Vous êtes sur la page 1sur 21

Routage

Et
Service
D'Accs Distant
(RRAS)
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
- A -
Table des matires
I - Introduction................................................................................................................................ 1
I.A- Le service RRA--------------------------------------------------------------------------------------------------------------1
I.A.i- Routeurs--------------------------------------------------------------------------------------------------------------------1
I.A.ii- Serveur d'accs distants----------------------------------------------------------------------------------------------1
I.!- Insta""ation # Con$iguration-------------------------------------------------------------------------------------------------1
I.C- Aut%enti$ication et Autorisation--------------------------------------------------------------------------------------------2
II - Fonctionnalits.......................................................................................................................... 2
II.A- u&&ort I' (nidirectionne" )c"assi*ue+----------------------------------------------------------------------------------2
II.!- u&&ort I' ,u"tidi$$usion----------------------------------------------------------------------------------------------------
II.C- u&&ort I'.---------------------------------------------------------------------------------------------------------------------
II./- u&&ort A&&"e0a"1------------------------------------------------------------------------------------------------------------
II.2- Routage distant 3 "a de,ande---------------------------------------------------------------------------------------------
II.4- 5'6-------------------------------------------------------------------------------------------------------------------------------
II.7- C"ient-erveur RA/I(-----------------------------------------------------------------------------------------------------
II.8- 69'----------------------------------------------------------------------------------------------------------------------------
III - Accs distant............................................................................................................................ 3
III.A- 0:&es d;acc<s distants------------------------------------------------------------------------------------------------------
III.!- 9t%odes dacc<s distants------------------------------------------------------------------------------------------------4
III.B.i- Accs distant par ligne commute---------------------------------------------------------------------------------4
III.B.ii- Accs distant par VP-----------------------------------------------------------------------------------------------4
III.C- 'rotoco"es dacc<s distant------------------------------------------------------------------------------------------------5
III./- 6A0 0raduction dadresses-----------------------------------------------------------------------------------------------5
III.!.i- "onctionnement de A#---------------------------------------------------------------------------------------------$
III.!.ii- %diteurs A#-----------------------------------------------------------------------------------------------------------$
III.2- As&ects de curit---------------------------------------------------------------------------------------------------------7
III.%.i- Aut&enti'ication----------------------------------------------------------------------------------------------------------(
III.%.ii- )r*ptage des donnes-----------------------------------------------------------------------------------------------(
III.%.iii- Identi'ication de l+appelant------------------------------------------------------------------------------------------(
III.%.iv- Blocage du compte client-------------------------------------------------------------------------------------------(
III.4- 7estion des acc<s distants-----------------------------------------------------------------------------------------------=
III.".i- ,a gestion des utilisateurs--------------------------------------------------------------------------------------------
III.".ii- ,a gestion des adresses----------------------------------------------------------------------------------------------
III.".iii- ,a gestion des accs--------------------------------------------------------------------------------------------------
III.".iv- ,a gestion des aut&enti'ications---------------------------------------------------------------------------------11
IV - Rseaux privs virtuels......................................................................................................... 12
I5.A- Les 5'6----------------------------------------------------------------------------------------------------------------------12
IV.A.i- %.emples de VP----------------------------------------------------------------------------------------------------1/
I5.!- 0unne"ing--------------------------------------------------------------------------------------------------------------------1-
IV.B.i- #*pes de tunnel-------------------------------------------------------------------------------------------------------14
I5.C- 'rotoco"es &our 5'6-----------------------------------------------------------------------------------------------------14
IV.).i- PP#P--------------------------------------------------------------------------------------------------------------------14
IV.).ii- ,/#P--------------------------------------------------------------------------------------------------------------------10
IV.).iii- IPSec-------------------------------------------------------------------------------------------------------------------10
IV.).iv- IP-IP--------------------------------------------------------------------------------------------------------------------11
V - Outils RRAS............................................................................................................................ 19
5.A- Conso"e RRA--------------------------------------------------------------------------------------------------------------1>
5.!- 6et %e"" ---------------------------------------------------------------------------------------------------------------------1>
----------------------------------------------
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
- 1 -
Routage et service d'accs distant
Routin and Re!ote Access Service "RRAS #
I - Introduction
?indo@s 2000 erver inc"ut un routeur ,u"ti&rotoco"e et "a &ossiAi"it d;accder 3 des rseaux distants &ar
des rseaux ?A6. Ce dernier service est a&&e" BService d$accs distantB.
I.A- %e service RRAS
Le service RRAS inc"ut "e routage et "e service d;acc<s distant. Ces deux $onctionna"its sont "ies dans "a
,eure oC ";acc<s 3 un rseau distant ncessite "a &rsence d;un routeur.
I.A.i- Routeurs
Routeur ,u"ti&rotoco"e I'D I'. et A&&"eta"1 &our rseaux LA6 ou ?A6.
Routeur de connexion 3 "a de,ande &our router des &a*uets I' et I'. sur des "iaisons ?A6D te""es
*ue "es "ignes t"&%oni*ues ana"ogi*ues sur R0C ou nu,ri*ues sur R6ID ou sur des "iaisons
V&'
a
en uti"isant &&(&
A
D%2(&
c
ou I&Sec
d
.
I.A.ii- Serveur d$accs distants
(n serveur ?indo@s 2000 &eut Eouer "e rF"e de serveur d;acc<s distant &our des c"ients *ui a&&e""ent sur des
rseaux co,,uts )R0CD R6I+ ou *ui uti"isent des 5'6 avec "es &rotoco"es I'D I'.D A&&"e0a"1 ou 6et!2(I.
I.)- Installation * +on,iuration
RRAS &rend en c%arge un grand no,Are d;ada&tateurs rseaux &our LA6 ou ?A6. 5oir "a "iste de
co,&atiAi"it ,atrie""e &our connaGtre "es ,atrie"s su&&orts.
Lors*ue vous insta""eH ?indo@s 2000D vous insta""eH en ,I,e te,&s RRAS *ui reste 3 ";tat inacti$. Le
service de routage et "e service d;acc<s distant sont insta""s en ,I,e te,&s ce *ui n;tait &as "e cas dans
?indo@s 604.
L;activation et "a gestion de RRA se $eront 3 &artir du co,&osant "ogicie" BRRASB dans BJuti"s
d;ad,inistrationB.
4igure 1 K Conso"e RRA.
'our activer RRAD s"ectionner "e serveur dans
"e vo"et de gauc%e et dans "e ,enu BActionBD
s"ectionner BCon$igurer et activer "e routage et
";acc<s distantB. L;assistant BInsta""ation de
serveur de routage et d;acc<s distantB s;ouvre.
C"i*uer sur BuivantB. La $enItre &ro&ose cin*
con$igurations di$$rentes &our "e service.
"ectionner ce""e *ui convient.
Con$ir,er ";activation du service.
Fiure 2 K C%oix de con$igurations &our "e RRA.
a
5'6 L 5irtua" 'rivate 6et@or1
A
''0' L 'oint to 'oint 0unne"ing 'rotoco"
c
L20' L La:er 2 0unne"ing 'rotoco"
d
I'ec L Internet 'rotoco" ecurit:
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
- 2 -
4igure -. K Conso"e de RRA activ
C;est 3 &artir de cette conso"e *ue ";on &eut con$igurer "e routage et ";acc<s distant dans toutes ces $or,es.
I.+- Aut-enti,ication et Autorisation
L;aut-enti,ication est ";o&ration *ui consiste 3 vri$ier ";identit au cours d;une tentative d;ouverture de
session. Le c"ient candidat 3 "a connexion au serveur envoie des ",ents d;identi$ication en c"air ou cods
vers "e serveur et *ui sont vri$is &ar ce dernier.
L;autorisation consiste 3 vri$ier *ue "e candidat 3 "a connexionD a&r<s identi$ication est autoris de se
connecter.
'our *u;une tentative de connexion aAoutisseD i" $aut *ue ";aut%enti$ication et ";autorisation soient va"ides.
