Activer le service de routage et d'accs distant

Pour activer le service de routage et d'accs distant

1. Si ce serveur est membre d'un domaine Active Directory et que vous n'tes pas un administrateur de domaine, demandez votre administrateur de domaine d'ajouter le compte d'ordinateur de ce serveur au groupe de scurit Serveurs RAS et IAS dans le domaine dont ce serveur est membre. L'administrateur de domaine peut ajouter le compte d'ordinateur au groupe de scurit Serveurs RAS et IAS l'aide de Utilisateurs et ordinateurs Active Directory ou l'aide de la commande netsh ras add registeredserver. Si ce serveur utilise l'authentification locale ou effectue l'authentification par rapport un serveur RADIUS, vous pouvez ignorer cette tape. Ouvrez Routage et accs distant. Par dfaut, l'ordinateur local est rpertori en tant que serveur. Pour ajouter un serveur, dans l'arborescence de la console cliquez avec le bouton droit sur tat du serveur, puis sur Ajouter un serveur. Dans la bote de dialogue Ajouter un serveur, cliquez sur l'option approprie, puis sur OK. Dans l'arborescence de la console cliquez avec le bouton droit sur le serveur que vous souhaitez activer, puis sur Configurer et activer le routage et l'accs distant.

2. 3.

4. 5.

Suivez les instructions qui s'affichent dans l'Assistant Installation du serveur de routage et d'accs distant. Remarque

Pour excuter cette procdure, vous devez tre membre du groupe Administrateurs. En tant que mthode conseille relative la scurit, pensez utiliser la commande Excuter en tant que plutt que d'ouvrir une session avec les informations d'identification d'administration. Si vous avez ouvert une session avec les informations d'identification d'administration, vous pouvez galement ouvrir Routage et accs distant en cliquant sur Dmarrer, en pointant sur Panneau de configuration, en double-cliquant sur Outils d'administration, puis sur Routage et accs distant. Pour plus d'informations, voir Groupes locaux par dfaut, Groupes par dfaut et Uilisation de Excuter en tant que.

Nouvelles faons d'effectuer des tches VPN

Nouvelles faons d'effectuer des tches courantes
Le tableau suivant rcapitule les tches courantes de configuration des rseaux privs virtuels (VPN). Dans cette version de Windows, l'interface utilisateur pour l'excution de ces tches est diffrente de celle de Windows NT 4.0 ou de Windows NT 4.0 avec le service de routage et d'accs distant (RRAS, Routing and Remote Access Service). Remarques

y y

Il n'existe, pour ce composant, aucune diffrence significative entre l'interface utilisateur de Windows 2000, Windows XP et des produits de la famille Windows Server 2003. Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1.000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1.000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1.000 connexions VPN simultanes. Si 1.000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1.000.

Mthodes conseilles pour VPN

Mthodes conseilles

Utiliser le serveur VPN pour allouer des baux d'adresses IP des clients d'accs distant. Si votre serveur VPN traite plus de 20 connexions d'accs distant simultanes, utilisez-le pour allouer des baux d'adresses IP des clients d'accs distant. Lors de la cration du pool d'adresses IP sur le serveur VPN, prenez soin de ne pas allouer d'adresses dj utilises par des serveurs DHCP sur votre rseau. Si vous n'avez pas install de serveur DHCP et que vous disposez d'un sous-rseau unique comprenant des ordinateurs configurs avec des adresses IP statiques, configurez le serveur VPN avec un pool d'adresses IP reprsentant un sous-ensemble d'adresses du sous-rseau auquel le serveur VPN est reli. Pour plus d'informations, consultez Crer un pool d'adresses IP statiques. Utiliser une authentification renforce.

y y

Utilisez des mots de passe renforcs de plus de 8 caractres, qui mlent des lettres majuscules et minuscules, des chiffres et des signes de ponctuation autoriss. N'utilisez pas de mots de passe correspondant des noms ou des mots. Les mots de passe renforcs offrent une meilleure rsistance aux tentatives de piratage l'aide de dictionnaires d'analyse, lorsqu'un utilisateur non autoris tente de deviner un mot de passe en envoyant une srie de noms et de mots couramment utiliss. Bien que le protocole EAP-TLS fonctionne avec des certificats utilisateur provenant du Registre, il est vivement recommand d'utiliser le protocole EAP-TLS exclusivement avec des cartes puce pour les connexions VPN d'accs distant. Les cartes puce sont distribues des utilisateurs de confiance et ncessitent un numro d'identification personnel (PIN). Elles offrent donc une scurit accrue par rapport aux certificats d'utilisateur bass sur le Registre. Si vous utilisez une authentification d'utilisateur axe sur les mots de passe, appliquez MSCHAP version 2. Vous pouvez obtenir, auprs de Microsoft, les dernires mises jour de MSCHAP pour les clients VPN tournant sous Windows NT 4.0, Windows 98 et Windows 95. Pour plus d'informations, consultez Protocole MS-CHAP version 2. Utiliser une mthode de cryptage renforc. Utilisez le plus fort niveau de cryptage que vous permet votre situation. Les niveaux de cryptage disponibles lors de la configuration des proprits de profil d'une stratgie d'accs distant sont : De base, Renforc et Maximal. Pour plus d'informations, consultez Configurer le cryptage et lments d'une stratgie d'accs distant.

Concept vpn
Vue densemble
A .Informations de scurit pour les VPN
Informations de scurit pour les VPN
Il est important de suivre les mthodes conseilles en matire de scurit lors de l'utilisation de serveurs VPN sur votre rseau. Pour plus d'informations, consultez Mthodes conseilles pour la scurit. Si vos serveurs VPN sont configurs en tant que clients RADIUS (Remote Authentication Dial-In User Service), consultez Informations de scurit pour le service IAS. Vous trouverez ci-aprs une liste de problmes connus relatifs la scurit des connexions VPN : Un grand nombre de mthodes d'authentification sont trop faibles pour assurer un niveau de scurit adquat dans la plupart des organisations. Un grand nombre d'organisations utilisent des mthodes d'authentification qui exposent leur rseau toute une srie d'attaques de la scurit. Utilise conjointement avec des cartes puce, EAP-TLS (Extensible Authentication Protocol-Transport Level Security) constitue la mthode d'authentification la plus sre. Toutefois, EAP-TLS et les cartes puce requirent une infrastructure cls publiques (PKI, Public Key Infrastructure) qui peut s'avrer complique dployer. Recommandations :

Si vous utilisez l'authentification par mot de passe, appliquez des stratgies de mot de passe renforc sur votre rseau afin de rendre les attaques de dictionnaire plus difficiles. Pour plus d'informations, consultezMots de passe forts. Vrifiez si les protocoles PAP (Password Authentication Protocol), SPAP (Shiva Password Authentication Protocol) et CHAP (Challenge Handshake Authentication Protocol) sont dsactivs. Ces protocoles sont dsactivs par dfaut sur le profil d'une stratgie d'accs distant. Dsactivez le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol). Ce protocole est activ par dfaut sur le profil d'une stratgie d'accs distant. Avant de dsactiver le protocole MS-CHAP, vrifiez si tous les clients de votre serveur d'accs sont capables d'utiliser le protocole MS-CHAP version 2 (MS-CHAP v2). Si votre serveur n'excute pas Microsoft Windows Server 2003, vous aurez besoin des Service Pack les plus rcents ainsi que des dernires mises jour de l'accs rseau distance pour prendre en charge le protocole MS-CHAP v2. Si vous ne dsactivez pas le protocole MS-CHAP, dsactivez l'authentification LAN Manager pour MS-CHAP. L'authentification LAN Manager pour MS-CHAP est active par dfaut sur les clients excutant d'anciennes versions de Windows.

Pour dsactiver l'authentification LAN Manager, dfinissez la valeur de Registre Allow LM Authenticationsur 0 dans la cl de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy Attention

Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant d'apporter des modifications au Registre, sauvegardez toutes les donnes importantes de l'ordinateur. Remarque

y y y

Vous pouvez modifier une entre dans le Registre l'aide de l'diteur du Registre. Pour plus d'informations, consultez diteur du Registre et Modifier une valeur. Vrifiez si le protocole MS-CHAP v2 est activ. Ce protocole est activ par dfaut sur le profil d'une stratgie d'accs distant. Pour les clients sans fil excutant Windows XP, activez le protocole PEAP (Protected Extensible Authentication Protocol) avec EAP-MS-CHAP v2. Le protocole PEAP avec EAP-MS-CHAP v2 offre l'authentification mutuelle : le serveur IAS est authentifi l'aide d'un certificat, tandis que l'authentification de l'utilisateur s'excute l'aide d'informations d'identification bases sur un mot de passe. Pour plus d'informations, consultez Nouvelles fonctionnalits pour le service IAS. Pour obtenir un exemple de stratgie d'accs distant qui utilise le protocole, consultez Accs sans fil avec authentification par mot de passe scuris. Activez EAP-TLS. EAP-TLS est dsactiv par dfaut sur le profil d'une stratgie d'accs distant. Lorsque vous utilisez le protocole d'authentification EAP-TLS, vous devez installer un certificat d'ordinateur sur le serveur IAS. Pour l'authentification de l'utilisateur et du client, vous pouvez installer un certificat sur l'ordinateur client ou utiliser des cartes puce. Avant de dployer des certificats, vous devez crer le certificat en respectant les contraintes applicables. Pour plus d'informations, consultez Authentification et certificats d'accs au rseau et Certificats d'ordinateurs pour l'authentification par certificat. Le verrouillage de compte d'accs distant peut empcher les utilisateurs autoriss d'accder au rseau. Si, tandis que le verrouillage de compte d'accs distant est activ, un utilisateur malveillant tente de se livrer une attaque de dictionnaire en utilisant le nom d'ouverture de session d'un utilisateur autoris, l'utilisateur malveillant et l'utilisateur autoris ne peuvent plus accder au compte jusqu' ce que son seuil de verrouillage soit atteint.

Recommandations :

y y

Soyez prudent lors de la dfinition de la stratgie de verrouillage du compte. Pour plus d'informations, consultez Mthodes conseilles pour les mots de passe.

Lorsque le seuil de verrouillage d'un compte utilisateur est rinitialis suite une authentification ou une rinitialisation automatique russie, la sous-cl du Registre du compte d'utilisateur est supprime. Pour dverrouiller manuellement un compte d'utilisateur (avant la rinitialisation automatique du seuil de verrouillage du compte), supprimez la sous-cl de Registre suivante, qui correspond au nom du compte de l'utilisateur : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Paramet ers\AccountLockout\NomDomaine:NomUtilisateur Attention Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant d'apporter des modifications au Registre, sauvegardez toutes les donnes importantes de l'ordinateur. Remarques

y y

Vous pouvez modifier une entre dans le Registre l'aide de l'diteur du Registre. Pour plus d'informations, consultez diteur du Registre et Modifier une valeur. Le verrouillage de compte d'accs distant n'est pas li au paramtre Compte verrouill de l'ongletCompte des proprits d'un compte d'utilisateur. Le verrouillage de compte d'accs distant ne fait pas la diffrence entre les utilisateurs malveillants, qui tentent d'accder votre intranet, et les vritables utilisateurs, qui tentent de se connecter distance mais qui ont oubli leur mot de passe en cours. Les utilisateurs ayant oubli leur mot de passe en cours essaient gnralement le mot de passe dont ils croient se souvenir et, selon le nombre de tentatives et le paramtre MaxDenials, s'exposent au verrouillage de leur compte. Le paramtre de niveau fonctionnel de domaine par dfaut (Windows 2000 mixte) peut crer des dfaillances de la scurit. Il est conseill, dans la mesure du possible, d'utiliser uniquement des serveurs fonctionnant sous Windows 2000 ou Windows Server 2003. L'utilisation conjointe de serveurs excutant Routage et accs distant et de serveurs fonctionnant sous Windows NT 4.0 avec le service d'accs distant (RAS) ou le service de routage et accs distant (RRAS) affecte la scurit du rseau. Pour plus

d'informations, consultezFonctionnalit des domaines et des forts et Serveur membre d'un domaine.

