ce qui vitera de les ressaisir l'avenir. Vous pouvez ensuite cliquer sur Se connecter pour tablir la connexion VPN.

Les proprits de la connexion permettent de modifier un grand nombre de paramtre comme le protocole d'authentification utiliser (MS-CHAP V2 est le protocole recommand pour obtenir une scurit maximale), les paramtres TCP/IP, l'adresse IP du serveur d'accs distant, ...

3-) Scuriser les accs distants

Permettre des utilisateurs distants d'accder aux ressources internes de l'entreprise peut s'avrer risqu du point de vue de la scurit. Voici un ensemble de rgles simples qui permettent de scuriser au mieux une connexion d'accs distance : o o o Centralisez les demandes d'authentifications l'aide d'un serveur RADIUS. Scurisez au maximum le trafic entre le serveur RADIUS et les serveurs d'accs distant (utilisation d'une cl pr-partage, de signatures numriques pour identifier les serveurs d'accs distant, d'IPSec pour crypter les changes de donnes,...). Configurez les stratgies d'accs distant les plus restrictives possibles (limitez les plages horaires, paramtrez une dure d'inactivit de la connexion faible, utilisez uniquement les protocoles MS-CHAP V2 ou EAP pour authentifier les utilisateurs, utilisez le cryptage maximal,...) Si vous utilisez le protocole L2TP/IPSec mettez en place un systme de certificats. Mettez en place une stratgie de groupe verrouillant le compte des utilisateurs distant aprs un certain nombre de tentatives infructueuses.

o o

Vous pouvez aussi envisager l'installation d'un pare-feu comme ISA Server afin d'augmenter le niveau de scurit du rseau interne de l'entreprise.

VI- Conclusion
La console Routage et accs distant (RRAS) regroupe toutes les fonctionnalits ncessaires la cration de connexions d'accs distant. Les mthodes d'accs distant proposes (rseau priv virtuel, sans fil,...) permettent une adaptation tout les cas de figure envisageables. L'association des profils d'accs distant et des stratgies d'accs distant permet de scuriser et de rglementer de faon trs fine une connexion travers un rseau public comme Internet. De plus, la mise en place du service IAS facilite la maintenance des stratgies d'accs distant grce l'utilisation du protocole RADIUS qui permet la centralisation des requtes d'authentification. En conclusion, l'infrastructure intgre Windows 2000/2003 server permet de mettre en place rapidement un service d'accs distance fiable, scuris et hautement paramtrable.