/ans "e cas contraireD "a connexion est re$use.
i "e serveur d;acc<s distant est con$igur &our une aut%enti$ication ?indo@sD c;est "e s:st<,e de
scurit ?indo@s *ui vri$ie "es ",ents d;identi$ication. L;autorisation est vri$ie &ar ra&&ort aux
stratgies d;acc<s distant &rsentes sur "e serveur.
i "e serveur distant est con$igur &our une aut%enti$ication RA.I/S )Re,ote Aut%entication /ua"-In (ser
ervice+D c;est ce serveur RA/I( *ui vri$ie "es ",ents d;identi$ication et autorise "a connexion. I"
envoie un ,essage d;acce&tation au serveur ?indo@s 2000 &our *u;i" ouvre "a connexion.
i "e serveur RA/I( est un ordinateur ?indo@s 2000 *ui& des services d;identi$ication Internet
)Internet Aut%entication erviceD IA+D c;est "e serveur IA *ui g<re ";aut%enti$ication en co""aAorant avec "e
s:st<,e de scurit ?indo@s 2000 et g<re ";autorisation en tenant co,&te des stratgies de co,&tes ou
d;acc<s distant.
4igure 4 K C%oix de "a ,t%ode d;aut%enti$ication sur un serveur ?indo@s 2000.
II - Fonctionnalits
II.A- Support I& /nidirectionnel "classi0ue#
/ans 9icroso$t ?indo@s 2000D on a&&e""e routae I& unidirectionnel )un vers un+ "a $onctionna"it *ui
&er,et d;taA"ir une "iaison point 1 point 2idirectionnelleD c;est-3-dire dune adresse I' 3 une autre adresse
I' )Cas "e &"us courant+. I" s;agit donc &ar exe,&"e d;une "iaison &oint 3 &oint d;un serveur ?indo@s 20000
avec un autre serveur ?indo@s 2000D ou avec un routeur ou une seu"e station.
Le su&&ort unidirectionne" I' uti"ise "es co,&osants routage I' stati*ueD RI'D J'4D re"ais /8C'D 6A0D
$i"trage I' et rec%erc%e de routeur IC9'.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
/ans "a conso"e BRoutage et acc<s
distantB. "ectionner "e serveurD &uis
B'ro&ritsBD ong"et BcuritB.
"ection du $ournisseur
d;identi$ication.
- - -
II.)- Support I& !ultidi,,usion
Le su&&ort !ultidi,,usion )un vers &"usieurs+ de I' &er,et de &rendre en c%arge ";envoiD "a rce&tion et "a
retrans,ission d;un tra$ic I' ,u"tidi$$usion )9u"ticast+. Cette a&&"ication &er,et d;envo:er 3 &"usieurs
uti"isateurs en ,I,e te,&s "e ,I,e $"ot d;in$or,ations )vido ou son &ar exe,&"e+. Ceci &eut se $aire sur
rseau LA6 ou ?A6. La gestion de "a&&artenance 3 un grou&e de destinataires se $ait grMce au &rotoco"e
I79' version 1 ou 2.
II.+- Support I&3
(n serveur ?indo@s 2000 &eut aussi Itre un routeur I'.. I" uti"ise "e &rotoco"e RI' &our I'. &our taA"ir "es
taA"es de routage et 6et?are A' &our connaGtre "a "es adresses et "es no,s des services &rsents sur "e
rseau.
II..- Support Apple(al4
(n serveur ?indo@s 2000 &eut aussi assurer "e routage A&&"e0a"1. Ceci &er,et de connecter des rseaux
de 9acintos%.
6.!. Les 9acintos% &euvent aussi Itre con$igures &our uti"iser "e &rotoco"e I' ce *ui &er,et de n;uti"iser
*u;un seu" &rotoco"e en cas de rseau co,&ortant 3 "a $ois des 9acintos%D des 'C sous ?indo@s et des
ordinateurs sous (nix.
II.5- Routae distant 1 la de!ande
RRA &er,et au serveur ?indo@s 2000 d;assurer routage de nu,rotation 3 "a de,andeD ainsi *ue "e
routage sur des "ignes ana"ogi*ues ou nu,ri*ues en &oint 3 &oint. La nu,rotation 3 "a de,ande &er,et 3
un c"ient de se connecter 3 InternetD de connecter des $i"ia"es ou de ra"iser des 5'6 # )5irtua" 'rivate
6et@or1 # Rseau 'riv 5irtue"+.
II.F- V&'
?indo@s 2000 serveur et "e service RRA &er,ettent d;assurer "a $onction de serveur de rseau &riv
virtue" )5'6 L 5irtua" 'rivate 6et@or1+. I" &rend en c%arge "es &rotoco"es uti"iss sur "es 5'6D c;est-3-dire
''0' et L20'avec I'ec.
II.6- +lient-Serveur RA.I/S
I" existe sur ?indo@s 2000 erver un service no,, IAS )Internet Aut%entication ervice+ *ui &er,et
d;i,&",ent un serveur RA/I(.
II.7- S'8&
?indo@s 2000 et RRA &oss<dent "e &rotoco"e 69' *ui g<re "a 9I! II. Les $onctions de routage et dacc<s
distant &euvent donc Itre grs &ar des stations 69A )6et@or1 9anage,ent tation+ et un "ogicie"
d;ad,inistration a&&ro&ri.
III - Accs distant
Le ervice dacc<s distant )RA # Re,ote Access ervice+ est une &artie de RRA.
III.A- (9pes d$accs distants
Le service RAS &er,et aux c"ients distants de se connecter K
Au seu" serveur dacc<s distant. )Acc<s &oint 3 &oint+
Aux ordinateurs *ui se trouvent sur "e LA6 derri<re "e serveur dacc<s distant.
4igure 5 K 0:&es d;acc<s distants.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
:A'
:A'
Acc<s 'oint 3 &oint
Acc<s aux ressources du
serveur et 3 ce""es situes sur
"e rseau LA6.
- 4 -
III.)- 8t-odes d;accs distants
Jn &eut c"asser "es acc<s distants en deux ,t%odes K
III.).i- Accs distant par line co!!ute
o Accs &-9si0ues )R0CD R6I+
o Accs Virtuels ).25D 4ra,e Re"a:D A09+
4igure N K 9t%ode d;acc<s distant &ar "igne co,,ute.
III.).ii- Accs distant par V&'
Le circuit &riv virtue" est cr sur un inter-rseau I& existant. I" consiste en une "iaison "ogi*ue
&oint 3 &oint scurise.
4igure 7 K 5'6.
5oir c%a&itre 5'6 &our &"us de dtai"s.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Internet
Serveur :indo<s
2=== RRAS
R0C
erveur
V&'
erveur
V&'
erveur
V&'
IS&
erveur 5'6
V&' taA"i 3 travers une "iaison
R(+D un IS& &our atteindre un
serveur sur Internet.
V&' taA"i 3 travers une "igne
&er,anenteD un IS& &our atteindre
un serveur sur Internet.
V&' taA"i entre deux stations LA6
3 travers Internet et des serveurs
5'6.
LA6
LA6
I' LInternet
ervice 'rovider
R(+
R'IS
32>
R'IS
R(+
Fra!e
Rela9
A(8
Serveur
:indo<s 2===
RRAS
Accs &-9si0ues
Accs Virtuels
- 5 -
III.+- &rotocoles d;accs distant
Les &rotoco"es dacc<s distants reconnus &ar ?indo@s 2000 sont
'rinci&a"e,ent &&&
LI' ,ais &as sur "es "iaisons co,,utes
6et!2(I As:nc%rone )As:!2(I+ &our "es c"ients uti"isant de viei""es versions de ?indo@s.
Le &rotoco"e &&& &er,ettra d;encapsuler "es donnes v%icu"es &ar des &rotoco"es LA6 co,,e I'D I'.D
A&&"eta"1 et 6et!2(I.
'ar exe,&"e une station avec connexion sur Internet. ur "a "iaison *ui &er,et "acc<s au FAI
a
)I'+D "e
&rotoco"e uti"is en &oint 3 &oint entre "es deux serveurs est '''. Les &a*uets I' sont enca&su"s dans des
tra,es '''.