Recommandations supplmen taires : y

Autorisez le serveur VPN ou un serveur DHCP affecter des baux d'adresses IP aux clients VPN. Ne permettez pas aux clients VPN de spcifier leur propre adresse IP. La mthode utilise par le serveur VPN pour affecter des adresses aux clients d'accs distant (au moyen d'adresses que le serveur VPN obtient d'un serveur DHCP, ou l'aide d'adresses d'une plage dtermine que vous configurez) est dfinie lorsque vous excutez l'Assistant Installation du serveur de routage et d'accs distant. Pour plus d'informations, consultez Dploiement d'un VPN d'accs distant utilisant le protocole L2TP et DHCP. Utilisez toujours des connexions L2TP/IPSec (Layer Two Tunneling Protocol/Internet Protocol security) pour garantir un cryptage maximal. Utilisez des cartes puce pour obtenir l'authentification la plus scurise ou des certificats si les cartes puce s'avrent peu pratiques. Utilisez des certificats pour les ngociations IKE. N'utilisez pas de cls pr-partages car elles peuvent faire l'objet d'attaques de dictionnaire.

B .Introduction aux rseaux privs virtuels

Rseaux privs virtuels
Un rseau priv virtuel (VPN, Virtual Private Network) est l'extension d'un rseau priv qui englobe des liaisons travers des rseaux partags ou publics, tels qu'Internet. Un rseau VPN permet un change de donnes entre deux ordinateurs travers un rseau partag ou public, selon un mode qui mule une liaison prive point point. La gestion de rseau priv virtuel dsigne la cration et la configuration d'un rseau priv virtuel. Pour muler une liaison point point, les donnes sont encapsules, ou enrobes, l'aide d'un en-tte qui contient les informations de routage, ce qui permet aux donnes de traverser le rseau partag ou public jusqu' leur destination finale. Pour muler une liaison prive, les donnes sont cryptes des fins de confidentialit. Les paquets intercepts sur le rseau partag ou public restent indchiffrables sans cls de dcryptage. La liaison servant l'encapsulation et au cryptage des donnes prives est une connexion de type rseau priv virtuel (VPN). L'illustration suivante reprsente l'quivalent logique d'une connexion VPN.

Les utilisateurs travaillant domicile ou qui se dplacent normment peuvent recourir aux connexions VPN pour accder distance un serveur d'entreprise en empruntant l'infrastructure fournie par un rseau public, tel que l'Internet. Pour l'utilisateur, la connexion VPN est tout simplement une liaison point point entre l'ordinateur (le client VPN) et un serveur d'entreprise (le serveur VPN). La nature exacte du rseau partag ou public a peu d'importance dans la mesure o elle apparat logiquement comme si les donnes sont envoyes dans le cadre d'une liaison prive ddie. Les organisations peuvent galement utiliser des connexions VPN pour tablir des connexions routes avec des succursales loignes gographiquement ou avec d'autres organisations par le biais d'un rseau public, tel que l'Internet, tout en bnficiant de communications scurises. Une connexion VPN route travers Internet fonctionne logiquement comme une liaison de rseau tendu (WAN, Wide Area Network) ddie. Grce la fois l'accs distant et aux connexions routes, une organisation peut faire appel aux connexions VPN pour remplacer ses connexions d'accs longue distance ou ses lignes spcialises par une connexion d'accs locale ou des lignes spcialises la reliant un fournisseur de services Internet (ISP, Internet Service Provider). Remarque

Sur Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Ed ition ne peut accepter qu'une seule connexion VPN (virtual private network) la fois. Pour plus d'informations sur la disponibilit de cette fonctionnalit sur Windows Server 2003, Web Edition, voir Vue d'ensemble de Windows Server 2003, Web Edition. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.

Il existe deux types de technologies VPN utilisant le protocole PPP (Point-to-Point Protocol) dans la famille Microsoft Windows 2003 : 1. Le protocole PPTP (Point-to-Point Tunneling Protocol) Le protocole PPTP utilise des mthodes d'authentification PPP (Point-to-Point Protocol) au niveau utilisateur et MPPE (Microsoft Point-to-Point Encryption) pour le cryptage des donnes. Le protocole L2TP (Layer Two Tunneling Protocol) associ au standard IPSec (Internet Protocol security) Le protocole L2TP utilise des mthodes d'authentification PPP au niveau utilisateur et des certificats d'ordinateur en association avec IPSec pour le cryptage des donnes, ou encore IPSec en mode de tunnel, dans lequel IPSec se charge d'effectuer l'encapsulation (pour le trafic IP uniquement).

2.

C .Nouvelles fonctionnalits pour les rseaux privs virtuels

Nouvelles fonctionnalits pour les rseaux privs virtuels
La famille Microsoft Windows Server 2003 confre les nouvelles fonctionnalits suivantes aux rseaux privs virtuels (VPN) :

Transparence de la traduction des adresses rseau (NAT, Network Address Translation) Les serveurs VPN excutant Windows Server 2003 prennent en charge le trafic L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol security) qui provient des clients VPN derrire les NAT. Pour que cette fonctionnalit fonctionne correctement, l'ordinateur client doit prendre en charge les projets de normes Internet suivants manant du Groupe de travail du protocole IPSec :

y y

Negotiation of NAT-Traversal in the IKE (draft-ietf-ipsec-nat-t-ike-02.txt). UDP Encapsulation of IPsec Packets (draft-ietf-ipsec-udp-encaps-02.txt).

Important

Un dploiement NAT-T IPSec de Windows qui inclut des serveurs VPN situs sous les traducteurs d'adresses rseau n'est pas recommand. Dans ce cas en effet, la faon dont les traducteurs d'adresses rseau traduisent le trafic rseau risque de provoquer un comportement inattendu. Dploiement d'un VPN avec quilibrage de charge rseau Les serveurs VPN excutant Windows Server 2003 prennent en charge le dploiement VPN conjointement avec l'quilibrage de charge rseau pour crer des solutions VPN haute disponibilit. La prise en charge est incluse pour les solutions VPN PPTP (Point-to-Point Tunneling Protocol) et 2TP/IPSec avec l'quilibrage de charge rseau. Proxy de rsolution de noms NetBIOS sur TCP/IP (NetBT) Lorsqu'un client VPN d'accs distant se connecte un serveur VPN, la rsolution de noms repose sur des serveurs DNS ou WINS du rseau cible. Les serveurs DNS et WINS sont courants dans les organisations qui utilisent DNS pour la rsolution de noms d'htes ou WINS pour la rsolution de noms NetBIOS. Ils sont cependant rares dans un environnement de petite entreprise ou domestique. Dans ce cas, les noms des ordinateurs sur lesquels des communications tentent de s'tablir doivent tre rsolus autrement pour que la communication puisse s'tablir. Les noms NetBIOS peuvent tre rsolus sans qu'il soit fait appel un serveur WINS ou DNS par un serveur VPN excutant Windows Server 2003, car le proxy NetBT est intgr aux systmes d'exploitation Windows Server 2003. Avec le proxy NetBT, les clients VPN connects et les n uds prsents sur les segments de rseau auxquels le serveur VPN est connect peuvent rsoudre leurs noms NetBIOS respectifs de la manire suivante : 1. Lorsqu'un client VPN doit convertir un nom en une adresse IP alors qu'aucun serveur WINS ou DNS n'est configur, il envoie un paquet de requtes de noms NetBIOS au serveur VPN. Si un n ud d'un segment de rseau connect au serveur VPN doit convertir un nom en une adresse IP alors qu'aucun serveur WINS ou DNS n'est configur, il envoie un paquet de requtes de noms NetBIOS sous la forme d'une diffusion sur le segment de rseau. Le serveur VPN reoit le paquet de requtes de noms NetBIOS, vrifie son cache local de noms NetBIOS rsolus et, s'il trouve le nom, transmet la requte de noms NetBIOS sous la forme d'une diffusion NetBIOS sur toutes les interfaces connectes, l'exception de l'interface logique connecte chacun des clients VPN. Le n ud qui a enregistr le nom NetBIOS envoie au serveur VPN une rponse positive la requte de noms NetBIOS. Le serveur VPN reoit la rponse positive la requte de noms NetBIOS et la transmet au n ud d'envoi sur l'interface d'o provient le paquet de requtes de noms NetBIOS.

2.

3. 4.

Par consquent, les n uds prsents sur les segments de rseau connects au serveur VPN (ainsi que l'ensemble des clients VPN connects) peuvent convertir automatiquement leurs noms respectifs en l'absence de serveur WINS ou DNS. Configuration des cls prpartages pour les connexions L2TP La famille Windows Server 2003 prend en charge la fois les certificats d'ordinateur et une cl prpartage comme mthodes d'authentification afin d'tablir une association de scurit IPSec pour les connexions L2TP. Une cl prpartage est une chane de texte configure la fois sur le client et le serveur VPN. C'est une mthode d'authentification relativement faible adopter uniquement durant le dploiement de votre infrastructure de cls publiques (PKI) pour l'obtention de certificats d'ordinateurs ou lorsqu'elle est exige par les clients VPN. Vous pouvez activer l'utilisation d'une cl prpartage pour les connexions L2TP et spcifier la cl prpartage dans l'onglet Scurit de la bote de dialogue des proprits d'un serveur excutant Routage et accs distant. Pour plus d'informations, voir Afficher les proprits du serveur d'accs distant. L'authentification par cl prpartage est galement prise en charge par les clients VPN d'accs distant excutant Windows XP. Vous pouvez activer l'authentification par cl prpartage et configurer une cl prpartage en cliquant sur le bouton Paramtres IPSec de l'onglet Scurit de la bote de dialogue des proprits de la connexion VPN (accessible via les Connexions rseau). Pour plus d'informations, voirConfigurer une cl prpartage sur un client d'accs distant. L'authentification par cl prpartage est galement prise en charge pour les connexions VPN routeur routeur entre des ordinateurs excutant un systme d'exploitation Windows Server 2003. Vous pouvez activer l'authentification par cl prpartage et configurer une cl prpartage pour les interfaces d'accs la demande en cliquant sur le bouton Paramtres IPSec de l'onglet Scurit de la bote de dialogue des proprits d'une interface d'accs la demande accessible dans Routage et accs distant. Pour plus d'informations, voir Configurer une cl prpartage pour une interface de routage d'accs la demande etConfigurer une cl prpartage sur un serveur d'accs distant. Les nouvelles fonctionnalits suivantes relatives aux rseaux privs virtuels sont apparues dans Windows 2000 :

L2TP Outre PPTP, la famille Windows Server 2003 inclut la norme industrielle L2TP, qui est utilise conjointement avec IPSec pour crer des connexions rseau priv virtuel scurises. L'utilisation conjointe de L2TP et d'IPSec est connue sous la dsignation L2TP/IPSec. Stratgies d'accs distant Les stratgies d'accs distant forment un ensemble de conditions et de paramtres de connexion qui offre aux administrateurs de rseau une plus grande souplesse lors de la dfinition des autorisations d'accs distant et des contraintes de connexion. Avec les stratgies d'accs distant, vous pouvez imposer l'utilisation d'une puissante mthode d'authentification et de cryptage pour les utilisateurs VPN et un ensemble diffrent de contraintes au niveau de l'authentification et du cryptage pour les utilisateurs d'accs distant. Pour plus d'informations, voir Stratgies d'accs distant. Protocole MS-CHAP version 2 Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) version 2 renforce considrablement la scurit au niveau du transfert des informations d'identification et de la gnration des cls de cryptage pendant la ngociation d'une connexion d'accs distant. Le protocole MS-CHAP version 2 a t spcialement conu pour authentifier les connexions rseau priv virtuel. Pour plus d'informations, voir Protocole MS-CHAP version 2. Protocole EAP Le protocole EAP (Extensible Authentication Protocol) permet l'application de nouvelles mthodes d'authentification, une fonction d'une grande importance pour le dploiement de la scurit reposant sur les cartes puce. Le protocole EAP est une architecture qui permet aux autres modules d'authentification de s'intgrer dans le protocole PPP dans Windows 2000, Windows XP et les produits de la famille Windows Server 2003. EAP-MD5 CHAP et EAP-TLS (utiliss pour l'authentification base sur carte puce et sur certificat) sont pris en charge. Vous pouvez configurer votre serveur VPN de manire ce qu'il prenne en charge l'authentification ou de faon ce qu'il transmette des requtes d'authentification aux serveurs RADIUS. Pour plus d'informations, voir Protocole EAP et Service d'authentification Internet.

