Vous êtes sur la page 1sur 36

Table des matires

Accs distant sur Windows 2008 Server............................................................................2


1.1
Introduction ............................................................................................................2
1.2

Accs distant (dial-in) ...............................................................................................2

1.3

VPN.........................................................................................................................3

1.4

Authentification.......................................................................................................4

1.5

Configuration dun rseau priv virtuel (vpn).............................................................6

1.6

Configuration de l'accs rseau distance...............................................................18

1.7

Stratgies daccs distant .......................................................................................28

1.7.1

Autorisation ...................................................................................................28

1.7.2

Dfinir les conditions ......................................................................................29

1.7.3

Profil..............................................................................................................31

2011 Hakim Benameurlaine

Accs distant sur Windows 2008 Server

1.1 Introduction
L'accs rseau distance permet un utilisateur situ en dehors du
rseau, de se connecter l'environnement rseau au travers du service
Accs distant (dial-in) ou d'une connexion VPN (Virtual Private Network).
Windows 2008 Server implmente le service Routage et Accs
distant, qui donne un serveur le rle de serveur d'accs distant.
Il implmente galement un client d'accs distant et un client VPN,
permettant ainsi d'tablir rciproquement, des connexions via le protocole
PPP et des tunnels PPTP, L2TP.

1.2 Accs distant (dial-in)


Laccs distant permet un utilisateur daccder un serveur daccs distant via
une liaison point point sur RTC.
Le serveur daccs distant joue le rle de passerelle entre le client daccs distant
et le rseau local.
Lorsquun client daccs distant se connecte un serveur daccs distant, il utilise
un protocole de liaison de donnes appropri au support de communication quil
utilise.
Le support de communication peut tre :

RTC
RNIS
Support X25
FRAME-RELAY
ATM
Support DSL

rseau tlphonique commut.


rseau numrique intgration de service.
rseau commutation de paquets.
rseau commutation de trames.
Asynchronous Transfer Mode
Digital Subscriber Line

Les protocoles de liaison de donnes que support Windows 2008 sont:

SLIP (Serial Line Internet Protocol)


Ce protocole est utilis pour se connecter via un modem un serveur
SLIP au travers dune connexion non scurise. Il sagit dun vieux
standard de communication que lon peut trouver dans les
environnements Unix. Le protocole SLIP ne peut encapsuler que de
lIP.

2011 Hakim Benameurlaine

Windows 2008 Server ne peut pas tre configur comme serveur


SLIP mais il inclut un client SLIP.

PPP (Point to Point Protocol)


C'est une amlioration du SLIP. Il peut encapsuler en dehors des
protocoles TCP/IP des protocoles IPX/SPX, NetBEUI.
Lavantage majeur du protocole PPP est quil nest pas propritaire,
donc nimporte quel client supportant PPP peut se connecter un
serveur daccs distant Windows 2008.

1.3 VPN
Le VPN (Virtual Private Network), permet un utilisateur d'accder aux
ressources de son entreprise par exemple, comme s'il tait physiquement
connect au LAN de cette dernire. Le serveur VPN ncessite une adresse
IP public.
Le VPN constitue une extension d'un rseau priv tra vers un rseau
public. De ce fait, le VPN n'est dot d'aucune mesure de scurit dans son
lment de base.
Cependant, il est ncessaire de scuriser les donnes qui transitent dans
ce type de rseau.
Windows 2008 Server utilise deux types de protocoles de tunnel qui sont
PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling
Protocol).
L'avantage du VPN par rapport une connexion d'accs distant est que ce
dernier peut s'effectuer via une connexion Internet, alors que l'accs distant
ncessite quant lui une connexion point point utilisant le RTC ou RNIS,
ce qui revient conomiquement plus cher.
Un autre avantage du VPN est la possibilit d'effectuer une interconnexion
de deux rseaux d'entreprise travers un rseau public.

PPTP
Il s'agit d'un protocole qui rend possible l'interconnexion des rseaux via
un rseau IP. C'est notamment un protocole qui permet l'encapsulation
scurise sur un rseau public pour crer un VPN.