4igure = K 2nca&su"ation de &rotoco"e LA6 dans ''' en acc<s distant
III..- 'A( (raduction d;adresses
(n serveur ?indo@s 2000 erver &eut Itre uti"is co,,e routeur entre un rseau LA6 de &etite tai""e SO7O
),a"" J$$ice or 8o,,e J$$ice+ et "e rseau Internet. Les adresses I' uti"ises sur "es rseaux &rivs doivent
Itre di$$rentes des adresses uti"ises sur "es rseaux &uA"ics I' )en &articu"ier Internet+. /ans "e cas oC une
,I,e adresse &uA"i*ue serait uti"ise &ar deux ordinateurs sur un rseau &uA"ic I' )Internet &ar exe,&"e+D i"
est vident *ue des &roA"<,es sen suivraient.
LInter'I+ et "IA'A
A
ont donc &ro&os &our c%a*ue c"asse dadresses I' des tranc%es rserves aux
rseaux I& privs K
Class
e
Tranches dadresses prives !as"ue de sous#rseau$
A 10.0.0.1 Eus*u3 10.255.255.254 255.0.0.0
) 172.1N.0.0 Eus*u3 172.-1.255.254 2>>.2?=.=.=
+ 1>2.1N=.0.0 Eus*u3 1>2.1N=.255.254 2>>.2>>.=.=
5ous re,ar*uereH *ue "es ,as*ues de sous-rseaux en c"asse ! et CD ne sont &as "es ,as*ues standard.
'our "a classe AD "e ,as*ue est standard.
'our "a classe )D "e ,as*ue standard est de 1N Aits. IciD i" est co,&os de 24 Aits. Ladresse rseau
&ourrait scrire en uti"isant "a notation +I.R
c
172.1N.0.0/20D ce *ui dter,ine un sur-rseau
co,&os des rseaux 172.1N 3 172.-1 )";*uiva"ent de 1N rseaux c"asse !+.
'our "a classe +D "e ,as*ue standard est de 24 Aits. Ici "e ,as*ue est de 1N Aits. Ladresse rseau
&ourrait scrire 1>2.1N=.0.0 /20. Ceci &er,et de dter,iner 25N # 2 rseaux en c"asse C.
Le serveur ?indo@s 2000 *ui sert de routeur entre "e rseau "oca" et Internet doit activer "a $onction 'A(
)6et@or1 Address 0rans"ation L 0raduction dadresses rseau+.
Ces adresses &rives ne sont &as reconnues &ar "es routeurs sur Internet. I" $aut donc un dis&ositi$ de
traduction entre "e rseau &riv et "e rseau &uA"ic. Ce dis&ositi$ de traduction dadresses se trouve soit dans
un serveur 'rox:D soit dans un dis&ositi$ de traduction co,,e un serveur ?indo@s 2000 avec RRA et
service 6A0 activ.
a
4AI L 4ournisseur dacc<s Internet. I'L Internet ervice 'rovider
A
Inter6IC L Internet 6et@or1 In$or,ation Center et IA6A L Internet Assigned 6u,Aers Aut%orit:
c
CI/R L C"ass"ess Internet /o,ain Routing )5oir cours I'L+
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Internet
Serveur
:indo<s 2===
RRAS
R(+
R'IS
%S
&a0uet I&
Trame %%%
&a0uet I&
- N -
III...i- Fonctionne!ent de 'A(
(n traducteur dadresses rseau doit traduire non seu"e,ent "es adresses &rives en adresses &uA"i*ues
,ais aussi "es &orts 0C' et (/'.
4igure > K 4onctionne,ent de 6A0 avec connexion &er,anente sur Internet.
5xe!ple K
'renons "e cas dune &etite socit dis&osant dun LA6 et dune connexion &er,anente 3 Internet )CMA"e ou
A/L+. Le routage est assur &ar un serveur ?indo@s 2000. La $onction 6A0 est active. Ladresse I' du
serveur ?indo@s 2000 cFt Internet a t $ournie &ar "e 4AI de ,ani<re stati*ue ou d:na,i*ue )exe,&"e K
200.-2.10.25+.
Luti"isateur sur "e LA6 *ui travai""e sur "a station dont "adresse I' &rive est 1>2.1N=.1.20 dsire &ar
"inter,diaire de son navigateur se connecter au site ?eA dont "adresse I' est 200.-2.10.--.
Le &ort 0C' du navigateur a t $ix de ,ani<re d:na,i*ue 3 "a va"eur 1025.
/ans "a con$iguration de "a stationD "adresse I' de "a &assere""e est 1>2.1N=.1.1
La re*uIte 800' &art dans un &a*uet I' dont "adresse I' destination est 200.-2.10.--. et "e &ort =0
)?eA+D "adresse source I' 1>2.1N=.1.20 et "e &ort 0C' 1025.
Lors*ue "a tra,e 2t%ernet contenant ce &a*uet I' arrive sur "a &assere""eD "e traducteur 6A0 re,&"ace
dans "e &a*uet I' "adresse source &ar ce""e de son inter$ace ?A6D cest-3-dire 200.-2.10.25 'ort 0C'
5000. Ladresse et "e &ort de destination sont inc%angs. (n ,a&&age est ra"is entre "adresse et "e &ort
&rivs et "adresse et "e &ort &uA"ic.
1>2.1N=.1.20 'ort 1025 et 200.-2.20.25 'ort 5000
Le serveur ?eA renvoie un &a*uet vers "e serveur ?indo@s 2000 avec co,,e adresse de destination
200.0-2.10.25 et &ort 0C' 5000. Le traducteur 6A0 renvoie vers "a station "e &a*uet I' avec "adresse
destination 1>2.1N=.1.20 'ort 1025. Ladresse source I' est ce""e du serveur ?eA 200.0-2.10.25 'ort =0.
4igure 10 K 0raduction d;adresses I' &ar 6A0.
i une deuxi<,e station vou"ait se connecter en ,I,e te,&s au ,I,e serveur ?eAD un autre &ort 0C'
?A6 serait cr au niveau 6A0 et on aurait &ar exe,&"e un second ,a&&ageK
1>2.1N=.1.22 'ort 1025 et 200.-2.20.25 'ort 5001
III...ii- 5diteurs 'A(
La traduction 6A0 se $ait &ar$aite,ent &our "es &a*uets I' au $or,at standard. 'ar contreD &our "es &a*uets
a:ant suAit des enca&su"ationsD "a traduction nor,a"e ris*ue de ne &as se $aire nor,a"e,ent. La traduction
nor,a"e traite "es adresses I' dans "es en-tItes I'D "es &orts 0C' dans "es en-tItes 0C' et "es &orts (/'
dans "es en-tItes (/'. 'our "es autres casD des diteurs )traducteurs s&ci$i*ues+ sont &rvus dans
?indo@s 2000 &our c%a*ue cas.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Internet
O I'1>2.1N=.1.20
'aviateur ?eA
au &ort 0C' 1=2>
O I'1>2.1N=.1.1
0raducteur 'A(
'ort 0C' >===
OI' 200.-2.10.25
erveur ?eA
'ort 0C' @=
OI' 200.-2.10.--
Adresses I' &rives
sur %A'
Adresses I' 'uA"i*ues
sur I602R620
:indo<s 2=== Server
RRAS et 'A( activs
AS192.1B@.1.2=C1=2>
A.2==.32.1=.33C@=
AS2==.32.1=.2>C>===
A.2==.32.1=.33C@=
AS2==.32.1=.32 C@=
A.2==.32.1=.2>C>===
AS2==.32.1=.2> C@=
A192.1B@.1.2=C1=2>
erveur ?indo@s 2000
0raducteur 'A(
LA6 ?A6
Station de
travai"
Serveur
:5)
- 7 -
III.5- Aspects de Scurit
Louverture dun serveur ou dun rseau LA6 3 travers un service RA &our des uti"isateurs extrieurs
entraGne des ris*ues dintrusion et engendre de ce $ait des &roA"<,es de scurit.