Verrouillage du compte d'accs distant Le verrouillage de compte d'accs distant est une fonctionnalit de scurit qui interdit l'accs aprs l'chec d'un nombre prdfini de tentatives de connexion. Cette fonctionnalit est destine empcher les tentatives de piratage l'aide de dictionnaires d'analyse. Il y a tentative de piratage l'aide d'un dictionnaire d'analyse lorsqu'un utilisateur non autoris essaie de se connecter en utilisant un nom d'utilisateur connu et une liste de mots courants comme mot de passe. Le verrouillage de compte d'accs distant est dsactiv par dfaut. Pour plus d'informations, voir Verrouillage des comptes d'accs distant.

D .Connexions VPN
Connexions VPN
La cration d'une connexion VPN s'apparente l'tablissement d'une connexion point point par le biais de connexions d'accs distant et de routage d'accs la demande. Il existe deux types de connexion VPN :

y y

Connexion VPN d'accs distant Connexion VPN de routeur routeur

Remarque

Sur Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN (virtual private network) la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.

1. Connexion VPN d'accs distant

Connexion VPN d'accs distant
Un client d'accs distant (ordinateur d'utilisateur unique) effectue une connexion VPN d'accs distant avec un rseau priv. Le serveur VPN fournit l'accs l'intgralit du rseau auquel le serveur VPN est reli. Les paquets envoys par le client distant via la connexion VPN proviennent de l'ordinateur du client d'accs distant. Le client d'accs distant (le client VPN) s'authentifie auprs du serveur d'accs distant (le serveur VPN) et, pour une authentification rciproque, le serveur s'authentifie auprs du client. Remarque Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.

Les ordinateurs fonctionnant sous Microsoft Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows Millennium Edition, Windows XP ou un systme d'exploitation de la famille Windows Server 2003 peuvent crer des connexions VPN d'accs distant un serveur VPN qui excute Windows Server 2003. Tout client non-Microsoft prenant en charge le protocole PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol) avec IPSec (Internet Protocol security) peut devenir un client VPN.

Pour plus d'informations sur les protocoles PPTP et L2TP, voir Prsentation des protocoles de tunnel VPN. Pour plus d'informations sur le dploiement de connexions VPN d'accs distant, voir Dploiement des VPN pour l'accs distant. Pour obtenir un exemple d'implmentation de connexions VPN d'accs distant, voir Exemples d'implmentation d'un rseau priv virtuel.

2 .Connexion VPN de routeur routeur

Connexion VPN de routeur routeur
Un routeur tablit une connexion VPN de routeur routeur qui relie deux segments d'un rseau priv. Le serveur VPN fournit une connexion route avec le rseau auquel le serveur VPN est reli. Dans une connexion VPN routeur routeur, les paquets envoys par l'un des deux routeurs via la connexion VPN ne proviennent gnralement pas des routeurs. Le routeur appelant (le client VPN) s'authentifie auprs du routeur rpondant (le serveur VPN) et, pour l'authentification mutuelle, le routeur rpondant s'authentifie auprs du routeur appelant. Les ordinateurs excutant Microsoft Windows NT 4.0 avec le service Routage et accs distant (RRAS), Windows 2000 Server ou un systme d'exploitation Windows Server 2003 peuvent crer des connexions VPN de routeur routeur. Les clients VPN peuvent galement tre tout routeur non-Microsoft compatible prenant en charge le protocole PPTP (Point-to-Point Tunneling Protocol) ou un routeur prenant en charge le protocole L2TP (Layer Two Tunneling Protocol) avec le protocole IPSec (Internet Protocol security). Pour plus d'informations sur les protocoles PPTP et L2TP, consultez Prsentation des protocoles de tunnel VPN. Pour plus d'informations sur le dploiement de connexions VPN de routeur routeur, consultez Dploiement de connexions VPN routeur routeur. Pour obtenir un exemple d'implmentation de connexions VPN de routeur routeur, consultez Exemples d'implmentation d'un rseau priv virtuel. Pour des informations sur la cration de connexions de routeur routeur en mode tunnel IPSec ESP (Encapsulating Security Payload), consultez Mode Tunnel.

E .Types de rseaux privs virtuels

y y Types de rseaux privs virtuels
Vous pouvez recourir des connexions VPN chaque fois que vous avez besoin d'une connexion point point scurise pour connecter des utilisateurs ou des rseaux. Les connexions VPN types empruntent soit Internet soit un intranet. Cette section traite des sujets suivants :

1.Rseaux privs virtuels via Internet

Rseaux privs virtuels via Internet
Les connexions VPN transitant par Internet vous permettent d'viter les frais des communications tlphoniques longue distance et des numros verts tout en profitant pleinement de la disponibilit mondiale de Internet.

Accs distant par Internet

Au lieu d'effectuer un appel longue distance ou de composer un numro vert pour accder un serveur d'entreprise ou un serveur d'accs au rseau (NAS, Network Access Server) sous-trait, un client d'accs distant peut appeler un fournisseur de services Internet local. En exploitant la connexion physique tablie avec le fournisseur de services Internet local, le client d'accs distant amorce une connexion VPN avec le serveur VPN de l'organisation via Internet. Une fois la connexion VPN cre, le client d'accs distant peut accder aux ressources de l'intranet priv. L'illustration suivante reprsente l'accs distant via Internet.

Pour plus d'informations sur le dploiement de connexions VPN d'accs distant sur Internet, consultez Dploiement des VPN pour l'accs distant. Pour obtenir un exemple d'implmentation d'une connexion VPN d'accs distant sur Internet, consultez Exemples d'implmentation d'un rseau priv virtuel.

Connexion de rseaux via Internet

Lorsque des rseaux sont connects par le biais de Internet, un routeur achemine les paquets vers un autre routeur en utilisant une connexion VPN. Il s'agit de la connexion VPN routeur routeur. Pour les routeurs, la connexion VPN fonctionne comme une liaison de la couche de liaison de donnes. L'illustration suivante reprsente une connexion de rseaux via Internet.

Utilisation de liaisons WAN ddies

Au lieu d'utiliser entre les succursales une liaison WAN ddie, longue distance et coteuse, les routeurs des succursales sont connects Internet par l'intermdiaire de liaisons WAN ddies locales tablies avec un fournisseur de services Internet local. Une connexion VPN routeur routeur est ensuite amorce par l'un des deux routeurs via Internet. Une fois connects, les routeurs peuvent acheminer le trafic du protocole de routage ou le trafic dirig de l'un l'autre par le biais de la connexion VPN.

Utilisation de liaisons WAN d'accs distance

Au lieu d'effectuer un appel longue distance ou de composer un numro vert pour accder un serveur d'entreprise ou un serveur NAS sous-trait, un routeur de succursale peut appeler un fournisseur de services Internet local. En empruntant la liaison tablie avec le fournisseur de services Internet local, le routeur de succursale amorce via Internet une connexion VPN routeur routeur avec le routeur d'entreprise. Le routeur d'entreprise se comporte comme un serveur VPN et doit tre connect un fournisseur de services Internet local au moyen d'une liaison WAN ddie. L'entreprise et la succursale peuvent toutes deux se connecter Internet par le biais d'une liaison WAN d'accs distance. Cependant, ceci n'est possible que si le fournisseur de services Internet prend en charge le routage d'accs la demande de ses clients : le fournisseur de services Internet appelle le routeur du client lorsqu'un datagramme IP doit tre livr au client. Le routage d'accs la demande en direction des clients n'est pas pris en charge par la totalit des fournisseurs de services Internet. Pour plus d'informations sur le dploiement de connexions VPN routeur routeur sur Internet, consultezDploiement de connexions VPN routeur routeur. Pour obtenir un exemple d'implmentation

de connexions VPN routeur routeur sur Internet, consultez Exemples d'implmentation d'un rseau priv virtuel. Remarque

Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition, ne peut accepter qu'une seule connexion VPN (Virtual Private Network) la fois. Windows Server 2003, Standard Edition, peut accepter jusqu' 1000 connexions VPN simultanes. Si 1000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1000.

2.Rseaux privs virtuels via un intranet

Rseaux privs virtuels via un intranet
Les connexions VPN empruntant un intranet tirent parti de l'avantage qu'offre la connectivit IP dans un intranet d'organisation.

Accs distance via un intranet

Dans certains intranets d'organisation, les donnes d'un dpartement, tel que celui des ressources humaines, revtent une telle importance que le rseau de ce dpartement est physiquement dconnect du reste de l'intranet de l'entreprise. Si cette approche permet de protger les donnes du dpartement, elle pose aussi des problmes au niveau de l'accessibilit de l'information pour tous ceux qui ne sont pas matriellement relis au rseau spar. Grce une connexion VPN, le rseau du dpartement est physiquement connect l'intranet de l'organisation tout en en tant spar par un serveur VPN. Le serveur VPN ne fournit pas une connexion route directe entre l'intranet de l'entreprise et le rseau du dpartement. Les utilisateurs d'un intranet d'organisation bnficiant des droits appropris peuvent tablir une connexion VPN d'accs distant avec le serveur VPN et accder aux ressources protges du rseau sensible du dparteme nt. En outre, toutes les communications achemines par la connexion VPN sont cryptes pour garantir la confidentialit des donnes. Pour les utilisateurs qui n'ont pas les droits requis pour tablir une connexion VPN, le rseau du dpartement est masqu. L'illustration suivante reprsente l'accs distance via un intranet.

Pour plus d'informations sur le dploiement de connexions VPN d'accs distant sur un intranet, voir Dploiement des VPN pour l'accs distant.

Connexion de rseaux via un intranet

Vous pouvez galement connecter deux rseaux par le biais d'un intranet en utilisant une connexion VPN de type routeur routeur. Les organisations dont les dpartements sont situs sur des sites loigns gographiquement et possdant des donnes d'une importance critique peuvent recourir une connexion VPN routeur routeur pour leurs communications internes. Par exemple, le dpartement des finances peut avoir besoin de communiquer avec le dpartement des ressources humaines pour changer des informations relatives aux salaires. Le dpartement des finances et celui des ressources humaines sont connects l'intranet commun par l'intermdiaire d'ordinateurs

qui agissent comme des routeurs VPN. Une fois la connexion VPN tablie, les utilisateurs dont les ordinateurs sont relis l'un ou l'autre rseau peuvent changer des donnes critiques travers l'intranet de l'entreprise. L'illustration suivante reprsente la connexion de rseaux via un intranet.

Pour plus d'informations sur le dploiement de connexions VPN routeur routeur sur un intranet, voir Dploiement de connexions VPN routeur routeur. Remarque

Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1000 connexions VPN simultanes. Si 1000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1000.

Prsentation des rseaux privs virtuels

A .Composants des rseaux privs virtuels

Composants des rseaux privs virtuels
Une connexion VPN met en jeu les lments suivants :

y y

Serveur VPN Ordinateur acceptant les connexions VPN manant de clients VPN. Client VPN Ordinateur amorant une connexion VPN avec un serveur VPN. Un client VPN peut tre un routeur ou un ordinateur individuel. Tunnel Segment de la connexion dans lequel les donnes sont encapsules. Connexion VPN Segment de la connexion dans lequel les donnes sont cryptes. Pour des connexions VPN scurises types, les donnes sont cryptes et encapsules dans le mme segment de la connexion. Remarque

y y

Il est possible de crer un tunnel et d'envoyer des donnes par ce biais sans cryptage. Il ne s'agit alors pas d'une connexion VPN car les donnes prives transitent par un rseau partag ou public sous une forme non crypte et donc aisment dchiffrable. Protocoles de tunneling Protocoles utiliss pour grer les tunnels et encapsuler des donnes prives. Les donnes encapsules (places dans un tunnel) doivent galement tre cryptes pour constituer une connexion VPN. Les systmes d'exploitation de la famille Windows Server 2003 offrent les protocoles de tunneling PPTP et L2TP. Pour plus d'informations, voir Protocole PPTP et Protocole L2TP (Layer Two Tunneling Protocol). Donnes transmises via une connexion tunnel Donnes achemines gnralement via une liaison point point prive. Rseau d'interconnexion de transit Rseau partag ou public par lequel transitent les donnes encapsules. Pour les systmes d'exploitation de la famille Windows Server 2003, le rseau d'interconnexion de transit est toujours un rseau d'interconnexion IP. Le rseau d'interconnexion de transit peut tre Internet ou un intranet priv de type IP.

y y

L'illustration suivante reprsente les composants d'un rseau priv virtuel.

