RAPPORT DE PROJET DE FIN DE FORMATION

mise en place d'une solution vpn entre deux sites

Prpar par Encadr par :

Rafai Khadija El Haji Mohamed HachamJaber

Aytouna Fouad

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Nous ddions ce modeste travail : Nos chers parents Nos formateurs qui ont fournis un grand effort pour que nous soyons la hauteur. tout le corps de la direction de la division administrative de lyce IMAM GHAZALI Nos collgues de la filire. Et tous nos amis. Et nous ddions ce travail aussi tous ceux qui nous ont aids pendant Cette formation, avec nos sincres sentiments de respect et de reconnaissance.

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Au terme de ce projet de fin dtudes, nous adressons nos sincres remerciements Monsieur AYTOUNA Fouad , notre encadrant, ses avis critiques sur lensemble du projet, ses conseils, et le temps quils nous ont consacr malgr un emploi du temps dj bien charg,et tous les professeurs qui nous a aids durant ces deux ans de formation, Ainsi que tout le staff du service informatique pour les moyens quils ont mis notre disposition afin dlaborer ce travail. Nous souhaitons exprimer enfin notre gratitude et nos vifs remerciements nos familles et nos amis pour leurs soutiens.

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Pour finir, je remercie les membres du jury qui ont accept dvaluer mon projet. Je leurs prsente toutes mes gratitudes et mes profonds respects.

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Introduction................................................................................................................................................... 4 Partie 1 :installation de windows server 2003 ............................................................................................. 5 Partie 2 :installation et configuration de serveur dacce distance ...........................................................12 Installation et activation du vpn..............................................................................................................12 Partie 3 : configuration dun client pour la connexion au serveur ..............................................................18 Pourquoi VPN ( et non autres solution) ..................................................................................................24 Protocoles de cryptage............................................................................................................................24 Commencer par methodes Mthodes dauthenfication..................................................................................................................... 24 dauthentification et apres les protocoles 11SOLUTIONS ENVISAGEABLES ...............................................................................................................25 de cryptage 1. Etude de solution ............................................................................................................................25 2. Choix de la solution .........................................................................................................................26 PROTOCOLES DE CRYPTAGE ....................................................................................................................26 Diffrences entre PPTP et L2TP/IPSec .................................................................................................26 Scurit et authentification.....................................................................................................................19 Conclusion ...................................................................................................................................................31 Bibliographie et webographie .....................................................................................................................31

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Introduction

Aujourdhui, une grande majorit des grandes entreprises possdent leurs propres rseaux Il sagit bien souvent de rseaux tendues Wan quelles constituent en reliant leurs diffrents sites. Pour permettre leurs interconnections, elles sappuient sur des liaisons loues longues distances, sur des rseaux SMDS, des liaisons spcialises, des lignes numriques fibres optiques types SONET/SDH On la bien compris, les entreprises communiquent ainsi de plus en plus dannes en annes.Dans ces conditions, linternet fournit des solutions idales dinterconnections avec une disponibilit de couverture mondiale. La solution VPN est idale pour pouvoir exploiter au mieux les capacits de ces rseaux des rseaux et relier des sites distants lchelle de la plante. Nous nous proposons ici de prsenter le plus clairement possibles les enjeux qui en dcoulent, les diffrentes offres proposes, les diffrents services possibles mais galement une tude prcise des technologies sur lesquelles ces solutions sappuient et en quoi elles sont essentielles pour lentreprise.

Essayer de parler sur votre travail. Ce que vous aller faire ?

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Partie 1 :installation de windows server 2003 Windows Server 2003 est dsormais aussi facile installer que Windows XP. C'est bien et assez rapide, mais il ne faudrait pas oublier que Windows Server 2003 est un produit professionnel dont l'administration ncessite des connaissances, ceci pourrait bien expliquer les problmes de scurit dont sont victimes les produits Microsoft : tellement faciles installer que tout le monde peut le faire . On dmarre le serveur sur le CD d'installation, on suit l'assistant et c'est termin au redmarrage suivant... (compter entre 20 et 50 minutes) 1.1.Boot et Partitions du Disque Dur Bootez depuis le CD-ROM dinstallation de Windows 2003 Server, vous devez obtenir ceci : Aprs le Boot vous obtenez :

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Appuyez sur Entre pour installer Windows maintenant :

Partitions du Disque dur :