Les dis&ositions ,ises en &"ace &our contrer ces &roA"<,es de scurit sont K
Laut-enti,ication des uti"isateurs distants
Le cr9ptae des donnes.
/es dis&ositi$s de rappels auto,ati*ues ou d;identi,ication du nu!ro da&&e"ant
Le 2locae de co!pte
III.5.i- Aut-enti,ication
III.5.i.a- Aut-enti,ication scurise
Le &rotoco"e dacc<s distant ''' est un &rotoco"e de "a couc%e "iaison. I" est uti"is en association avec
&"usieurs &rotoco"es &our assurer "aut%enti$ication scurise des uti"isateurs distants.
'rotoco"e 5A& )2xtensiA"e Aut%entication 'rotoco"+
'rotoco"e +7A& )C%a""enge 8ands%a1e Aut%entication 'rotoco"+
'rotoco"e S&A& )%iva 'ass@ord Aut%entication 'rotoco"+
'rotoco"e 8S-+7A& )9icroso$t C%a""enge 8ands%a1e Aut%entication 'rotoco"+
Le serveur RA doit Itre con$igur &our uti"iser un de ces &rotoco"es. Le c"ient doit &ouvoir s: ada&ter. i ce
nest &as "e cas "a "iaison ne &eut Itre taA"ie.
III.5.i.2- Aut-enti,ication rcipro0ue
Cette ,t%ode daut%enti$ication uti"ise ''' avec 2A'D 2A'-0L )0rans&ort Leve" ecurit:+ ou 9 C8A'
52. Cette ,t%ode di$$<re de "a &rcdente dans "e sens oC un dia"ogue cr:&t staA"it entre "e serveur et "e
c"ient distant &our sidenti$ier rcipro0ue!ent.
III.5.ii- +r9ptae des donnes
I" existe deux ,t%odes de cr:&tage des donnes trans&ortes K
Le cr:&tage entre "e c"ient distant et un serveur RA
Le cr:&tage en &oint 3 &oint )sur LA6 ou ?A6 ou "es deux+ avec I'ec.
Le cr:&tage entre un c"ient distant et un serveur se $ait en uti"isant des c"s dencr:&tage connues du c"ient et
du serveur seu"e,ent. Les c"ients et serveurs ?indo@s )3 &artir de ?indo@s >5+ acce&tent "e &rotoco"e de
cr:&tage 9''2 )9icroso$t 'oint-to-'oint 2ncr:&tion 'rotoco"+ *ui uti"ise un a"gorit%,e de cr:&tage RC4 RA
)Rivest-%a,ir-Ad"e,an+ et des c"s de 40D 5N ou 12= Aits. Les c"s de cr:&tage sont gnres au ,o,ent
du &rocessus daut%enti$ication avec "es &rotoco"es 2A'-0L ou 9-C8A'.
III.5.iii- Identi,ication de l;appelant
Les deux &rocds *ui vont Itre dcrits ci-a&r<s ont &our Aut de sassurer de "identi$ication de "a&&e"ant en
vri$iant son nu,ro de t"&%one
III.5.iii.a- Rappel auto!ati0ue
/ans ce &rocdD "e c"ient distant a&&e""e "e serveur RA. /<s *ue "es in$or,ations daut%enti$ication ont t
vri$iesD "a "igne est raccroc%e. Le serveur &roc<de a"ors 3 un rtro a&&e" soit K
A un nu,ro c%ang &endant "a&&e" du c"ient )ce *ui &er,et aux itinrants de $aire $acturer "a
co,,unication directe,ent 3 "entre&rise+
A un nu,ro *ui a t &ra"aA"e,ent entr dans "a con$iguration du serveur distant &our cet
uti"isateur )ce *ui &er,et de vri$ier "identi$ication vraise,A"aA"e du c"ient+.
III.5.iii.2- 'u!ro de tlp-one de l;appelant
Ce &rocd consiste 3 vri$ier ,atrie""e,ent "e nu,ro de t"&%one de "a&&e"ant. Ce nu,ro est entr
dans "e serveur RA. Ce &rocd ncessite *ue "o&rateur t"&%oni*ueD "a "igne t"&%oni*ue de
"entre&rise sur "a*ue""e est connecte "e serveur et "e &i"ote de "a carte rseau distantD sac%ent v%icu"er "e
nu,ro de t"&%one de "a&&e"ant.
i "e nu,ro rePu est di$$rent de ce"ui entr dans "e serveur RAD "a&&e" est reEet.
III.5.iv- )locae du co!pte client
La $onction de A"ocage de co,&te consiste 3 A"o*uer un co,&te duti"isateur distant si "e no,Are de
tentatives de connexion sur "e serveur RA &ar "e ,I,e uti"isateur d&asse une va"eur dter,ine. Ceci a
&our Aut dviter *uun intrus ne $inisse &ar entrer dans "e s:st<,e en $aisant un no,Are de tentatives tr<s
i,&ortant )en essa:ant &ar exe,&"e &"usieurs ,ot de &asse &our un no, duti"isateur *ui" connaGt+.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
- = -
III.F- 6estion des accs distants
La gestion des acc<s distant est une "ourde tMc%e. 2""e eng"oAe K
La gestion des uti"isateurs
La gestion des adresses
La gestion des acc<s
La gestion des aut%enti$ications
III.F.i- %a estion des utilisateurs
Active /irector: &er,et de centra"iser "es co,&tes des di$$rents uti"isateurs distants dans une ,I,e Aase
de donnes. i vous aveH &"usieurs serveurs dacc<s distantD "es co,&tes uti"isateurs sont donc &ositionns
dans "e contrF"eur &rinci&a" de do,aine *ui contient "annuaire.
5ous &ouveH aussi centra"iser "es co,&tes uti"isateurs 3 des $ins didenti$ication dans un serveur RA/I(
a
.
III.F.ii- %a estion des adresses
Les serveurs dacc<s distant doivent $ournir "es adresses I'D I'. ou A&&"e0a"1 au c"ient au ,o,ent de "a
connexion. 5ous deveH &rciser "a ,ani<re dont cette adresse est attriAue )stati*ue ou d:na,i*ue+.
III.F.iii- %a estion des accs
Les stratgies dacc<s distant &er,ettent de d$inir "a ,ani<re dont "aut%enti$ication est assure et "e t:&e de
cr:&tage uti"is. /autres &ara,<tres &euvent aussi Itre i,&oss dans "a stratgie dacc<s distant co,,e "a
dure ,axi,a"e des sessionsD "e te,&s dinactivit ,axi,a".
I" est &ossiA"e de d$inir &"usieurs stratgies dacc<s distant en $onction du t:&e de c"ient.
Les straties d;accs distant se d$inissent 3 &artir de "outi" BRoutae et accs distantB.
4igure 11 K 'ara,trage des stratgies d;acc<s distant.
2n ce *ui concerne l$aut-enti,icationD "es &ara,trages du service IAS )Internet Aut%entication ervice+ se
$ont 3 &artir de ";outi" BService d$aut-enti,ication InternetB.
4igure 12 K
'ara,trage IA.
a
RA/I( L Re,ote Aut%entication /ia"-In (ser ervice.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
- > -
III.F.iii.a- Accs par co!pte utilisateur
Les &ro&rits d;un co,&te uti"isateurD en ce *ui concerne "es a&&e"s distantsD sont accessiA"es dans ";ong"et
BAppel entrantB des B'ro&ritsB du co,&te de ";uti"isateur sur "e serveur *ui contient "e co,&te. Les
&ro&rits du co,&te sont accessiA"es avec ";outi" B/tilisateurs et ordinateurs Active .irector9B.
4igure 1- K 'ro&rits BA&&e" entrantB du co,&te uti"isateur.
III.F.iii.2- Straties
'our grer "es acc<s en $onction des stratgiesD s"ectionner "e Aouton B+ontrDler l$accs via la Stratie
d$accs distantB dans ";ong"et BAppel 5ntrantB des B&ropritsB du co,&te uti"isateur. Les stratgies
d;acc<s distant se d$inissent dans "a conso"e BRoutae et accs distantBD nQud BStraties d$accs
distantB. (n assistant &er,et de crer "a nouve""e stratgie.