Remarques

En principe, le tunnel et la connexion VPN occupent le mme segment de la connexion. Cependant, dans un tunneling obligatoire, le tunnel (l'encapsulation) et la connexion VPN (le cryptage) ne sont pas dfinis dans le mme segment de la connexion. Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1.000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1.000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1.000 connexions VPN simultanes. Si 1.000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1.000.

B .Proprits des connexions VPN

Proprits des connexions VPN
Les connexions VPN utilisant les protocoles PPTP et L2TP/IPSec possdent les proprits suivantes :

y y y

Encapsulation Authentification Cryptage des donnes

Encapsulation
Avec la technologie VPN, les donnes prives sont encapsules l'aide d'un en-tte contenant les informations de routage, ce qui leur permet de traverser le rseau d'interconnexion de transit. Pour des exemples d'encapsulation, voir Prsentation des protocoles de tunnel VPN.

Authentification
L'authentification des connexions VPN prend trois formes diffrentes : 1. Authentification de niveau utilisateur appliquant l'authentification PPP Pour tablir la connexion VPN, le serveur VPN authentifie le client VPN qui tente d'amorcer la connexion en appliquant une mthode d'authentification de niveau utilisateur PPP (Point -to-Point Protocol) et vrifie que le client VPN dispose des autorisations adquates. Si l'authentification mutuelle est utilise, le client VPN authentifie galement le serveur VPN, ce qui empche toute usurpation d'identit des serveurs VPN par des ordinateurs. Authentification de niveau ordinateur l'aide du protocole IKE Pour tablir une association de scurit IPSec, le client VPN et le serveur VPN recourent au protocole IKE (Internet Key Exchange) afin d'changer leurs certificats d'ordinateur ou une cl pr-partage. Dans les deux cas, le client et le serveur VPN s'authentifient rciproquement au niveau ordinateur. L'authentification des certificats d'ordinateur est vivement recommande, car il s'agit d'une mthode d'authentification bien plus efficace. Pour plus d'informations, voir Internet Key Exchange (IKE). L'authentification au niveau ordinateur n'est effectue que pour les connexions L2TP/IPSec. Authentification de l'origine et intgrit des donnes Pour vrifier que les donnes transportes par la connexion VPN proviennent bien de l'autre extrmit de la connexion et n'ont pas t modifies en cours d'acheminement, les donnes contiennent une somme de contrle cryptographique base sur une cl de cryptage connue des seuls expditeur et destinataire. L'authentification de l'origine et l'intgrit des donnes s'appliquent seulement aux connexions L2TP/IPSec.

2.

3.

Cryptage des donnes

Pour assurer la confidentialit des donnes pendant la traverse du rseau d'interconnexion de transit partag ou public, les donnes sont cryptes par l'expditeur et dcryptes par le destinataire. Les procdures de cryptage et de dcryptage dpendent la fois de l'expditeur et du destinataire qui utilisent une cl de cryptage commune. Les paquets d'une connexion VPN intercepts au niveau du rseau d'interco nnexion de transit restent inintelligibles pour quiconque ne possde pas la cl de cryptage commune. La longueur de la cl de cryptage est un paramtre de scurit important. Vous pouvez utiliser des techniques de calcul pour dterminer la cl de cryptage. Ces techniques exigent, cependant, davantage de puissance de calcul et un temps de traitement plus long au fur et mesure que les cls de cryptage s'allongent. Par consquent, il est important d'utiliser la taille de cl la plus grande possible afin de garantir la confidentialit des donnes. Remarque

Sur Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter

qu'une seule connexion VPN (virtual private network) la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.

C.Connexion VPN de routeur routeur d'accs distant

Connexion VPN de routeur routeur d'accs distant
Une connexion VPN routeur routeur est gnralement utilise pour connecter deux bureaux loigns, lorsque les deux routeurs sont connects Internet via des liaisons permanentes de rseaux tendus (WAN), de type T1 ou Frame Relay. Dans cette configuration, la connexion VPN est toujours disponible. Cependant, lorsqu'une liaison permanente de rseau tendu (WAN) s'avre impossible ou peu pratique, vous pouvez configurer une connexion VPN routeur routeur d'accs distant. L'illustration suivante montre une connexion VPN routeur routeur d'accs distant.

Une connexion VPN routeur routeur d'accs distant se compose de deux interfaces de numrotation la demande et de deux itinraires statiques, qui sont configurs sur le client VPN (le routeur appelant) : 1. 2. 3. 4. Une interface d'accs la demande pour appeler un fournisseur de services Internet local. Une interface d'accs la demande pour la connexion VPN routeur routeur. Un itinraire hte statique pour se connecter dynamiquement Internet. Un itinraire statique pour joindre l'adresse de la socit mre.

Une connexion VPN routeur routeur d'accs distant s'tablit automatiquement lorsque vous routez du trafic vers une adresse spcifique. Par exemple, dans une configuration compose de filiales, lorsqu'un paquet est reu pour tre rout vers la socit mre, le routeur de la filiale utilise une liaison d'accs distant pour se connecter un fournisseur de services Internet local, puis cre une connexion VPN routeur routeur, avec le routeur de la socit mre sur Internet. Remarque

Cet exemple part de l'hypothse que le routeur de la socit mre (le routeur rpondant) est connect Internet l'aide d'une liaison permanente de rseau tendu (WAN). Il est possible que les deux routeurs soient connects Internet l'aide d'une liaison tendue (WAN) d'accs distant. Cependant, cela n'est possible que si le fournisseur de services Internet gre le routage d'accs la demande en direction des clients ; le fournisseur de services Internet appelle le routeur du client lorsqu'un datagramme IP doit tre remis au client. Le routage d'accs la demande en direction des clients n'est pas pris en charge par la totalit des fournisseurs de services Internet.

Pour configurer une connexion VPN routeur routeur d'accs distant sur le routeur de la filiale, effectuez les actions suivantes :

1.

Crez une interface d'accs la demande associe la connexion Internet configure pour l'quipement appropri (un modem ou un priphrique RNIS), le numro de tlphone du fournisseur de services Internet local et le nom d'utilisateur ainsi que le mot de passe permettant d'accder Internet. Crez une interface d'accs la demande pour la connexion VPN au routeur de la socit mre, qui soit configure pour un port VPN (PPTP ou L2TP), l'adresse IP de l'interface sur Internet pour le routeur de la socit mre, et le nom d'utilisateur ainsi qu'un mot de passe vrifiables par le serveur VPN. Le nom d'utilisateur doit correspondre au nom d'une interface d'accs la demande sur le routeur de la socit mre. Crez un itinraire hte statique vers le routeur de la socit mre qui utilise l'interface d'accs la demande du fournisseur de services Internet. Crez un itinraire statique (ou plusieurs) pour les ID de rseau IP de l'intranet de socit, qui utilise l'interface d'accs la demande VPN.

2.

3. 4.

Pour configurer le routeur de la socit mre, effectuez les actions suivantes : 1. Crez une interface d'accs la demande pour la connexion VPN la filiale, qui soit configure pour un priphrique VPN (port PPTP ou L2TP). L'interface d'accs la demande doit possder le mme nom que le nom d'utilisateur contenu dans l'information d'identification pour authentification, qui est utilise par le routeur de la filiale afin de crer la connexion VPN. Crez un itinraire statique (ou plusieurs) pour les ID de rseau IP de la filiale, qui utilise l'interface d'accs la demande VPN.

2.

La connexion VPN routeur routeur est automatiquement dmarre par le routeur de la filiale de la faon suivante : 1. 2. 3. 4. 5. Les paquets envoys l'adresse rseau d'un concentrateur de la socit, depuis un ordinateur de la filiale, sont transmis au routeur de la filiale. Le routeur de la filiale consulte sa table de routage et trouve un itinraire vers l'ID rseau intranet de la socit, qui utilise l'interface d'accs la demande VPN. Le routeur de la filiale contrle l'tat de l'interface d'accs la demande VPN, et trouve celle-ci dconnecte. Le routeur de la filiale rcupre la configuration de l'interface d'accs la demande VPN. En fonction de la configuration de l'interface d'accs la demande VPN, le routeur de la filiale tente d'initialiser une connexion VPN routeur routeur, l'adresse IP du routeur de la socit mre sur Internet. Pour tablir une connexion VPN, un paquet TCP (via PPTP) ou UDP (via L2TP/IPSec) doit tre envoy au routeur de la socit mre qui fait office de serveur VPN. Le paquet d'tablissement de la connexion VPN est cr. Pour transfrer le paquet d'tablissement de la connexion VPN vers le routeur de la socit mre, le routeur de la filiale consulte sa table de routage et dcouvre que l'itinraire hte utilise l'interface d'accs la demande du fournisseur de services Internet. Le routeur de la filiale contrle l'tat de l'interface d'accs la demande du fournisseur de services Internet, et trouve celle-ci dconnecte. Le routeur de la filiale rcupre la configuration de l'interface d'accs la demande du fournisseur de services Internet.

6.

7.

8. 9.

10. En fonction de la configuration de l'interface d'accs la demande du fournisseur de services Internet, le routeur de la filiale utilise son modem pour appeler et tablir une connexion avec son fournisseur de services Internet local. 11. Une fois la connexion tablie avec le fournisseur de services Internet, le paquet d'tablissement de la connexion VPN est envoy au routeur de la socit mre. 12. Une connexion VPN routeur routeur est ngocie entre le routeur de la filiale et le routeur de la socit mre. Durant la ngociation, le routeur de la filiale envoie des informations d'identification qui sont vrifies par le routeur de la socit mre. 13. Le routeur de la socit mre contrle ses interfaces d'accs la demande et en trouve une qui correspond au nom d'utilisateur envoy durant la phase d'authentification, aussi, il fait prendre l'interface l'tat connect. 14. Le routeur de la filiale transmet le paquet rout par la connexion VPN, puis le routeur de la socit mre transmet ce paquet vers l'adresse intranet approprie.

15. Lorsque l'adresse intranet rpond au paquet envoy par un utilisateur de la filiale, le paquet est transmis au routeur de la socit mre. 16. Le routeur de la socit mre consulte sa table de routage et trouve un itinraire vers le rseau de la filiale, qui utilise l'interface d'accs la demande VPN. 17. Le routeur de la socit mre contrle l'tat de l'interface d'accs la demande VPN, et trouve celle-ci connecte. 18. Le paquet de rponse est transmis sur Internet via la connexion VPN. 19. Le paquet de rponse est reu par le routeur de la filiale et transmis l'utilisateur d'origine.

D .Configuration du pare-feu et des serveurs VPN

Il existe deux mthodes d'utilisation d'un pare-feu avec un serveur VPN :

y y

Serveur VPN devant le pare-feu. Le serveur VPN est connect Internet et le pare-feu se situe entre le serveur VPN et l'intranet. Serveur VPN derrire le pare-feu. Le pare-feu est connect Internet et le serveur VPN se situe entre le pare-feu et l'intranet.

Serveur VPN devant le pare -feu

Si le serveur VPN se trouve devant le pare-feu et est connect Internet, vous devez ajouter des filtres de paquets l'interface Internet afin d'autoriser uniquement le trafic VPN destination et partir de l'adresse IP de l'interface Internet du serveur VPN. Pour le trafic entrant, lorsque les donnes en tunnel sont dcryptes par le serveur VPN, elles sont transfres au pare-feu. l'aide de ses filtres, le pare-feu autorise le transfert du trafic aux ressources de l'intranet. Comme le trafic qui traverse le serveur VPN est exclusivement gnr par les clients VPN authentifis, dans ce scnario, le filtrage du pare-feu peut tre utilis pour empcher les utilisateurs VPN d'accder des ressources intranet particulires. Comme le seul trafic Internet autoris sur l'intranet doit passer par le serveur VPN, cette mthode empche aussi le partage des ressources intranet FTP (File Transfer Protocol) ou Web avec des utilisateurs Internet qui n'appartenant pas au VPN. L'illustration suivante montre le serveur VPN devant le pare-feu.