Nous allons crer maintenant les partitions pour notre serveur. Pour crer une partition appuyez sur la touche C puis dfinissez la taille. Faites de mme avec lespace restant. Appuyez sur la touche Entre pour formater le disque systme C: et dmarrer la copie des fichiers : Une fois la copie des fichiers dinstallation termine, lordinateur doit redmarrer:

Nous formaterons le Disque D: qui contiendra les images Ghost aprs linstallation.
7

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Cette fois-ci dmarrer normalement et non sur le CD-ROM dinstallation. Windows reprendra la procdure dinstallation en installant les priphriques:

Vrifiez et validez les paramtres rgionaux:

Rentrez votre nom ainsi que votre organisation, votre cl dinstallation, le mode de licence (licence par serveur, par priphrique ou utilisateur), le nom de lordinateur, votre mot de passe Administrateur, puis rgler la date et lheure :

Organiser le texte avec les captures dcran

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Il est recommand de suivre les critres de mots de passe scuriss si vous souhaitez implmenter la scurit.

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Windows dtecte vos priphriques rseau et vous propose de les grer soit avec des paramtres par dfaut (dans le cas ou il y aurait dj un serveur DHCP sur le rseau) ou soit avec des paramtres personnaliss. Dansnotre situation, choisissez Paramtrespersonnaliss

Dans la liste, slectionnez Protocole Internet (TCP/IP) et cliquez sur Proprits, puis configurez vos paramtre TCP/IP et validez en cliquant sur OK:

On choisira une adresse IP fixe de classe B : 10.8.20.1 avec un masque de sous de sous-rseau : 255.255.0.0

10

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Maintenant on vous demande si vous voulez que cet ordinateur soit membre dun domaine. Comme notre machine sera un Contrleur de Domaine alors il ne sera pas membre dun domaine donc gardez par dfaut Non cet ord et WORKGROUP :

Linstallation se poursuit par la copie des fichiers et se finalise :

Fin de linstallation de Windows 2003 Server.

Ne charger pas trop votre rapport par des images Juste le ncessaire

11

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Partie 2 :installation et configuration de serveur dacce distance

Installation et activation du vpn

Pour installer et activer un serveur VPN sur Windows 2003 serveur, procdez comme suit : 1) Tout d'abord, sur l'unit possdant VPN Microsoft Windows 2003, confirmez que la connexion Internet et la connexion votre rseau local d'entreprise (LAN) sont toutes les deux correctementconfigures, ceci est important pour les tapes suivantes: 2) Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Routage et accs distant.

Cliquez sur le nom du serveur dans l'arborescence, puis sur Configurer et activer le service Routage et accs distant dans le menu Action. Cliquez sur Suivant.

12

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Si on a une seule carte resau , dans Dans la bote de dialogue Configurations communes, cliquez sur Configuration personnalise
puis sur Suivant.

Couche sur accs VPN puis sur suivant.

13

RAPPORT DE PROJET DE FIN DE FORMATION Clicke sur terminer puis oui .

BTS SRI

I.

Configuration du serveur d'accs distant en tant que routeur :

1. Cliquezsur Dmarrer, pointezsur Outilsd'administration, puiscliquezsur Routageetaccs distant.

14

RAPPORT DE PROJET DE FIN DE FORMATION 2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Proprits.

BTS SRI

3. Cliquez sur l'onglet Gnra,puis activez la case cher Routeur sous Activer cet ordinateur en tant que puis Cliquez sur Routage rseau local et de numrotation la demande, puis cliquez sur OK pour fermer la bote de dialogue Proprits.

15

RAPPORT DE PROJET DE FIN DE FORMATION

II. Modification du nombre de connexions simultanes :

BTS SRI

1. Double-cliquezsurl'objetserveur, cliquez avec le boutondroitsur Ports, puiscliquezsurProprits.

2. Dans la bote de dialogue Proprits de Ports, cliquezsur Miniport rseautendu WAN (PPTP), puissur Configurer.

16

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

3. Dans la zone Nombre maximum de ports, entrez le nombre de connexions rseau priv virtuel que vous souhaitez autoriser, puis Cliquez sur OK, de nouveau sur OK, puis fermez le service Routage et accs distant.

III.

Accs par un compte d'utilisateur

1. Cliquezsur Dmarrer, pointezsur Outilsd'administration, puiscliquezsurUtilisateursetordinateurs Active Directory.

17

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

2. Cliquez avec le boutondroitsur le compted'utilisateur, puiscliquezsur Proprits, puisCliquezsurl'onglet Appel entrant, puisCliquezsur Autoriserl'accs pour autoriserl'utilisateur effectuer un appel entrant. Cliquezsur OK.