4igure 14 K tratgies d;acc<s distant.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Ce &ara,<tre &er,et de d$inir
&our un co,&te uti"isateur si i" est
autoris 3 se connecter ou non.
Ce &ara,<tre &er,et vri$ier "e nu,ro
de t"&%one de ";a&&e"ant )"e ,atrie"
t"&%oni*ue doit "e &er,ettre.
Ce &ara,<tre &er,et de d$inir
"es o&tions de ra&&e"
Ce &ara,<tre &er,et d;attriAuer une
adresse I' stati*ue au c"ient distant
Ce &ara,<tre &er,et d;aEouter des
routes stati*ues dans "es routeurs
?indo@s 2000.
'our contrF"er ";acc<s 3 &artir de
"a stratie d$accs distant
Le nQud BStraties d$accs distantB n;a&&araGt *ue
si "e serveur est con$igur &our une aut%enti$ication
?indo@sR 5oir $igure suivante.
'our crer une nouve""e stratgie
d;acc<s distant. Juvre un Assistant.
- 10 -
4igure 15 K C%oix du ,ode d;aut%enti$ication du serveur dBacc<s distant ?indo@s 2000.
La cration d;une nouve""e stratgie &eut s;a&&"i*uer 3 un uti"isateur ou 3 un grou&e d;uti"isateurs distants.
L;assistant de cration de stratgies d;acc<s distant &er,et de rentrer "es BAttri2utsB de "a nouve""e stratgie.
4igure 1N K Liste des BAttriAutsB &our "es stratgies d;acc<s distant.
4igure 17 K 2xe,&"e de
stratgie d;acc<s distant
a&&"i*ue 3 un grou&e
d;uti"isateurs &articu"iers.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Cette "iste drou"ante &er,et
de con$igurer "e serveur en
ce *ui concerne "e !ode
d$aut-enti,ication.
Cette "iste drou"ante
&er,et de con$igurer "e
serveur en ce *ui concerne
"e t9pe de estion des
co!ptes utilisateurs
)RA/I( ou ?indo@s+.
6o, de "a stratgie
a&&"i*ue au grou&e
BReprsentantsB.
Liste des attriAuts a$$ects 3 cette stratgie
d;acc<s distant. 6oter "a &rsence du ,ot
A'. entre c%a*ue attriAut.
Ces Aoutons &er,ettent
de d$inir si "a stratgie
accorde ";acc<s au
serveur d;acc<s distant
ou au contraire "e re,use
- 11 -
III.F.iii.c- Verrouillae de co!pte
Le verroui""age de co,&te uti"isateur se $ait sur "e serveur ?indo@s 2000 *ui &er,et ";aut%enti$ication. i "e
serveur d;acc<s distant est con$igur &our une aut%enti$ication ?indo@sD i" $aut ,odi$ier "e registre de ce
serveur. i ";aut%enti$ication se $ait &ar un serveur RA/I( 3 travers "e service IA ?indo@s 2000D vous
,odi$ier "e registre du serveur contenant IA.
'our ,odi$ier "e verroui""age de co,&teD uti"iser ";entre 8ax.enials du registre K
8S2TULJCALU9AC8I62VT029VCurrentContro"etVervicesVRe,oteAccessV'ara,etersVAccountLoc1&out
'ositionner "a va"eur 3 1 ou &"us &our indi*uer "e no,Are de tentatives incorrectes avant verroui""age. i "a va"eur du
registre est 3 0D i" n;: aura &as de verroui""age du co,&te.
'our ,odi$ier "e te,&s de ,,orisation des tentatives in$ructueuses et autoriser une re,ise 3 0 du co,&teur de
tentativesD i" $aut c%anger "a va"eur de ";entre Reset(i!e K
8S2TULJCALU9AC8I62VT029VCurrentContro"etVervicesVRe,oteAccessV'ara,etersVAccountLoc1&out
4igure 1= K 'ara,trage du verroui""age des co,&tes d;uti"isateurs distants.
III.F.iv- %a estion des aut-enti,ications
Le serveur d;acc<s distant &eur Itre con$igur co,,e $ournisseur d;aut%enti$ication ?indo@s ou RA/I(.
5oir $igure 15.
III.F.iv.a- Aut-enti,ications :indo<s
/ans "e cas de ";aut%enti$ication ?indo@sD ce sont "es ,canises d;identi$ication c"assi*ues de ?indo@s *ui
sont ,is en Eeu. Le no, du serveur d;acc<s distant doit Itre entr dans ";Annuaire Active /irector: et aEout
au grou&e BServeurs RAS et IASB. Cette o&ration se $ait avec ";outi" B(ti"isateurs et ordinateurs du
do,aineB.
4igure 1> K AEout d;un
serveur d;acc<s distant au
grou&e BServeurs RAS et
IASB.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
'ara,<tre 8ax .enials
'ara,<tre Reset(i!e
- 12 -
III.F.iv.2- Aut-enti,ication RA.I/S
i RA/I( est s"ectionn co,,e source d;identi$ication sur "e serveur d;acc<s distantD "es in$or,ations
ncessaires 3 "a connexion d;un c"ient distant sont de,andes &ar un serveur RA/I(. Le serveur RA/I(
&oss<de sa &ro&re Aase de donnes de co,&tes uti"isateurs ainsi *ue "eurs &ro&rits. I" &eut aussi servir
d;ordinateur *ui interroge d;autres Aases de donnes : co,&ris des Aases de donnes d;aut%enti$ication sur
des serveurs de do,aines ?indo@s. I" &eut servir de serveur &rox: &our un autre serveur RA/I( distant.
IV - Rseaux privs virtuels
IV.A- %es V&'
(n V&' )5irtua" 'rivate 6et@or1 # Rseau 'riv 5irtue"+ connecte "es co,&osants d;un rseau 3 ceux d;un
autre rseau. Le 5'6 $or,e une sorte de tunne" 3 travers des rseaux &rivs ou &uA"ics )Internet+ &our
ac%e,iner des donnes avec "a ,I,e scurit *ue si e""es taient trans&ortes sur un rseau &riv
&%:si*ue.
4igure 20 K 5'6.
IV.A.i- 5xe!ples de V&'
IV.A.i.a- +lient distant 1 travers Internet
Le c"ient distant est connect 3 un noeud d;un rseau d;entre&rise 3 travers "e rseau Internet. L;intrIt de
cette connexionD outre ";as&ect scuritD est "a di,inution i,&ortante du coWt de connexion. 2n e$$et "e c"ient
distant au "ien d;uti"iser une "igne t"&%oni*ue "ongue distance &our se connecter au rseauD uti"ise une
connexion "oca"e )ou un $or$ait+ &our se connecter au $ournisseur de service Internet. Le "ogicie" 5'6 du c"ient
cre un rseau virtue" entre "ui-,I,e et "e rseau "oca" distant.
4igure 21 K 5'6 avec c"ient distant uti"isant Internet.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Internet
V&'
Rseau 'riv
5irtue"
50uivalent %oi0ue
V&'
Internet
R(+
R'IS
4ournisseur
de services
Internet
Lignes "oues
%aut dAit
Rseau "oca"
d;entre&rise
(ti"isateur
distant
- 1- -
IV.A.i.2- +onnexion de rseaux 1 travers Internet
(n 5'6 &eut &er,ettre d;taA"ir un circuit scuris entre deux rseaux LA6 d;une entre&rise )site centra" et
agence+ &ar ";inter,diaire de K
%ine spcialise. /ans ce cas "e coWt de "a "igne s&cia"ise est rduit car "a "ongueur est "i,ite 3
"a distance co,&rise entre "e LA6 et "e 4AI "e &"us &roc%e.
%ine co!!ute. /ans ce cas "e coWt "ui aussi est &"us $aiA"eD car i" est "i,it au coWt d;une
connexion "oca"e.
4igure 22 K 5'6 LA6 3 LA6.