Pour l'interface Internet du serveur VPN, configurez les filtres d'entre et de sortie suivants l'aide du service Routage et accs distant :

Filtres de paquets pour le protocole PPTP (Point -to-Point Tunneling Protocol)

Configurez les filtres d'entre suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :

Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination TCP 1723. Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et ID de protocole IP 47. Ce filtre autorise les donnes en tunnel PPTP entre le client PPTP et le serveur PPTP.

Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port TCP source [tabli] 1723. Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Le trafic [tabli] TCP est accept uniquement si le serveur VPN a lanc la connexion TCP.

Configurez les filtres de sortie suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :

Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port TCP source 1723. Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et ID de protocole IP 47. Ce filtre autorise les donnes en tunnel PPTP entre le serveur VPN et le client VPN.

Adresse IP source de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination TCP 1723. Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Le trafic [tabli] TCP est envoy uniquement si le serveur VPN a lanc la connexion TCP. Pour plus d'informations, voir Ajouter des filtres PPTP.

Filtres de paquets pour le protocole L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security).
Configurez les filtres d'entre suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :

Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination UDP 500. Ce filtre autorise le trafic IKE (Internet Key Exchange) vers le serveur VPN. Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination UDP 1701. Ce filtre autorise le trafic L2TP entre le client VPN et le serveur VPN. Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination UDP 4500. Ce filtre autorise le trafic NAT-T (network address translator traversal) IPSec.

Configurez les filtres de sortie suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :

Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port UDP source 500. Ce filtre autorise le trafic IKE en provenance du serveur VPN. Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port UDP source 1701. Ce filtre autorise le trafic L2TP entre le serveur VPN et le client VPN.

Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port UDP source 4500. Ce filtre autorise le trafic NAT-T IPSec. Pour plus d'informations, voir Ajouter des filtres L2TP via IPSec.

Aucun filtre n'est requis pour le trafic ESP (Encapsulating Security Payload) avec le protocole IP 50. L'entte ESP est supprim par les composants IPSec avant que le paquet L2TP ne soit pass au Routage et accs distant. Important

Il n'est pas recommand d'effectuer un dploiement NAT-T IPSec pour Windows dans lequel des serveurs VPN sont situs derrire les traducteurs d'adresses rseau. Lorsqu'un serveur figure derrire un traducteur d'adresses rseau et qu'il utilise NAT-T IPSec, la faon dont les

traducteurs d'adresses rseau traduisent le trafic rseau peut gnrer un comportement inattendu.

Serveur VPN derrire le pare-feu

Dans une configuration plus courante, le pare-feu est connect Internet et le serveur VPN est une ressource intranet associe au rseau priphrique. Le serveur VPN possde une interface la fois sur le rseau priphrique et sur l'intranet. Dans ce scnario, le pare-feu doit tre configur avec des filtres d'entre et de sortie sur son interface Internet afin d'autoriser le trafic de maintenance du tunnel et les donnes en tunnel accder au serveur VPN. Des filtres supplmentaires peuvent autoriser le trafic accder au Web, FTP et d'autres types de serveurs situs sur le rseau priphrique. Pour fournir une couche de scurit supplmentaire, le serveur VPN peut galement tre configur avec des filtres de paquets PPTP ou L2TP/IPSec dans son interface de rseau priphrique. Comme le pare-feu ne possde pas de cl de cryptage pour chaque connexion VPN, il ne peut effectuer le filtrage que sur les en-ttes en clair des donnes en tunnel. En d'autres termes, toutes les donnes en tunnel passent par le pare-feu. Cependant, il ne s'agit pas d'un problme de scurit, car la connexion VPN exige un processus d'authentification qui empche tout accs non autoris au-del du serveur VPN. L'illustration suivante reprsente le serveur VPN derrire le pare-feu sur le rseau priphrique.

Pour l'interface Internet et l'interface du rseau priphrique sur le pare-feu, configurez les filtres d'entre et de sortie suivants l'aide du service de configuration du pare-feu :

Filtres de paquets pour PPTP

Il est possible de configurer des filtres de paquets d'entre et de sortie distincts sur l'interface Internet et l'interface du rseau de primtre.

Filtres sur l'interface Internet

Configurez les filtres de paquets d'entre suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB) Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic destination du serveur VPN provenant du port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.

Configurez les filtres de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB) Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic en provenance du serveur VPN vers le port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.

Filtres sur l'interface du rseau de primtre

Configurez les filtres d'entre suivants sur l'interface du rseau priphrique du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB). Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic en provenance du serveur VPN vers le port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.

Configurez les filtres de paquets de sortie suivants sur l'interface du rseau priphrique du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB) Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic destination du serveur VPN provenant du port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.

Filtres de paquets pour L2TP/IPSec

Il est possible de configurer des filtres de paquets d'entre et de sortie distincts sur l'interface Internet et l'interface du rseau priphrique.

Filtres sur l'interface Internet

Configurez les filtres de paquets d'entre suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 50 (0x1F4) Ce filtre autorise le trafic IKE vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 4500 (0x1194). Ce filtre autorise le trafic NAT-T IPSec vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32) Ce filtre autorise le trafic ESP IPSec entre le client VPN et le serveur VPN.

Configurez les filtres de paquets de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 500 (0x1F4) Ce filtre autorise le trafic IKE en provenance du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 4500. Ce filtre autorise le trafic NAT-T IPSec partir du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32). Ce filtre autorise le trafic ESP IPSec entre le serveur VPN et le client VPN.

Aucun filtre n'est requis pour le trafic L2TP au niveau du port UDP 1701. Tout le trafic L2TP au niveau du pare-feu, y compris les donnes en tunnel et de maintenance du tunnel, est crypt comme une charge utile ESP IPSec. Important

Il n'est pas recommand d'effectuer un dploiement NAT-T IPSec pour Windows dans lequel des serveurs VPN sont situs derrire les traducteurs d'adresses rseau. Lorsqu'un serveur figure derrire un traducteur d'adresses rseau et qu'il utilise NAT-T IPSec, la faon dont les traducteurs d'adresses rseau traduisent le trafic rseau peut gnrer un comportement inattendu.

Filtres sur l'interface du rseau de primtre

Configurez les filtres de paquets d'entre suivants sur l'interface du rseau priphrique du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 500 (0x1F4). Ce filtre autorise le trafic IKE en provenance du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 4500. Ce filtre autorise le trafic NAT-T IPSec partir du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32) Ce filtre autorise le trafic ESP IPSec entre le serveur VPN et le client VPN.

Configurez les filtres de paquets de sortie suivants sur l'interface du rseau priphrique du pare-feu pour autoriser les types de trafic ci-dessous :

Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 50 (0x1F4) Ce filtre autorise le trafic IKE vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 4500 (0x1194). Ce filtre autorise le trafic NAT-T IPSec vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32) Ce filtre autorise le trafic ESP IPSec entre le client VPN et le serveur VPN.

Aucun filtre n'est requis pour le trafic L2TP au niveau du port UDP 1701. Tout le trafic L2TP au niveau du pare-feu, y compris les donnes en tunnel et de maintenance du tunnel, est crypt comme une charge utile ESP IPSec. Important

Il n'est pas recommand d'effectuer un dploiement NAT-T IPSec pour Windows dans lequel des serveurs VPN sont situs derrire les traducteurs d'adresses rseau. Lorsqu'un serveur figure derrire un traducteur d'adresses rseau et qu'il utilise NAT-T IPSec, la faon dont les traducteurs d'adresses rseau traduisent le trafic rseau peut gnrer un comportement inattendu.

E.Serveurs VPN et Microsoft ISA Server

Serveurs VPN et Microsoft ISA Server
Microsoft Internet Security and Acceleration (ISA) Server peut tre install sur un serveur de rseau priv virtuel (VPN, Virtual Private Network) excutant Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou Windows Server 2003, Datacenter Edition. En outre, il offre les fonctionnalits du service de routage et d'accs distant de Windows Server 2003 et du serveur ISA. Lorsque le serveur ISA est install, tous les filtres de paquets configurs sur le serveur VPN sont ignors par ISA qui cre ses propres filtres de paquets lorsqu'il est configur pour autoriser les connexions VPN. Une fois ISA install, configurez les filtres supplmentaires l'aide de l'administrateur ISA plutt que du service Routage et accs distant. Le serveur ISA comprend deux Assistants que vous pouvez utiliser pour connecter deux ordinateurs serveurs ISA une connexion VPN routeur routeur :

y y

Assistant VPN ISA local Cet Assistant permet de crer un fichier .vpc (configuration VPN). Assistant VPN ISA distant Cet Assistant permet de lire un fichier .vpc. Une fois les serveurs configurs, les deux serveurs ISA peuvent lancer et accepter des connexions VPN.

Pour plus d'informations sur les fonctions de filtrage des paquets et la prise en charge des rseaux privs virtuels (VPN, Virtual Private Network) ISA Server, voir l'aide en ligne de Microsoft ISA (Internet Security and Acceleration) Server.

F.Authentification et certificats d'accs au rseau

Authentification et certificats d'accs au rseau
Cette rubrique contient les sections suivantes :

y y y y y y y

Vue d'ensemble Configuration requise du certificat pour le protocole EAP Authentification des ordinateurs par IPSec Authentification base sur les certificats et clients sans fil Mthodes d'inscription de certificats et appartenance au domaine Choix d'une mthode d'inscription de certificat Services d'inscription par le Web de l'Autorit de certification

Vue d'ensemble
Les certificats sont utiliss pour l'authentification de l'accs au rseau, car ils assurent une scurit leve pour l'authentification des utilisateurs et des ordinateurs. De plus, ils liminent le besoin de recourir des mthodes d'authentification par mot de passe moins fiables. Cette rubrique dcrit la manire dont le service d'authentification IAS (Internet Authentication Service) et les serveurs de rseau priv virtuel (VPN, Virtual Private Network) utilisent EAP-TLS (Extensible Authentication ProtocolTransport Level Security), PEAP (Protected Extensible Authentication Protocol) ou IPSec (Internet Protocol Security) pour excuter l'authentification base sur les certificats pour de nombreux types d'accs rseau, notamment les connexions VPN et sans fil. En outre, cette rubrique dcrit les mthodes d'inscription de certificats afin de vous aider dterminer la mthode la mieux adapte vos besoins. Dans le domaine de l'authentification, un serveur dsigne un serveur VPN ou IAS qui est un point terminal TLS. Vous pouvez configurer des serveurs VPN pour effectuer l'authentification de l'accs rseau sans IAS, ou utiliser IAS pour l'authentification si votre rseau comprend plusieurs clients RADIUS (Remote Access Dial-In User Service), tels que des serveurs VPN et des points d'accs sans fil. Deux mthodes d'authentification utilisent les certificats : EAP-TLS (Extensible Authentication ProtocolTransport Level Security) et PEAP (Protected Extensible Authentication Protocol). Ces deux mthodes utilisent toujours les certificats pour l'authentification du serveur. Selon le type d'authentification configur avec la mthode d'authentification, les certificats peuvent tre utiliss pour l'authentification des utilisateurs et celle des clients. Pour plus d'informations, voir Protocole EAP et Protocole PEAP. L'utilisation de certificats pour l'authentification de connexions VPN est la forme la plus forte d'authentification disponible avec la famille Windows Server 2003. Vous devez utiliser l'authentification avec certificats pour les connexions VPN bases sur L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security). Les connexions PPTP (Point-To-Point Tunneling Protocol) n'exigent pas de certificat, mme si vous pouvez les configurer afin qu'elles utilisent les certificats pour l'authentification des ordinateurs si vous employez EAP-TLS comme mthode d'authentification. Pour les clients sans fil (priphriques informatiques avec cartes rseau sans fil, tels que votre ordinateur portable ou votre assistant numrique personnel), PEAP avec EAP-TLS et les cartes puce ou les certificats est la mthode d'authentification recommande. Pour plus d'informations, voir Protocole L2TP (Layer Two Tunneling Protocol), Protocole PPTP et Gestion des rseaux sans fil. Remarque

Pendant les tentatives d'authentification de connexions PPTP, l'authentification de l'ordinateur ne s'effectue pas. Si le protocole EAP-TLS est utilis comme mthode d'authentification, l'authentification de l'utilisateur s'effectue l'aide d'un certificat provenant du magasin de certificats de l'ordinateur local ou d'une carte puce. Dans Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000. Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez dfinir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas dfinir des groupes de clients RADIUS en spcifiant une plage d'adresses IP. Si le nom de domaine complet d'un client RADIUS est rsolu en plusieurs adresses IP, le serveur IAS utilise la premire adresse IP retourne dans la requte DNS. Avec IAS sous Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition, le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimit. De plus, vous pouvez configurer des clients RADIUS en spcifiant une plage d'adresses IP.