L2TP
C'est un protocole qui permet d'interconnecter des rseaux ds qu'une
connexion point point oriente paquet est offerte par le tunnel. Le L2TP

2011 Hakim Benameurlaine

permet une compression des en-ttes et une authentification en tunnel. Il


utilise aussi IPSec afin de crypter les donnes.
PPTP
Propritaire (Microsoft)
Encryptage Microsoft intgr
Rseaux IP seulement
Antrieur L2TP

L2TP
Ouvert
IPSEC
IP, ATM, X.25
Plus rcent
Windows 2000 et plus

1.4 Authentification
Il est essentiel, lors de l'tablissement dune connexion d'accs distant, de
procder la scurisation des donnes qui transitent via un mcanisme
d'authentification. Au sein de l'infrastructure Windows 2008 Server,
plusieurs protocoles d'authentificatio n sont proposs. Ces mthodes
diffrent essentiellement par leur niveau de scurit.
Il est possible de choisir parmi les protocoles d'authentification suivants :

PAP (Password Authentification Protocol)


Il s'agit d'une mthode d'authentification peu scurise et trs simple.
Le login et le mot de passe sont envoys en clair par le client d'accs
distant au serveur d'accs distant, qui les comparent aux informations
qui sont stockes dans la base SAM locale ou Active Directory.

SPAP (Shiva Password Authentification Protocol)


Ce protocole est plus scuris que le protocole PAP. Il permet de
connecter des clients Shiva un serveur d'accs distant Windows.

CHAP (Challenge Handshake Authentification Protocol)


Il s'agit d'un protocole crypt conu pour les changes de mots de
passe via IP ou PPP. Les mots de passes sont stocks en clair sur le
client et le serveur. Le client envoie le hash au serveur qui le compare
au rsultat de son hash.

MS-CHAP (Microsoft Challenge Handshake Authentification Protocol)


Ce type de protocole est bas sur le mme principe que le CHAP la
diffrence que MS-CHAP stocke les mots de passes de faon crypte,
grce MD4 qui est une fonction de hachage.

MS-CHAP 2
Il s'agit ici d'une version plus rcente du MS-CHAP, qui la diffrence
du MS-CHAPv1, propose une scurit plus accrue.

EAP (Extensible Authentification Protocol)

2011 Hakim Benameurlaine

Il fait rfrence un ensemble de protocoles qui apportent une


extension aux mthodes d'authentification actuelles.
Exemples :
o SmartCard (carte + pin).
o Authentification Biomtrique (empreinte + pin).
Pour configurer les Mthodes dauthentification :
Aller dans les proprits du serveur, onglet Scurit :

2011 Hakim Benameurlaine

1.5 Configuration dun rseau priv virtuel (vpn)


SERVEUR :

Nous allons dans cette tape, configurer un serveur VPN.

2011 Hakim Benameurlaine

2011 Hakim Benameurlaine

Si vous ne disposez pas dau moins deux interfaces rseaux, vous recevrez le
message suivant :

Si vous disposez de deux interfaces rseaux, vous recevrez le message suivant :

2011 Hakim Benameurlaine

2011 Hakim Benameurlaine

2011 Hakim Benameurlaine

10

2011 Hakim Benameurlaine

11

CLIENT :

2011 Hakim Benameurlaine

12

2011 Hakim Benameurlaine

13

2011 Hakim Benameurlaine

14

Autoriser lusager pour le serveur VPN:

2011 Hakim Benameurlaine

15

Faire un test de connexion partir du client :

2011 Hakim Benameurlaine

16

Afficher les connexions sur le serveur VPN:

2011 Hakim Benameurlaine

17

1.6 Configuration de l'accs rseau distance


SERVEUR :

2011 Hakim Benameurlaine

18

2011 Hakim Benameurlaine

19

2011 Hakim Benameurlaine

20

2011 Hakim Benameurlaine

21

Configurer le modem du serveur :

2011 Hakim Benameurlaine

22

2011 Hakim Benameurlaine

23

CLIENT :

2011 Hakim Benameurlaine

24

2011 Hakim Benameurlaine

25

2011 Hakim Benameurlaine

26

Faire un test :