IV.A.i.c- %iaison entre ordinateurs sur un !E!e %A'
(n 5'6 &eut Itre taA"i &ar ";inter,diaire d;un serveur 5'6 sur un LA6. Ce 5'6 &er,et d;taA"ir une "iaison
scurise entre deux ordinateurs du rseau invisiA"e &our "es autres uti"isateurs du rseau.
4igure 2- K 5'6 sur un LA6.
IV.)- (unnelin
Le tunnelin ou encapsulation &er,et de trans$rer une c%arge uti"e )pa9load+ corres&ondant 3 un autre
&rotoco"e. La c%arge uti"e est incor&ore dans des tra,es ou des &a*uets *ui co,&orte un en-tIte
su&&",entaire La c%arge uti"e enca&su"e &asse dans un in$rastructure du rseau en uti"isant un Btunne"B.
Lors*ue "a c%arge uti"e est arrive 3 ";extr,it du tunne"D e""e est dAarrasse de son en-tIte et re&rend sa
$or,e initia"e. Ce tunne" &er,et de trans&orter des donnes de ,ani<re scurise sur un rseau &uA"ic *ui
ne ";est &as.
4igure 24 K 0unne"ing ou enca&su"ation.
/es tec%no"ogies anciennes existaient co,,e 6A enca&su" sur des inter-rseaux I' ou I'. enca&su"s
sur des inter-rseaux I'. /es tec%no"ogies &"us rcentes sont ,aintenant ,ises en Quvre K
&&(& K 'oint-to-'oint 0unne"ing 'rotoco" *ui &er,et ";enca&su"ation de niveau 2 dans des tra,es ''' de
&a*uets I'D I'. ou 6et!2(I. Ce &rotoco"e &er,et aussi "e cr:&tage des donnes.
%2(& K La:er 2 0unne"ing 'rotoco" &er,et "ui aussi ";enca&su"ation et "e cr:&tage des &rotoco"es I'D I'. ou
6et!2(I. I" &eut uti"iser co,,e su&&ort des rseaux I'D .25D 4ra,e Re"a: ou 0rans"ation
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
V&'
LA6
LA6
LA6
Ligne "oue
%aut dAit
4AI
4AI
Ligne "oue
%aut dAit
Internet
V&'
4AI
R(+
R'IS
Serveur V&'
V&'
'a:"oad 'a:"oad
2xtr,its du tunne"
2n-tIte
C%arge uti"e
enca&su"e
Rseau de transit
- 14 -
I&Sec I' ecurit: en ,ode tunne" &er,et d;enca&su"er une c%arge uti"e I' dans des &a*uets I'
d;enca&su"ation et de "es v%icu"er en toute scurit sur des rseaux I' &rivs ou &uA"ics co,,e Internet.
'our taA"ir un tunne"D "e c"ient tunne" et "e serveur tunne" doivent uti"iser "e ,I,e &rotoco"e de tunne"ing
)''0' ou L20' &our "a couc%e 2+.
(n protocole de !aintenance de tunne" sert 3 grer "e tunne". Les deux extr,its se ,ettent
d;accord &our taA"ir "e tunne"D &our dtecter "es d$ai""ances ventue""es et &our ,ettre $in au tunne".
Le protocole de trans,ert des donnes en tunne" enca&su"e et dsenca&su"e "es donnes.
IV.).i- (9pes de tunnel
IV.).i.a- (unnels volontaires
Les tunne"s volontaires sont ceux crs &ar ";uti"isateur "ui-,I,e. Le c"ient tunne" est ";ordinateur de
";uti"isateurD ";autre extr,it est "e serveur tunne".
IV.).i.2- (unnels o2liatoires
Les tunne"s o2liatoires sont ceux *ui sont crs auto,ati*ue,ent sans intervention de ";uti"isateur. Le
c"ient ne constitue &as une extr,it du tunne". I" doit uti"iser un autre ordinateur du rseau *ui Eoue "e rF"e de
c"ient tunne". Cet ordinateur est a&&e" concentrateur d$accs et c;est "ui *ui cre "e tunne" d<s "a connexion
du c"ient. Le concentrateur d;acc<s taA"it un tunne" avec un autre concentrateur d;acc<s 3 travers Internet.
Ce t:&e de tunne" est dit oA"igatoireD car "e c"ient doit ";uti"iser oA"igatoire,ent.
4igure 25 K 0unne" oA"igatoire.
Jn dit *ue "e tunne" oA"igatoire est stati0ue "ors*ue "es donnes des uti"isateurs sont touEours diriges vers
"e ,I,e serveur tunne".
Jn dit *ue "e tunne" oA"igatoire est d9na!i0ue si ";ordinateur c"ient &eut c%oisir "a destination du tunne".
IV.+- &rotocoles pour V&'
Les &rinci&aux &rotoco"es uti"iss &our "e 5'6 sont &&(&D %2(&D I&Sec et I&-I&.
IV.+.i- &&(&
&&(& est une extension de '''. I" a t ,is au &oint &ar 9icroso$tD AscendD -Co, 2CI 0e"e,atic et (
RoAotics. Ce &rotoco"e enca&su"e "es tra,es ''' du c"ient dans des &a*uets I'. (n en-tIte 6R5
a
est aEout
a&r<s ";en-tIte I'. 6R5 est un &rotoco"e d;enca&su"ation *ui &er,et d;enca&su"er n;i,&orte *ue" &rotoco"e.
''0' uti"ise une version s&cia"e de 7R2.
4igure 2N K ''0'.
La c%arge uti"e des tra,es ''' &eut Itre co,&resse et encr:&te. ''0' &eut Itre uti"is aussi Aien avec
des ?A6 *ue &our re"ier "es stations de deux LA6. Avant de &ouvoir trans,ettre des donnesD ''0' uti"ise
"es ,I,es &rotoco"es d;aut%enti$ication *ue '''D c;est-3-dire &A&D 8S-+7A&D +7A& et 5A&.
a
7R2 )7eneric Routing 2nca&su"ation+
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
I'(5R'5(
(unnel
LA6
C"ient
0unne"
erveur
0unne"
Jrdinateur
c"ient
Ligne co,,ute
'rotoco"e '''
4AI
I'(5R'5(
(unnel
LA6
C"ient
0unne"
erveur
0unne"
Jrdinateur
c"ient
2n-tIte
'''
2n-tIte
I'
.A(A
0ra,e ''' avant taA"isse,ent du 5'6
2n-tIte
'''
2n-tIte
I'
.A(A
6R5 2n-tIte
I'
2n-tIte
'''
2n-tIte
I'
.A(A
6R5 2n-tIte
I'
&&&
'a*uet ''0' enca&su" dans une tra,e
''' a&r<s taA"isse,ent du 5'6
'a*uet ''0' dans "e tunne"
2n-tIte
'''
2n-tIte
I'
.A(A
6R5 2n-tIte
I'
5n (Ete
5t-ernet
'a*uet ''0' enca&su" dans une tra,e 2t%ernet
si "e 5'6 est taA"i avec une station sur "e LA6
- 15 -
IV.+.ii- %2(&
Le &rotoco"e de tunne"ing %2(& )La:er 2 0unne"ing 'rotoco"+ est une co,Ainaison de ''0' et de La:er 2
4or@arding )L24+ dve"o&& &ar Cisco.
L20' enca&su"e "es tra,es ''' 3 trans,ettre sur des rseaux I'D .25D 4ra,e Re"a:D A0L ou LA6 3 LA6
'rivs. ?indo@s 2000 n;i,&",ente L20' *ue sur "es rseaux I' )'as .25D 4ra,e Re"a: ou A09+.
IV.+.iii- I&Sec
I&Sec )I' ecurit:+ est "a stratgie d;avenir &our "a scurisation des rseaux &rivs ou &uA"ics co,,e
Internet.
/u &oint de vue de "a scuritD I'ec &rot<ge "es donnes trans,ises contre K
L;a"tration de donnes en transit
Les interce&tions ou "es &iratage de donnes
Les acc<s non autoriss.