Pour dployer des certificats destins aux utilisateurs et ordinateurs, vous devez d'abord effectuer les oprations suivantes :

y y

concevoir une infrastructure de cl publique ; dployer une Autorit de certification l'aide des Services de certificats ;

y y

concevoir et publier un ou plusieurs certificats l'aide de modles de certificats installs avec les services de certificats ;

slectionner une ou plusieurs mthodes de distribution (galement appeles mthodes d'inscription de certificats) pour installer les certificats sur les ordinateurs et les distribuer aux utilisateurs. Remarque

Cette rubrique suppose que vous avez conu et dploy une infrastructure de cl publique en respectant les consignes fournies dans les Mthodes conseilles pour les services de certificats pour les services de certificats. Pour plus d'informations, voir Infrastructure de cl publique. PEAP n'est pas pris en charge pour les connexions VPN ou d'accs distance.

Exemples de dploiements de certificats y

Connexions VPN d'accs distant Connexions L2TP/IPSec ou PPTP entre un serveur VPN et un client VPN utilisant EAP-TLS comme mthode d'authentification. IPSec utilise des certificats d'ordinateurs entre le client et le serveur pour l'authentification, et EAP-TLS utilise un certificat (provenant d'une carte puce ou du magasin de certificats local de l'utilisateur) pour authentifier l'utilisateur. Le certificat du serveur IAS ou VPN doit contenir le rle Authentification du serveur tandis que le certificat de l'utilisateur ou de l'ordinateur client doit contenir le rle Authentification du client dans ses extensions EKU (Enhanced Key Usage). Pour plus d'informations, voir Dploiement d'un VPN d'accs distant utilisant le protocole L2TP etDploiement d'un VPN d'accs distant utilisant le protocole PPTP. Connexions VPN routeur routeur Connexions L2TP/IPSec pour les connexions ddies ou de numrotation la demande entre des serveurs utilisant EAP-TLS comme mthode d'authentification. Les deux serveurs doivent possder des certificats contenant les rles Authentification du serveur et Authentification du client dans les extensions EKU. Pour plus d'informations, voir Dploiement de connexions VPN routeur routeur. Clients de commutation ou sans fil IEEE 802.1X PEAP-EAP-MS-CHAPv2 est configur comme mthode d'authentification et l'option Valider le certificat du serveur est active sur les ordinateurs clients. Les extensions EKU du certificat du serveur IAS contiennent le rle Authentification du serveur et le certificat est utilis pour identifier le serveur auprs du client. L'authentification de l'utilisateur s'effectue l'aide d'un nom d'utilisateur et d'un mot de passe. Pour plus d'informations, voir Activer la carte puce ou une autre authentification de certificats etConfiguration des paramtres des rseaux sans fil sur des ordinateurs clients.

Clients de commutation ou sans fil IEEE 802.1X L2TP/IPSec est utilis et EAP-TLS avec les certificats est configur comme mthode d'authentification. Le certificat du serveur IAS contient le rle Authentification du serveur dans les extensions EKU afin de s'identifier auprs du client, et le client utilise un certificat (provenant d'une carte puce ou du magasin de certificats local de l'utilisateur) pour s'identifier auprs du serveur IAS. (Les points d'accs sans fil sont configurs comme clients RADIUS sur le serveur IAS, qui est l'authentificateur EAP). Remarques

L'authentification de l'utilisateur et l'autorisation de l'accs rseau relvent du serveur VPN ou d'un serveur RADIUS, notamment le service d'authentification IAS (Internet Authentication Service), selon la configuration de la passerelle VPN. Pour plus d'informations, voir Utiliser l'authentification RADIUS.

Configuration requise du certificat pour le protocole E AP

Lorsque vous utilisez EAP avec un type EAP fort (par exemple TLS avec les cartes puce ou les certificats), le client et le serveur utilisent tous les deux les certificats pour vrifier rciproquement leur identit. Les certificats doivent rpondre des exigences spcifiques afin de permettre au serveur et au client de les utiliser pour l'authentification.

Il est notamment essentiel que le certificat soit configur avec un ou plusieurs rles dans les extensions EKU, correspondant son utilisation. Par exemple, un certificat utilis pour l'authentification d'un client auprs d'un serveur doit tre configur avec le rle Authentification du client. De mme, un certificat utilis pour l'authentification d'un serveur doit tre configur avec le rle Authentification du serveur. Lorsque les certificats sont utiliss pour l'authentification, l'authentificateur examine le certificat du client en recherchant l'identificateur d'objet rle correct dans les extensions EKU. Par exemple, l'identificateur d'objet du rle Authentification du client est 1.3.6.1.5.5.7.3.2. Les modles de certificats permettent de personnaliser les certificats mis par les services de certificats, notamment la manire dont ils sont mis et ce qu'ils contiennent, par exemple leurs rles. Dans les modles de certificats, vous pouvez utiliser un modle par dfaut, par exemple le modle Ordinateur, afin de dfinir le modle employ par l'Autorit de certification pour l'attribution des certificats aux ordinateurs. Vous pouvez galement crer un modle de certificat et attribuer des rles dans les extensions EKU pour chaque certificat. Par dfaut, le modle Ordinateur comprend les rles Authentification du client et Authentification du serveur dans les extensions EKU. Le modle de certificat que vous crez peut comprendre n'importe quel rle pour lequel le certificat sera utilis. Par exemple, si vous utilisez des cartes puce pour l'authentification, vous pouvez ajouter le rle Ouverture de session par carte puce en plus du rle Authentification du client. Si vous utilisez IAS, vous pouvez le configurer en vue de vrifier le rle du certificat avant d'accorder l'autorisation d'accs au rseau. IAS peut vrifier des rles EKU et Stratgie d'mission (galement appels Stratgies de certificat) supplmentaires. Certains logiciels d'autorit de certification non-Microsoft peuvent contenir un rle appel Tous, qui reprsente tous les rles possibles. Il est indiqu par une extension EKU vide (ou nulle). Mme si Tous signifie tous les rles possibles, le rle Tous ne peut pas remplacer le rle Authentification du client, le rle Authentification du serveur ou tout autre rle li l'authentification de l'accs rseau. Pour plus d'informations, voir Modles de certificats et Grer les modles de certificats pour une Autorit de certification d'entreprise. Vous pouvez afficher les certificats ainsi que leurs rles l'aide de la console Certificats afin d'ouvrir le magasin de certificats. Les magasins de certificats peuvent tre consults en mode Magasin logique ou en mode Type d'utilisation. Pour plus d'informations sur la manire d'afficher les rles de certificats, voir Afficher les magasins de certificats en mode Type d'utilisation.

Configuration minimale requise des certificats

Tous les certificats utiliss pour l'authentification de l'accs rseau doivent rpondre aux exigences des certificats X.509 et convenir pour des connexions utilisant SSL/TLS (Secure Sockets Layer -Transport Level Security). Outre cette configuration minimale, les certificats de clients et de serveurs possdent des exigences supplmentaires.

Configuration requise des certificats de clients

Avec EAP-TLS ou PEAP-EAP-TLS, le serveur accepte la tentative d'authentification du client si le certificat rpond aux critres suivants :

y y

Le certificat client doit tre mis par une Autorit de certification d'entreprise ou tre mapp un compte d'utilisateur ou d'ordinateur dans Active Directory. Le certificat d'utilisateur ou d'ordinateur sur le client doit tre li une autorit de certification racine de confiance, doit comprendre le rle Authentification du client dans les extensions EKU (l'identificateur d'objet du rle Authentification du client est 1.3.6.1.5.5.7.3.2) et ne doit pas chouer aux vrifications effectues par CryptoAPI et spcifies dans la stratgie d'accs distant ainsi qu'aux vrifications de l'objet Certificat spcifies dans la stratgie d'accs distant IAS. Le client 802.1X n'utilise pas de certificats bass sur le Registre qu'il s'agisse de certificats d'ouverture de session de carte puce ou de certificats protgs par mot de passe. Pour les certificats d'utilisateur, l'extension SubjectAltName (Subject Alternative Name) situe dans le certificat doit contenir le nom d'utilisateur principal (UPN, User Principal Name). Pour configurer le nom UPN dans un modle de certificat : Ouvrez Modles de certificats.

y y

1.

2. 3. 4.

Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom d'utilisateur principal (UPN). Pour les clients certificats d'ordinateur, l'extension SubjectAltName (Subject Alternative Name) du certificat doit contenir le nom de domaine complet (FQDN, Fully Qualified Domain Name) du client. Pour configurer ce nom dans le modle de certificat : Ouvrez Modles de certificats. Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.

1. 2. 3. 4.

Avec PEAP-EAP-TLS et EAP-TLS, les clients affichent la liste de tous les certificats installs dans le composant logiciel enfichable Certificats, l'exception des lments suivants :

y y y

Les clients sans fil n'affichent pas les certificats bass sur le Registre et les certificats d'ouverture de session de carte puce. Les clients sans fil et VPN n'affichent pas les certificats protgs par mot de passe. Les certificats qui ne contiennent pas le rle Authentification du client dans leurs extensions EKU ne s'affichent pas.

Configuration requise des certificats de serveurs

Les clients peuvent tre configurs pour valider les certificats de serveurs l'aide de l'option Valider le certificat du serveur. Avec PEAP-EAP-MS-CHAPv2, PEAP-EAP-TLS ou EAP-TLS comme mthode d'authentification, le client accepte la tentative d'authentification du serveur si le certificat rpond aux critres suivants :

Le nom Sujet contient une valeur. Si vous avez dlivr votre serveur IAS un certificat possdant un sujet vide, il ne peut pas servir l'authentification de votre serveur IAS. Pour configurer le modle de certificat avec un nom Sujet : Ouvrez Modles de certificats. Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Format du nom du sujet, slectionnez une valeur autre que Aucun. Le certificat d'ordinateur sur le serveur doit tre li une autorit de certification racine de confiance et russir toutes les vrifications effectues par CryptoAPI et spcifies dans la stratgie d'accs distant. Le certificat d'ordinateur serveur IAS ou VPN est configur avec le rle Authentification du serveur dans les extensions EKU (l'identificateur d'objet du rle Authentification du serveur est 1.3.6.1.5.5.7.3.1). Le certificat serveur est configur avec une valeur de fournisseur de services cryptographiques (CSP) requise gale Microsoft RSA SChannel Cryptographic Provider. Pour configurer le fournisseur de services cryptographiques requis : Ouvrez Modles de certificats.

1. 2. 3. 4.

1.

2. 3. 4. 5.

Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Traitement de la demande, puis sur Fournisseurs de services cryptographiques. Dans Slection du fournisseur de services cryptographiques, slectionnez Les requtes doivent utiliser l'un des fournisseurs de services de cryptographique suivants. Dans Fournisseurs de services cryptographiques, activez la case cocher Microsoft RSA SChannel Cryptographic Provider. Dsactivez toutes les autres cases cocher de Fournisseurs de services cryptographiques. L'extension SubjectAltName (Subject Alternative Name), si elle est utilise, doit contenir le nom DNS du serveur. Pour configurer le modle de certificat avec le nom DNS du serveur d'inscription : Ouvrez Modles de certificats. Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.