Reorganiser le texte : Police : time new roman Taille des titres : 14 Sous titres : 13 Taille de exte : 12

18

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Partie 3 : configuration dun client pour la connexion au serveur

1. Cliquezsur Dmarrer, sur Panneau de configuration, puissur Connexionsrseau. Cliquezsur Crerune nouvelle connexion sous Gestion du rseau, puissur Suivant .

19

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

2. Cliquezsur Connexion au rseaud'entreprise pour crer la connexiond'accs distance. Cliquezsur Suivant pour continuer.

20

RAPPORT DE PROJET DE FIN DE FORMATION 3. Cliquezsur Connexionrseauprivvirtuel, puissur Suivant.

BTS SRI

4. Tapezun nom descriptif pour la connexiondans la bote de dialogue Nom de la socit, puiscliquezsur Suivant.

21

RAPPORT DE PROJET DE FIN DE FORMATION 5. Tapezl'adresse IP ou le nom d'hte du serveur de rseauprivvirtuel.puisterminer.

BTS SRI

6. Cliquez sur Terminer pour enregistrer la connexion.

22

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

23

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Partie 4 : tude de cas (solution propos par vous-mme)

Pourquoi VPN (et non autres solution) Protocoles de cryptage Mthodes dauthentification
Si une entreprise a vu que le nombre de ses employs voluer de faon significative. De plus, le Matriel disposition tait obsolte. Il devenait ncessaire de mettre de nouvelles Technologies en place. Cependant, la raison essentielle de la refonte du WAN est lie Louverture dune nouvelle filiale. En effet, lintrt des changes dinformations lectroniques entre cette entreprise et La nouvelle filiale est un lment majeur. Lentreprise doit pouvoir fournir les outils et informations ncessaires sa filiale pour accrotre son activit, et faciliter le retour dinformations de la filiale et lintgration de cellesci dans les systmes du groupe. Or, larchitecture actuellement mise en place ne permet datteindre lobjectif fix : savoir la mise en place dune interconnexion de site fiable, scuris et performante. De plus dans une perspective dvolution les dirigeants souhaiteraient pouvoir accder aux informations privs de lentreprise depuis nimporte quel endroit, tant sur le plan national quinternational. Facilit : La solution choisie se doit dtre simple daccs pour les utilisateurs Scurit : La solution retenue doit permettre de protger efficacement laccs aux Informations. Pour cela, il doit y avoir une authentification des utilisateurs assure par des login et des mots de passe. On pourrait galement utiliser les certificats numriques de faon simple laide dune interface dadministration accessible depuis Internet. De plus, il faut protger l'intgrit des informations en ajoutant, en plus de ceux effectus sur le cur de rseau, des contrles toutes les phases : filtrage, cryptage, certificat. Il en va de mme pour la confidentialit des donnes qui est garantie par les droits daccs qui sont rigoureusement contrls et administrs, mais aussi par les outils mis en place (parefeu, passerelle VPN). Reporting: On doit pouvoir tout moment : connatre ltat du rseau local. visualiser les moyennes de trafic sur les flux entrants et sortants. Utilisateurs potentiels : Employs de lentreprise et la nouvelle filiale. De plus la solution doit permettre laccs aux informations prives de lentreprise depuis un PC portable, quelque soit le pays. Connexion Internet et lentreprise : Lutilisateur devra pouvoir de son poste accder simultanment Internet et au rseau interne mis en place. Management : La future solution doit tre entirement administre distance laide dun site web. Lentreprise doit pouvoir administrer les comptes dutilisateur de ses filiales. Capacit et volutivit : Dans le cadre de lvolution de son rseau, CARIBIKES souhaite sappuyer sur la solution pour dployer lavenir lensemble de ses connexions Intranet. La solution qui sera choisie devra tre dune grande flexibilit et offrir plusieurs services. Exigences oprationnelles :
24

RAPPORT DE PROJET DE FIN DE FORMATION pas dinterruptions de services suprieures 4 heures. mise jour des nouvelles versions logicielles.

BTS SRI

11SOLUTIONS ENVISAGEABLES
1. Etude de solution

Il existe beaucoup de solutions dinterconnexion de sites, jai donc effectu dans un premier temps des recherches sur les solutions mises disposition sur le march.