2011 Hakim Benameurlaine

27

1.7 Stratgies daccs distant


Les stratgies daccs distant sont utilises pour accorder ou non laccs
aux clients daccs distant ou VPN en se basant sur un ensemble de
conditions, dautorisations et de profils.
La russite dune connexion daccs distant ou VPN ne repose pas
uniquement sur lacceptation pour un utilisateur deffectuer des appels
entrants.
On va pouvoir indiquer quun utilisateur peut tablir une connexion
uniquement sil utilise un protocole dauthentification comme dfini dans la
stratgie, quil se connecte selon un horaire donn, etc.
1.7.1 Autorisation
Le serveur daccs distant ou VPN vrifie que lutilisateur sauthentifiant
possde lautorisation dtablir une connexion.
Les autorisations sont dfinies la fois dans les proprits du compte
utilisateur pour lequel on souhaite lui autoriser ou interdire ltablissement
dune connexion, et dans la stratgie elle-mme.
Aller dans les proprits du compte utilisate ur, onglet Appel entrant.

2011 Hakim Benameurlaine

28

Trois possibilits sont offertes :


Autoriser laccs
Si un utilisateur possde cette autorisation alors le profil dfini dans la
stratgie est appliqu lutilisateur, et la connexion est tablie sauf si une
contre-indication apparat dans le profil.
Refuser laccs
Si un utilisateur possde cette autorisation, laccs lui est refus sauf dans
le cas o lattribut Ignore-User-Dialin-Properties possde la valeur Vrai.
Si Lautorisation daccs est refuse alors la connexion cho ue.
Contrler laccs via la stratgie daccs distant
Cette option indique que lautorisation de connexion de lutilisateur ne
dpend pas des proprits de son compte mais des autorisations dfinies
dans la stratgie elle-mme :

Loption Refuser lautorisation daccs distant indique que lutilisateur


ne pourra pas tablir de connexion.
Loption Accorder lautorisation daccs distant indique que lutilisateur
pourra tablir de connexion et le profil sera alors appliqu lutilisateur.
1.7.2 Dfinir les conditions
Pour quun utilisateur puisse tablir une connexion, il doit obligatoirement
remplir toutes les conditions dfinies dans la stratgie. Si une seule des
conditions nest pas remplie, alors la connexion choue.
Pour dfinir les conditions :
1) Aller dans la console Routage et accs distant.
2011 Hakim Benameurlaine

29

2) Dans le conteneur Stratgies daccs distant, diter une stratgie.

3) Cliquer sur le bouton Ajouter.


4) La liste des conditions que vous pouvez ajouter apparat.
Slectionner une condition et cliquer sur le bouton Ajouter pour lui
attribuer une valeur en fonction de la condition choisie.

2011 Hakim Benameurlaine

30

1.7.3 Profil
Si les proprits de la connexion rpondent aux conditions et que
lutilisateur possde lautorisation dtablir une connexion, il se voit
attribuer un profil de connexion qui correspond un ensemble de
proprits appliques la connexion.
Le profil peut aussi tre un lment permettant de refuser ltablissement
dune connexion, si certain paramtres du profil entrent en conflit avec la
manire dont la connexion a t tablie. Par exemple si le protocole
dauthentification utilis ne correspond pas avec les indications du profil.
Un profil est compos des lments suivants :

2011 Hakim Benameurlaine

31

Onglet Contraintes pour les appels entrant

Permet dindiquer que la connexion peut stablir uniquement selon un


horaire donn, dfinir des dlais de connexion, etc.

2011 Hakim Benameurlaine

32

Onglet IP

Permet de dfinir comment les adresses IP seront attribues aux clients


daccs distant ou VPN.
Il est aussi possible de dfinir des filtres dentre et de sortie pour la
connexion tablie selon le profil. Ceci permet de dfinir quels sont les flux
qui auront le droit dentrer dans le rseau priv.

2011 Hakim Benameurlaine

33

Onglet Liaison multiples

Permet de dfinir pour les clients daccs distant la prise en charge du


protocole BAP.

2011 Hakim Benameurlaine

34

Onglet Authentification

Permet de spcifier les mthodes dauthentification acceptables pour les


clients daccs distant ou VPN. Il faut aussi que le serveur daccs distant
prenne en charge ces mthodes dauthentification.

2011 Hakim Benameurlaine

35

Onglet Cryptage

Permet dindiquer les niveaux de cryptage autoriss pour la connexion.

2011 Hakim Benameurlaine

36