1. 2. 3. 4.

Avec PEAP et EAP-TLS, les serveurs affichent une liste de tous les certificats installs dans le magasin de certificats de l'ordinateur, l'exception des lments suivants :

y y y

Les certificats qui ne contiennent pas le rle Authentification du serveur dans leurs extensions EKU ne s'affichent pas. Les certificats qui ne contiennent pas un nom Sujet ne sont pas affichs.

Les serveurs n'affichent pas les certificats bass sur le Registre et les certificats d'ouverture de session de carte puce. Remarques

Vous pouvez dsigner le certificat utilis par le serveur IAS ou VPN dans le profil de la stratgie d'accs distant. Lorsque vous configurez les mthodes d'authentification EAP et PEAP qui ncessitent un certificat pour l'authentification serveur et que vous ne slectionnez pas un certificat spcifique dans la bote de dialogue Proprits des cartes puce ou des autres certificats, le serveur IAS ou VPN slectionne automatiquement un certificat dans le magasin de certificats de l'ordinateur. Si le serveur obtient un certificat plus rcent, il utilise ce nouveau certificat. Cela peut entraner l'utilisation par le serveur IAS ou VPN d'un certificat qui n'est pas correctement configur pour l'authentification et faire chouer l'authentification. Pour viter cela, slectionnez toujours un certificat serveur lors de la configuration des mthodes d'authentification PEAP et EAP qui en ont besoin d'un. Pour plus d'informations, voir Configurer les mthodes PEAP et EAP.

Authentification des ordinateurs par IPSec

L'authentification des ordinateurs s'effectue d'abord pendant les tentatives de connexion L2TP/IPSec entre le client et le serveur d'accs distant. Si un canal scuris est tabli entre le client et le serveur, la tentative d'authentification et d'autorisation de l'utilisateur se poursuit. L'authentification de l'ordinateur par IPSec s'effectue l'aide de cls prpartages ou de certificats d'ordinateurs. La mthode d'authentification recommande consiste utiliser une infrastructure de cl publique et des certificats. Si vous utilisez les certificats, un certificat d'ordinateur est ncessaire pour tablir une relation de confiance IPSec pendant la ngociation IKE (Internet Key Exchange) dans les connexions VPN bases sur L2TP/IPSec. Pour qu'un serveur VPN excutant Windows Server 2003 et un client VPN excutant Windows 2000 ou Windows XP tablissent une relation de confiance pour une connexion VPN L2TP/IPSec, les deux ordinateurs doivent possder un certificat d'ordinateur mis par la mme Autorit de certification racine d'entreprise de confiance. Si les deux ordinateurs possdent et changent des certificats qui ont t mis

par l'Autorit de certification racine de confiance pendant la ngociation IPSec, ils se font confiance et l'association de scurit est cre.

Comment les serveurs VPN utilisent les certificats

Lors d'une tentative de connexion VPN L2TP/IPSec entre un client et un serveur VPN, l'authentification de l'ordinateur choue si le certificat du client VPN (provenant d'une carte puce ou du magasin de certificats situ sur l'ordinateur local) n'est pas configur avec le rle Authentification du client dans les extensions EKU, et le certificat du serveur VPN n'est pas configur avec le rle Authentification du serveur dans les extensions EKU. IPSec recherche le certificat du client dans les extensions EKU afin de dterminer la prsence de l'identificateur d'objet du rle Authentification du client. Si l'extension EKU comprend cet identificateur d'objet, IPSec peut utiliser le certificat pour l'authentification. De mme, le client recherche l'identificateur d'objet du rle Authentification du serveur dans les extensions EKU du certificat du serveur VPN. Mme si les serveurs VPN qui mettent fin aux connexions d'utilisateurs distants doivent disposer d'un certificat configur avec le rle Authentification du serveur dans ses extensions EKU uniquement, un serveur VPN jouant le rle de point terminal pour une connexion VPN avec un autre serveur VPN ouvre (en tant que client) et ferme (en tant que serveur) les connexions VPN. Pour cette raison, les extensions EKU du certificat de ces serveurs doivent contenir la fois le rle Authentification du serveur et le rle Authentification du client. En outre, tant donn le mode de fonctionnement de la slection automatique de certificat, les deux rles (Authentification du serveur et Authentification du client) doivent tre contenus dans le mme certificat. La slection automatique de certificat peut fournir IPSec n'importe quel certificat contenu dans le magasin de certificats li l'Autorit de certification racine d'entreprise de confiance, quels que soient les rles qu'il contient. Si deux certificats sont installs sur le serveur (un contenant le rle Authentification du client et l'autre le rle Authentification du serveur), il est possible que la slection automatique de certificat utilise le certificat incorrect pour l'authentification. Par exemple, le certificat possdant le rle Authentification du client peut tre ncessaire, alors que le certificat fourni par la slection automatique de certificat contient le rle Authentification du serveur. Dans ce type de situation, l'authentification choue.

Authentification base sur les certificats et clients sans fil

L'authentification IEEE 802.1X permet un accs authentifi aux rseaux sans fil 802.11 et aux rseaux Ethernet cbls. 802.1X assure la prise en charge de types EAP scuriss, tels que TLS avec les cartes puce ou les certificats. 802.1X peut tre configur avec EAP-TLS de plusieurs manires. Si l'option Valider le certificat du serveur est configure sur le client Windows XP Professionnel, celui-ci authentifie le serveur l'aide de son certificat. L'utilisateur et l'ordinateur client peuvent tre identifis l'aide de certificats provenant du magasin de certificats du client ou d'une carte puce, ce qui permet de raliser une authentification mutuelle. PEAP-EAP-MS-CHAPv2 peut tre utilis comme mthode d'authentification avec les clients sans fil. PEAPEAP-MS-CHAPv2 est une mthode d'authentification de l'utilisateur base sur un mot de passe. Elle utilise TLS avec les certificats de serveurs. Pendant l'authentification PEAP-EAP-MS-CHAPv2, le serveur IAS ou RADIUS fournit un certificat qui valide son identit auprs du client (si l'option Valider le certificat du serveur est configure sur le client Windows XP Professionnel). L'authentification de l'utilisateur et de l'ordinateur client s'effectue par mot de passe, ce qui vite le dploiement complexe de certificats sur des ordinateurs clients sans fil. Les clients de commutation ou sans fil 802.1X peuvent galement utiliser PEAP-EAP-TLS pour une scurit renforce. PEAP-EAP-TLS utilise une infrastructure de cl publique (PKI, Public Key Infrastructure) avec les certificats pour l'authentification du serveur, et des cartes puce ou des certificats pour l'authentification de l'utilisateur et de l'ordinateur client. Pour plus d'informations, voir Protocole PEAP. Pour plus d'informations sur l'authentification 802.1X, voir Prsentation de l'authentification 802.1X pour les rseaux sans fil.

Mthodes d'inscription de certificats et appartenance au domaine

L'appartenance au domaine des ordinateurs pour lesquels vous souhaite inscrire des certificats affecte la z mthode d'inscription de certificat que vous pouvez choisir. Les certificats des ordinateurs membres du domaine peuvent tre inscrits automatiquement (cette procdure est galement appele inscription automatique), alors qu'un administrateur doit inscrire les certificats des ordinateurs non-membres du domaine par l'intermdiaire du Web ou l'aide d'une disquette. La mthode d'inscription des certificats

d'ordinateurs non-membres du domaine porte le nom de processus bootstrap de confiance. Les certificats sont crs, puis demands ou distribus manuellement de manire scurise par les administrateurs afin de crer une confiance commune.

Inscription du certificat d'un membre du domaine

Si votre serveur VPN, votre serveur IAS ou encore un client excutant Windows 2000 ou Windows XP est membre d'un domaine excutant Windows Server 2003 et Active Directory, vous pouvez configurer l'inscription automatique des certificats d'ordinateurs et d'utilisateurs. Une fois l'inscription automatique configure et active, tous les ordinateurs membres du domaine reoivent des certificats d'ordinateurs lors de la prochaine actualisation de la stratgie de groupe, qu'elle soit dclenche manuellement l'aide de la commande gpupdate ou par l'ouverture d'une session sur le domaine. Si votre ordinateur est membre d'un domaine dans lequel Active Directory n'est pas install, vous pouvez installer manuellement des certificats d'ordinateurs en les demandant l'aide du composant Certificats. Pour plus d'informations, voir Certificats d'ordinateur pour des connexions VPN de type L2TP/IPSec. Remarques

Les ordinateurs excutant Windows 2000 ne peuvent inscrire automatiquement que les certificats d'ordinateurs.

Inscription du certificat d'un ordinateur non -membre du domaine

L'inscription de certificats d'ordinateurs non-membres du domaine ne peut pas tre automatique. Lorsqu'un ordinateur appartient un domaine, une relation de confiance est tablie, ce qui autorise l'inscription automatique sans intervention de l'administrateur. Si un ordinateur n'appartient pas un domaine, la relation de confiance n'est pas tablie et aucun certificat n'est mis. La relation de confiance doit tre tablie l'aide d'une des mthodes suivantes :

y y

Un administrateur (qui est, par dfinition, approuv) doit demander un certificat d'ordinateur ou d'utilisateur l'aide de l'outil d'inscription par le Web de l'Autorit de certification. L'administrateur doit enregistrer un certificat d'ordinateur ou d'utilisateur sur une disquette et l'installer sur l'ordinateur non-membre du domaine. Ou, si l'ordinateur n'est pas accessible l'administrateur (par exemple, un ordinateur personnel connect un rseau d'organisation avec une connexion VPN L2TP/IPSec), un utilisateur du domaine approuv par l'administrateur peut installer le certificat. Un administrateur peut distribuer un certificat d'utilisateur sur une carte puce (les certificats d'ordinateurs ne sont pas distribus sur des cartes puce).

De nombreuses infrastructures rseau contiennent des serveurs VPN et IAS qui ne sont pas membres du domaine. Par exemple, il se peut qu'un serveur VPN situ dans un rseau priphrique ne soit pas membre du domaine pour des raisons de scurit. Dans ce cas, un certificat d'ordinateur possdant le rle Authentification du serveur dans ses extensions EKU doit tre install sur le serveur VPN nonmembre du domaine avant de pouvoir russir ngocier des connexions VPN L2TP/IPSec des clients. Remarquez que si le serveur VPN non-membre du domaine sert de point terminal une connexion VPN un autre serveur VPN, les extensions EKU doivent contenir la fois le rle Authentification du serveur et le rle Authentification du client.

Choix d'une mthode d'inscription de certificat

Si vous excutez une autorit de certification d'entreprise sur un ordinateur qui excute Windows Server 2003, Standard Edition, vous pouvez utiliser le tableau suivant pour dterminer la meilleure mthode d'inscription de certificat qui correspond vos besoins :

Objet et appartenance au domaine Serveur VPN ou IAS, membre du domaine

Modle de certificat Ordinateur

Rles du certificat Authentification serveur

Mthode d'inscription de certificat favorite Inscription automatique

Autre mthode d'inscription de certificat Demander un certificat avec le composant

logiciel enfichable Certificats Serveur VPN avec une connexion de site site, membre du domaine Client Windows XP, membre du domaine Ordinateur Authentification du serveur et Authentification du client Authentification client Inscription automatique Demander un certificat avec le composant logiciel enfichable Certificats Demander un certificat avec le composant logiciel enfichable Certificats Installer partir d'une disquette

Ordinateur

Inscription automatique

Serveur VPN ou IAS, non-membre du domaine Serveur VPN avec une connexion de site site, non-membre du domaine Client Windows XP, non-membre du domaine Utilisateur, utilisateur du domaine

Ordinateur

Authentification serveur

Outil d'inscription par le Web de l'Autorit de certification Outil d'inscription par le Web de l'Autorit de certification Outil d'inscription par le Web de l'Autorit de certification Inscription automatique

Ordinateur

Authentification du serveur et Authentification du client Authentification client

Installer partir d'une disquette

Ordinateur

Installer partir d'une disquette

Utilisateur

Authentification client

Utiliser une carte puce ou l'outil d'inscription par le Web de l'Autorit de certification

Si votre autorit de certification est situe sur un ordinateur fonctionnant sur l'un des systmes d'exploitation suivants, les serveurs RAS et IAS et les modles Authentification de station de travail sont disponibles :

y y y y y y

Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition Windows Server 2003, Enterprise Edition pour les systmes architecture Itanium Windows Server 2003, Datacenter Edition pour les systmes architecture Itanium Windows Server 2003, Enterprise Edition 64 bits Windows Server 2003, Datacenter Edition 64 bits

Le tableau suivant vous aide dterminer quel moment utiliser ces modles.