VPN
Le but de la solution VPN (Virtual Private Network) est de pouvoir faire communiquer distance les employs distants et les partenaires de l'entreprise de faon confidentielle, et ceci en utilisant Internet. Il s'agit de crer un canal de communication protg traversant un espace public non protg. Chacun des membres du rseau VPN peut tre un rseau local (LAN) ou un ordinateur individuel. Un VPN fonctionne en encapsulant les donnes d'un rseau l'intrieur d'un paquet IP ordinaire et en le transportant vers un autre rseau. Quand le paquet arrive au rseau de destination, il est dcapsul et dlivr la machine approprie de ce rseau. En encapsulant les donnes et en utilisant des techniques de cryptographie, les donnes sont protges de l'coute et de toute modification pendant leur transport au travers du rseau public. Avantages de la solution: Favorise l'volutivit et offre de vastes possibilits grce Internet. Le VPN permet l'ouverture du rseau selon les besoins ou les ncessits, en y ajoutant une grande souplesse et une grande ractivit. Plus facile grer que les rseaux bass sur des technologies classiques car c'est loprateur de services qui est charg de lexploitation du rseau VPN. Rduction des ressources humaines et financires de lentreprise affectes lutilisation du VPN. Do une baisse du cot global, en particulier pour les entreprises possdant un rseau avec une configuration complexe. Solution trs avantageuse conomiquement parlant. Internet VPN a t conu pour relier un moindre cot les employs distants et les partenaires de l'entreprise, puisque l'entreprise ne paye que l'accs Internet. Solution scurise puisque le VPN est un rseau priv reposant sur 2 lments : lauthentification et lencryptage. Inconvnients de la solution : Le VPN doit tre tabli entre chaque station. En effet une station ne possdant pas l'application VPN ne pourra pas communiquer avec les autres, et la scurisation entre cette station et l'entre du VPN ne sera pas active. Pour les clients nomades, il faut installer un logiciel sur les PC portables et maintenir le parc niveau de faon rgulire. Il est savoir que plus le nombre de sites est important, plus la stabilit dela solution s'amoindrie et plus VPN est lourd dployer. Dsavantages lis lencryptage gnr par le VPN : le branchement est lgrement plus lent, lordinateur consomme plus de ressource, et il faut ajouter une tape pour se brancher au point de destination. Ncessit de respecter les rglementations nationales en vigueur sur le chiffrement, sans compter que la gestion des cls est assez complexe. De mme, la qualit de service est difficilement grable et la mise en place de QoS trs limite.

25

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Cot des passerelles VPN relativement levs. En effet, le matriel ncessaire la mise en place de VPN est relativement cher, mme si par la suite cette solution permet l'entreprise de nombreuses conomies tant dans la gestion que dans la maintenance du rseau VPN.
2. Choix de la solution

En dfinitif, CARIBIKES a choisi la solution VPN car elle sappuie sur Internet, ce qui permet un rseau mondial, premire exigence des dirigeants. De plus, Lentreprise souhaitait que la solution choisie soit facile daccs, ce que permet galement le VPN. Pour prendre la dcision qui semblait la plus adapte l'entreprise, lentreprise a regard autant le cot d'achat de matriel, que celui de la mise en place, et de l'exploitation. La solution VPN est certes plus chre l'achat, mais permet des conomies importantes, notamment par rapport la solution anciennement en place. En effet, avec VPN et l'utilisation de lADSL il s'agit de payer un abonnement, ce qui est relativement moins onreux.

PROTOCOLES DE CRYPTAGE
Dans Windows 2003, le protocole de rseau priv virtuel est constitu des composants suivants : 1 serveur VPN, 1(n) client(s) VPN, 1 connexion VPN (ceci est la partie de la connexion o les donnes sont cryptes) et du tunnel (la partie de la connexion o les donnes sont encapsules). La tunnellisation est effectue grce l'un des protocoles de tunnellisation inclus dans Windows 2003 (existant dj sous 2000), qui sont tous les deux installs avec le service Routage et accs distant, ou service appel "RRAS" (Routing and Remote Access). Les deux protocoles principaux de tunnellisation inclus avec Windows 2003 sont : - PPTP (Point-to-Point Tunneling Protocol) qui assure le cryptage des donnes l'aide du Cryptage point point Microsoft Corporation. - L2TP (Layer Two Tunneling Protocol) qui lui assure le cryptage, l'authentification et l'intgrit des donnes l'aide du protocole IPSec. Notons cependant qu'il est recommand que votre connexion Internet utilise une ligne spcialise de type T(n) fractionnel ou relais de trames. La carte WAN doit tre configure avec l'adresse IP et le masque de sous-rseau attribus votre domaine ou fournis par un provider, ainsi qu'avec la passerelle par dfaut du routeur ISP.
Diffrences entre PPTP et L2TP/IPSec