I'ec s;a&&uie sur un ,od<"e &oint 3 &oint entre deux ordinateurs. C%acun d;eux g<re "a scurit de son
extr,it res&ective en &renant &our &rinci&e *ue "e su&&ort entre eux n;est &as scuris. Les routeurs
inter,diaires n;ont &as Aesoin de grer I'ec.
I'ec &eut Itre d&"o: K
ur "es rseaux "ocaux de t:&e c"ient-serveur ou rseaux %o,o"ogues
ur des rseaux tendus entre &ostes dur LA6s distants
ur des acc<s distants K A &artir d;un &oste c"ient vers un LA6 3 travers un &oint d;acc<s ou vers
Internet.
I'ec &eut Itre aEout 3 toute &i"e I'v4 dans "es ordinateurs et sera insr d;origine dans une &i"e I'vN.
IV.+.iii.a- Arc-itecture d$I&Sec
I&Sec assure "a scurit au niveau rseau. I" o$$re donc une &rotection auto,ati*ue &our tous "es &rotoco"es
et a&&"ications de niveaux su&rieurs.
4igure 27 K Arc%itecture I'ec.
Les services de scurit ,entionns ci-dessus sont $ournis au ,o:en de deux extensions du &rotoco"e I'
a&&e"es A7 2Aut&entication 3eader+ et 5S& 2%ncapsulating Securit* Pa*load+ K
A7 est conPu &our assurer l;aut-enticit des datagra,,es I' sans c%i$$re,ent des donnes. Le &rinci&e
est dadEoindre au datagra,,e I' c"assi*ue un c%a,& su&&",entaire &er,ettant 3 "a rce&tion de vri$ier
"aut%enticit des donnes inc"uses dans "e datagra,,e. (n nu,ro de s*uence &er,et de dtecter "es
tentatives de reFeu )tentative datta*ue consistant 3 envo:er de nouveau un &a*uet va"ide interce&t
&rcde,,ent sur "e rseau+.
4igure 2= K 4or,at de A8.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
SA.
S&.
Consu"tation
Consu"tation
I& G I&Sec "A7H 5S&#
Acc<s rseau
(+& /.&
:inSoc4s
A&&"ications et
&rotoco"es
a&&"icati$s 809LD
40'D 0e"netD 'J'D
69'
II5
IAS9'
Ja1"e:
S292
/e,ande de
cration de SA
6gociationD ,odi$icationD
su&&ression de SA
'ointe sur
Ad,inistrateur
A"ertes
Con$iguration
Le &ositionne,ent de I&Sec au niveau
de "a couc%e rseau &er,et une
&rotection de toutes "es a&&"ications.
X Y Z _q_ _ : _ooq
_
_eqo__x YYYYYY :x
Z Z Y Z Z YYY YYY YZ[ _q..:oxoo _x: . : c_xo_ \
Y Z Z YYY YY YY __o xe . : c_qc
YZ ] eqq : .o.q_o.oco_oeq
[ Z \ _eqo__xoxoooo
- 1N -
5S& a &our rF"e &re,ier dassurer "a con,identialitD ,ais &eut aussi assurer ";aut-enticit des donnes.
Le &rinci&e d2' est de gnrerD 3 &artir dun datagra,,e I' c"assi*ueD un nouveau datagra,,e dans
"e*ue" "es donnes et ventue""e,ent "en-tIte origina"D sont c%i$$rs. 2' &eut ga"e,ent assurer
"aut%enticit des donnes &ar aEout dun A"oc daut%enti$ication et "a &rotection contre "e reEeu &ar "e Aiais
dun nu,ro de s*uence.
4igure 2> K 2n-tIte 2'.
A8 et 2' &euvent Itre uti"ises s&ar,ent ou co,Aines &our oAtenir "es services de scurit re*uis.
A8 et 2' uti"isent des a"gorit%,es cr:&togra&%i*ues et ne sont &as restreints 3 un a"gorit%,e &articu"ier. I"s
sont utilisa2les avec de no!2reux alorit-!es &ar,i "es*ue"s "uti"isateur ou "ad,inistrateur du rseau
&ourront c%oisir. La nor,e I'ec rend certains de ces a"gorit%,es oA"igatoires. Actue""e,entD /2-C!C
a
et
-/2-C!C
A
sont oA"igatoires &our "e c%i$$re,entD &our "aut%enti$ication 89AC-9/5
c
et 89AC-8A-1
d
doivent Itre &rsents dans toute i,&",entation con$or,e dI'ec.
IV.+.iii.2- 8odes de protection
Le ,ode transport &rot<ge uni*ue,ent "e contenu du &a*uet I' sans touc%er 3 "en-tIte R ce ,ode
nest uti"isaA"e *ue sur "es *ui&e,ents ter,inaux )&ostes c"ientsD serveurs+.
4igure -0 K A8 et 2' en ,ode trans&ort.
a
/2 #C!C K /ata 2ncr:&tion tandard # C:&%er !"oc1 C%ainaing
A
-/2 K 0ri&"e /2
c
89AC- 9/5 K A 9AC ,ec%anis, Aased on encr:&tion 8as% $unctions # 9essage /igest 5
d
8A 1 K ecure 8as% A"gorit%, 1
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
Index des &ara,<tres de scurit )S&I+
6u,ro de s*uence
C%arge (ti"e
"&a9load#
!ourrageB
Longueur du Aourrage
2n-tIte suivant
/onnes d;identi$ication
Aut%enti$ication
2'
0rai"er
2'
+-are utile
2n-tIte 2'
)2x -2 Aits+
5n-tEte
I&
.onnes des couc-es
suprieures &a0uet I& d$oriine
AH en mode transport
ESP en mode transport.
5n-tEte
I&
.onnes des couc-es
suprieures
5n-tEte
5S&
(railer
5S&
.onnes
d$aut-enti,ication
C%i$$r
Aut%enti$i
5n-tEte
I&
.onnes des couc-es
suprieures
A7
Aut%enti$i
- 17 -
Le ,ode tunnel &er,et "a cration de tunne"s &ar ^enca&su"ation_ de c%a*ue &a*uet I' dans un nouveau
&a*uet. AinsiD "a &rotection &orte sur tous "es c%a,&s des &a*uets I' arrivant 3 "entre dun tunne"D :
co,&ris sur "es c%a,&s des en-tItes )adresses source et destination &ar exe,&"e+. Ce ,ode est ce"ui uti"is
&ar "es *ui&e,ents rseau )routeursD $ire@a""...+.
4igure -1 K A8 et 2' en ,ode tunne".
IV.+.iii.c- 6estion des para!tres de scurisation
Les ,canis,es ,entionns ci-dessus $ont a&&e" 3 "a cr:&togra&%ie et uti"isent donc un certain no,Are de
&ara,<tres )a"gorit%,es uti"issD c"e$sD ,canis,es s"ectionns...+. A$in dc%anger des donnes de $aPon
scuriseD i" est donc ncessaireD dans un &re,ier te,&sD de se ,ettre daccord sur "es &ara,<tres 3 uti"iserD
et nota,,ent dc%anger des c"e$s de $aPon sWre.
/ans "a &re,i<re version de I'ec )1>>5+D cette gestion tait !anuelle &ar un ad,inistrateur. 2""e ne
&eut donc convenir *u;3 une gestion stati*ueD sans renouve""e,ent de c"s et &our un rseau de &etite
tai""e.
La seconde so"ution &ro&ose est "a gestion auto!ati0ue au ,o:en dun &rotoco"e a&&ro&ri. Les
dve"o&&e,ents dans ce do,aine ont aAouti 3 un &rotoco"e de gestion des &ara,<tres re"ati$s 3 I'ec
connu sous "e no, de II5 2Internet 4e* %.c&ange+. !ien *ue ce no, insiste sur "e rF"e dc%ange de c"e$sD
IS2 se c%arge en ra"it de "a gestion )ngociationD ,ise 3 EourD su&&ression+ de tous "es &ara,<tres
re"ati$s 3 "a scurisation des c%anges.