Nous venons de voir que Windows 2003 supporte deux protocoles VPN qui sont les suivants: - Le protocole PPTP (point to point tunneling protocol) - Le protocole L2TP (layer 2 tunneling protocol). Le protocole PPTP utilise la mthode de chiffrement MPPE (Microsoft Point to point encryption) tandis que L2TP est bas sur IPSec. Cependant, pour avoir une communication chiffre avec le protocole PPTP il est ncessaire d'avoir utilis l'une des mthodes suivantes d'authentification: - MS-CHAP v1 ou v2 - EAP/TLS pour les cartes puces. (IPSec ne requiert aucune mthode d'authentification particulire)

26

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

La mthode MPPE permet de chiffrer sur 40,56 et 128 bits; pour pouvoir utiliser le cryptage sur 128 bits il tait ncessaire d'avoir installer le High encryption pack (inclus dans le service pack3) et d'installer un patch correcteur pour les versions 95 et 98 de Windows mais avec Windows 2003 cela est rsolu. Voici un tableau des principales caractristiques des protocoles PPTP et L2TP
3.

Cette image a traiter

Et attention au copie /coller

27

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Scurit et authentification
La scurit est une proccupation essentielle des VPNs. Les tunnels quils utilisent peuvent tre bass sur une solution de niveau 2 type PPTP, L2T, de niveau 3 type IPSec ou de niveau 7 type HTTPS.

a)

Comment scuriser tout type de flux ?

Comment accder aux applications dentreprises en toute scurit ? Au niveaupaquets avec IPSEC

Pour grer ce type de besoins pour un accs partir de nimporte quel portable chez soi ou sur internet, on peut utiliser une solution de niveau 3 via IPSec . IPSec se situe juste au dessus dIP.Il est possible aussi bien sur Ipv6 que sur Ipv4. La confidentialit et lintgrit des donnes est assure par des tunnels IPSec et ce pour tout type de flux quelquil soit. Cette scurit se gre au niveau paquet et est indpendante de lapplication. IPSec fournit un encryptage flexible et lauthentification et le contrle dintgrit des messages. IPSecgre aussi la gestion des cls de cryptage .

28

RAPPORT DE PROJET DE FIN DE FORMATION

Ce mcanisme est celui le plus utilis pour la gestion des VPNs dentreprises. Enfin, lauthentification est gre par token ou carte puce. Voici un rsum des technologies quon peut rencontrer dans sa mise en oeuvre.

BTS SRI

Encryption Message Authentication Entity Authentication Key Management

DES, 3DES, and more HMAC-MD5, HMAC-SHA-1, or others

Digital Certificates, Shared Secrets,Hybrid Mode IKE Internet Key Exchange (IKE), Public Key Infrastructure (PKI)

Au niveau 2 : PPTP, L2TP

PPTP Point To Point Tunneling Protocol Les accs distants peuvent tre grs par une solution de niveau 2 VPN grce PPTP. Les produits windows distribuent cette solution . PPTP correspond une volution de PPP. 29

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Il permet de de grer une multitude de protocole de la couche suprieure rseau (comme ctait dj le cas avec PPP : IPX,IP). Il utilise un encryptage et une authentification cependant on sait que ses scurits sont vulnrables.

Corporate Network Remote PPTPClient

Internet

ISP Remote Access Switch

L2TP Layer 2 Tunneling Protocol Il sagit dun autre protocole daccs distant VPN de niveau 2. Il combine et tend L2F (Cisco) et PPTP. Lencryptage et lauthentification restent faibles.Il ne gre pas lauthentification des paquets, lintgrit des donnes ou la gestion des cls. Il doit tre combin avec IPSec si on souhaite atteindre un niveau de scurit suffisant pour lentreprise. Corporate Network

Remote L2TP Client

L2TP Server Internet

ISP L2TP Concentrator

30

RAPPORT DE PROJET DE FIN DE FORMATION

BTS SRI

Attention au copie coller , vous devez rediger votre travaille par vousmme
Reorganiser votre texte (police et taille) Minimiser le nombre dimages que possible Il ne faut pas ecrire ce vous ne connaissez pas. Vous serez questionn le jour de la soutenance.

Conclusion

Bibliographie et web

31