I5.C.iii.c.i- A
A$in de stoc1er et de ,ani&u"er $aci"e,ent "ense,A"e des &ara,<tres grs &ar IS2 et uti"iss &ar "es
,canis,es de scurisationD I'ec a recours 3 "a notion dassociation de scurit 2Securit* Association5
SA+. (ne association de scurit est une structure de donnes *ui regrou&e l;ense!2le des para!tres
de scurit associs 3 une co,,unication donne unidirectionne""e. 'our une connexion Aidirectionne""eD i"
$aut 2 A. 'our stoc1er "ense,A"e des associations de scurit activesD on uti"ise une 6ase de donnes des
associations de scurit 2Securit* Association !ata6ase5 SA.+. Les ",ents stoc1s dans cette Aase de
donnes sont crs et ,odi$is &ar IS2 &uis consu"ts &ar "a couc%e I'ec &our savoir co,,ent traiter
c%a*ue &a*uet rePu ou 3 ,ettre.
IV.+.iii.d- %a con,iuration
Les &rotections o$$ertes &ar I'ec sont Aases sur des c%oix d$inis &ar "ad,inistrateur du rseau &ar "e
Aiais de politi0ues de scurit. Ces &o"iti*ues sont gnra"e,ent stoc1es dans une 2ase de donnes de
politi0ue de scurit 2Securit* Polic* !ata6ase5 S&.+ et se &rsentent sous $or,e dune "iste ordonne de
r<g"esD c%a*ue r<g"e co,&ortant un certain no,Are de crit<res *ui &er,ettent de dter,iner *ue""e &artie du
tra$ic est concerne. La consu"tation de "a Aase de donnes des &o"iti*ues de scurit &er,et de dciderD
&our c%a*ue &a*uetD si" se verra a&&orter des services de scuritD sera autoris 3 &asser outre ou sera
reEet. Cest ga"e,ent cette Aase *ui indi*ue 3 IS2 *ue""es associations de scurit i" doit ngocierD etD en
&articu"ierD *ue"s tunne"s scuriss i" doit taA"ir.
IV.+.iii.e- S9nt-se
La $igure 27 re&rsente "es di$$rents co,&osants dI'ec et "eurs interactions. Jn : retrouve nota,,ent K
A7 et 5S&D "es !canis!es de scurisation au niveau I' *ui &rot<gent "es donnes trans$res.
Les &ara,<tres re"ati$s 3 "uti"isation de ces ,canis,es sont stoc1s dans des associations de
scurit.
II2D "e &rotoco"e orient connexion uti"is &ar "es *ui&e,ents I'ec &our grer "es associations de
scurit. (ne con$iguration ,anue""e des associations de scurit est ga"e,ent &ossiA"e.
(n ense,A"e de politi0ues de scuritD *ui sont "es r<g"es 3 a&&"i*uer au tra$ic traversant un
*ui&e,ent donn. Cest &ar e""es *ue "ad,inistrateur du rseau con$igure I'ec et nota,,ent
indi*ue 3 IS2 *ue"s sont "es tunne"s scuriss 3 crer.
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
En-tte
IP
Donnes des couches
suprieures
Nouvel
en-tte IP
En-tte
IP
Donnes des couches
suprieures
AH
Aut%enti$i
Nouvel
en-tte IP
En-tte
IP
Donnes des couches
suprieures
En-tte
ESP
Aut%enti$i
Trailer
ESP
Donnes
d'authentification
C%i$$r
&a0uet I& d$oriine
A7 en !ode tunnel
5S& en !ode tunnel
- 1= -
IV.+.iii.,- 5xe!ples d$utilisation de I&Sec
I5.C.iii.$.i- Rseaux &rivs virtue"s
(ne &re,i<re uti"isation &ossiA"e dI&Sec est "a cration de rseaux &rivs virtue"s )V&'+ entre di$$rents
rseaux &rivs s&ars &ar un rseau non $iaA"e co,,e Internet. Les ,atrie"s i,&"i*us sont "es
&assere""es de scurits en entre/sortie des di$$rents rseaux )routeursD $ire@a""sD serveurs+. Cette
con$iguration ncessite donc "insta""ation et "a con$iguration dI'ec sur c%acun de ces *ui&e,ents a$in de
proter les c-anes de donnes entre les di,,rents sites.
4igure -2 K I'ec uti"is &our taA"ir des 5'6s.
5ous notereH *ue "a &rotection ne se $ait *u;entre "es &assere""es )&our "e rseau &uA"ic+D ,ais &as de Aout en
Aout.
I5.C.iii.$.ii- 'our "es connexions distantes co,,utes
I'ec &eut Itre uti"is dans "e cas oC "es co,,unications 3 scuriser ne sont &as $ixesD ,ais au contraire
inter,ittentes et dorigines variaA"es. Cest "e cas "ors*uon dsire &er,ettre 3 des uti"isateurs itinrants ou
situs 3 ";extrieur de ";entre&rise daccder au rseau interne sans di,inuer "e niveau de scurit. Les
,atrie"s i,&"i*us sont "es &ortes dentres du rseau )serveur dacc<s distantsD "iaison Internet...+ et "es
ordinateurs uti"iss &ar "es e,&"o:s )ordinateur &ortaA"eD ordinateur &ersonne" au do,ici"e...+. Ces
con$igurations ncessitent "insta""ation dI'ec sur "es &ostes de tous "es uti"isateurs concerns et "a gestion
dune ventue""e Aase de donnes ada&te &our stoc1er "es &ro$i"s individue"s.
4igure -- K (ti"isation d;I'ec &our scuriser des acc<s distants.
I5.C.iii.$.iii- 'rotection de serveur
I'ec &our &rotger "acc<s 3 un ordinateur )un serveur+ *ui contient des donnes i,&ortantes ou
con$identie""es. I'ec &er,et de ,ettre en oeuvre un contrDle d;accs $ort et un c-i,,re!ent des donnes
&endant "eur trans$ert sur "e rseau "oca". Les ,atrie"s i,&"i*us dans ce t:&e de con$iguration sont "e
serveur sensiA"e et "es ordinateurs de toutes "es &ersonnes devant accder aux donnes.
4igure -4 K I'ec uti"is &our scuriser une "iaison sur un rseau "oca".
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014
%A'
A
&asserelle A
%A'
+
%A'
)
&asserelle +
&asserelle )
I'(5R'5(
5LA6 A-)
5LA6 A-+
5LA6 )-+
Rseau
"oca"
RRAS
Acc<s internet
I602R620
R0C/
R6I
0unne" I'ec
0unne" I'ec
Rseau
"oca"
I&Sec assure une "iaison scurise
erveur
sensiA"e
(ti"isateur
&rivi"gi
- 1> -
IV.+.iv- I&-I&
I&-I& ou I' dans I' est une tec%ni*ue si,&"e d;enca&su"ation de couc%e rseau )-+. I'-I' est surtout uti"is
&our ";enca&su"ation du tra$ic ,u"tidi$$usion &our "es sections de rseaux *ui ne su&&ortent &as "a
,u"tidi$$usion.
V - Outils RRAS
La gestion du service RRA est gre 3 &artir de "a conso"e BRoutae et Accs distantBD ,ais aussi &ar un
outi" en ,ode co,,ande nets-.
V.A- +onsole RRAS
Ce co,&osant se trouve dans "es BOutils d$ad!inistrationB. 'our activer cet outi" voir "e dAut de ce
docu,ent. (ti"iser ";aide en "igne se"on "e t:&e de connexion distante ou "e t:&e de routage 3 assurer.
4igure -5 Conso"e avec "e co,&osant "ogicie" Routage et Acc<s distant.6et %e""
V.)- 'et S-ell
6et %e"" est un uti"itaire &ar "ignes de co,,andes )*ui &euvent Itre ,ises dans un scri&t+ destin aux
co,&osants rseaux des ordinateurs "ocaux et distants ?indo@s 2000. Le no, du &rogra,,e est nets-.exe
et se trouve dans `s:ste,root`s:ste,-2.
UUUUUUUUUUUUUUUUUUUUUUUUUU
4I6
Centre dAngers Rseaux -- A.C -- 205277717.doc 20/01/2014