Objet et appartenance au domaine Serveur VPN ou IAS, membre du domaine Client Windows XP, membre du domaine Serveur VPN ou IAS, non-membre du domaine

Modle de certificat Serveurs RAS et IAS

Rle du certificat Authentification serveur

Mthode d'inscription de certificat favorite Inscription automatique

Autre mthode d'inscription de certificat Demander un certificat avec le composant logiciel enfichable Certificats Demander un certificat avec le composant logiciel enfichable Certificats Installer partir d'une disquette

Authentification de station de travail

Authentification client

Inscription automatique

Serveurs RAS et IAS

Authentification serveur

Outil d'inscription par le Web de l'Autorit de

certification Client Windows XP, non-membre du domaine Important Si le serveur excutant IAS n'est pas un contrleur de domaine mais un membre d'un domaine avec un niveau fonctionnel mixte Windows 2000, vous devez ajouter le serveur la liste de contrle d'accs (ACL) du modle de certificat Serveur RAS et IAS. Vous devez galement configurer les autorisations correctes pour l'inscription automatique. Il existe plusieurs procdures pour ajouter des serveurs ou des groupes de serveurs la liste de contrle d'accs. Pour ajouter un serveur individuel la liste de contrle d'accs pour le modle de certificat Serveur RAS et IAS : Dans Modles de certificats, slectionnez le modle Serveur RAS et IAS, puis ajoutez le serveur IAS aux proprits Scurit du modle. Pour plus d'informations, voir Autoriser les sujets demander un certificat bas sur le modle. Aprs avoir ajout votre serveur IAS la liste de contrle d'accs, accordez des autorisationsLecture, Inscription et Inscription automatique. Pour grer un groupe de serveurs, ajoutez les serveurs un nouveau groupe global ou universel, puis ajoutez le groupe la liste de contrle d'accs du modle de certificat : 1. Dans Utilisateurs et ordinateurs Active Directory, crez un nouveau groupe global ou universel pour les serveurs IAS. Pour plus d'informations, voir Crer un nouveau groupe. Ensuite, ajoutez au groupe tous les ordinateurs qui sont des serveurs IAS, ne sont pas des contrleurs de domaine et sont membres d'un domaine avec un niveau fonctionnel mixte Windows 2000. Pour plus d'informations, voir Ajouter un membre un groupe. Authentification de station de travail Authentification client Outil d'inscription par le Web de l'Autorit de certification Installer partir d'une disquette

Dans Modles de certificats, slectionnez le modle Serveur RAS et IAS, puis ajoutez le groupe que vous avez cr aux proprits Scurit du modle en effectuant les tapes de Autoriser les sujets demander un certificat bas sur le modle. Aprs avoir ajout votre nouveau groupe, accordez des autorisationsLecture, Inscription et Inscription automatique. Pour plus d'informations, voir Fonctionnalit des domaines et des forts.

2.

Services d'inscription par le Web de l'Autor it de certification

Un jeu de pages Web de l'Autorit de certification est fourni avec les services de certificats dans la famille Windows Server 2003. Ces pages d'inscription par le Web vous permettent de vous connecter l'Autorit de certification l' aide d'un navigateur Web et d'excuter les tches courantes, notamment la demande de certificats auprs d'une Autorit de certification. Pour plus d'informations, voir Services d'inscription Web de l'Autorit de certification et Configurer la prise en charge de l'inscription par le Web de l'Autorit de certification. Une fois que l'infrastructure de cl publique a t cre et dploye et que vous avez obtenu les autorisations ncessaires sur les modles de certificats, vous pouvez demander des certificats d'ordinateurs en utilisant les pages d'inscription par le Web de l'Autorit de certification. Vous pouvez demander un certificat pour un ordinateur non-membre du domaine l'aide de l'outil d'inscription par le Web de l'Autorit de certification en procdant de la manire suivante. Vous devez oprer en tant qu'administrateur sur l'ordinateur pour pouvoir effectuer cette procdure. Installer un certificat d'ordinateur sur l'ordinateur local 1. Utilisez votre navigateur Web pour vous connecter l'outil d'inscription par le Web l'adressehttp://NomServeur/certsrv, o NomServeur est le nom du serveur qui hberge l'autorit de certification, les pages Web de l'autorit de certification ou ces deux lments. Cliquez sur Demander un certificat. Dans Demander un certificat, cliquez sur Demande de certificat avance. Dans Demande de certificat avance, cliquez sur Crer et soumettre une demande de requte auprs de cette Autorit de certification. Un formulaire Web contenant les sections Modle de certificat, Options de la cl et Options supplmentaires vous est alors

2. 3.

propos. Slectionnez les options suivantes :

y y y y y y y y y y y
4. 5.

Modle de certificat : Administrateur Options de la cl : Crer un nouveau jeu de cls Fournisseur de service cryptographique : Microsoft Enhanced Cryptographic Provider v1.0 Utilisation de la cl : Exchange Taille de cl : 1024 Nom de conteneur de cl automatique : Slectionn Marquer les cls comme tant exportables : Slectionn Utiliser le magasin de l'ordinateur local : Slectionn Format de la demande : PKCS 10 Hachage : SHA-1 Nom convivial : Nom du serveur VPN

Cliquez sur Envoyer. Cliquez sur Installer ce certificat. Le certificat demand est install sur votre ordinateur local.

Enregistrer un certificat d'ordinateur sur une disquette 1. Utilisez votre navigateur Web pour vous connecter l'outil d'inscription par le Web l'adressehttp://NomServeur/certsrv, o NomServeur est le nom du serveur qui hberge l'autorit de certification, les pages Web de l'autorit de certification ou ces deux lments. Cliquez sur Demander un certificat. Dans Demander un certificat, cliquez sur Demande de certificat avance. Dans Demande de certificat avance, cliquez sur Crer et soumettre une demande de requte auprs de cette Autorit de certification. Un formulaire Web contenant les sections Modle de certificat, Options de la cl et Options supplmentaires vous est alors propos. Slectionnez les options suivantes :

2. 3.

y y y y y y y y y

Modle de certificat : Administrateur Options de la cl : Crer un nouveau jeu de cls Fournisseur de service cryptographique : Microsoft Enhanced Cryptographic Provider v1.0 Utilisation de la cl : Exchange Taille de cl : 1024 Nom de conteneur de cl automatique : Slectionn Marquer les cls comme tant exportables : Slectionn Exporter les cls vers un fichier : Slectionn Nom du chemin d'accs complet : Chemin d'accs dsignant l'emplacement auquel vous souhaitez enregistrer le fichier et le nom de fichier (par exemple,\\NomServeur\NomPartage\NomFichier.pvk.). Format de la demande : PKCS 10 Hachage : SHA-1 Nom convivial : Nom du serveur VPN

y y y
4. 5. 6. 7. 8. 9.

Cliquez sur Envoyer. Crez et confirmez votre mot de passe de cl prive. Dans Certificat mis, slectionnez Cod DER et Tlcharger la chane du certificat. Insrez une disquette dans votre lecteur. Lorsque y tes invit par votre navigateur, slectionnez Enregistrer ce fichier sur le disque, puis cliquez sur OK.

Accdez votre lecteur de disquette, puis cliquez sur OK. Le certificat demand est tlcharg et enregistr sur la disquette. Pour plus d'informations, voir Soumettre une demande de certificat avance via le Web.

Pour plus d'informations sur l'installation d'un certificat partir d'une disquette dans le magasin de certificats d'un ordinateur local, voir Importer un certificat. Remarques

Si vous avez dlivr votre serveur IAS un certificat possdant un sujet vide, il ne peut pas servir l'authentification de votre serveur IAS. Pour rsoudre ce problme, vous pouvez utiliser les modles de certificats afin de crer un nouveau certificat pour l'inscription sur votre serveur IAS. Dans les proprits du certificat, dans la section Format du nom du sujet de l'onglet Nom du sujet, slectionnez une valeur autre que Aucun.

G.Prsentation des protocoles de tunnel VPN

Protocoles de tunneling VPN
Cette section traite des sujets suivants :

y y

Protocole PPTP Protocole L2TP (Layer Two Tunneling Protocol)

1.Protocole PPTP
Protocole PPTP
PPTP est un protocole de tunneling d'abord pris en charge dans Windows NT 4.0 et Windows 98. C'est une extension du protocole PPP (Point-to-Pont Protocol) qui s'appuie sur les mcanismes d'authentification, de compression et de cryptage de ce dernier. La prise en charge du client pour PPTP est intgre dans le client d'accs distant Windows XP. La prise en charge du serveur VPN pour PPTP est intgre dans les membres de la famille Windows Server 2003. PPTP est install avec le protocole TCP/IP. Selon les options slectionnes lors de l'excution de l'Assistant Installation du serveur d'accs distant et de routage, le protocole PPTP est configur pour 5 ou 128 ports PPTP. Pour plus d'informations, voir Liste de vrification : Installation et configuration d'un serveur PPTP. PPTP et MPPE (Microsoft Point-to-Point Encryption) offrent les services VPN principaux d'encapsulation et de cryptage des donnes prives.

Encapsulation
Une trame PPP (un datagramme IP ou IPX ou Appletalk) est encapsule dans un en -tte GRE (Generic Routing Encapsulation) et un en-tte IP. L'en-tte IP contient les adresses IP sources et de destination qui correspondent respectivement au client et au serveur VPN. L'illustration suivante reprsente l'encapsulation PPTP d'une trame PPP.

Cryptage
La trame PPP est crypte par MPPE (Microsoft Point-to-Point Encryption) l'aide de cls de cryptage gnres par le processus d'authentification MS-CHAP, MS-CHAP v2 ou EAP-TLS. Les clients de rseau priv virtuel doivent utiliser le protocole d'authentification MS-CHAP, MS-CHAP v2 ou EAP-TLS afin que les charges des trames PPP puissent tre cryptes. PPTP bnficie du cryptage et de l'encapsulation PPP sous-jacente d'une trame PPP prcdemment crypte.

Pour plus d'informations sur le dploiement de connexions VPN utilisant le protocole PPTP, voir Dploiement de rseaux privs virtuels. Pour obtenir une liste de vrification des serveurs VPN utilisant le protocole PPTP, voir Liste de vrification : Installation et configuration d'un serveur PPTP. Pour obtenir un exemple d'implmentation de connexions VPN utilisant le protocole PPTP, voir Exemples d'implmentation d'un rseau priv virtuel. Pour plus d'informations sur la configuration de connexions VPN utilisant le protocole PPTP dans un atelier test, voir Atelier de test des rseaux privs virtuels. Remarques

Votre connexion PPTP peut ne pas tre crypte lorsque la trame PPP est envoye en texte brut. Toutefois, cette solution n'est pas recommande pour les connexions VPN sur Internet, car les communications de ce type ne sont pas sres. Le protocole IPX/SPX n'est pas disponible sur Windows XP dition 64 bits (Itanium) et les versions 64 bits de la famille Windows Server 2003. Dans Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.

y y

2.Protocole L2TP (Layer Two Tunneling Protocol)

Protocole L2TP (Layer Two Tunneling Protocol)
Le protocole L2TP (Layer Two Tunneling Protocol) est un protocole de tunneling bas sur des RFC qui constitue une norme de l'industrie et qui fut pris en charge en premier dans les systmes d'exploitation serveur et client Windows 2000. Contrairement PPTP, L2TP n'utilise pas MPPE (Microsoft Point-to-Point Encryption) dans les serveurs excutant Windows Server 2003 pour crypter les datagrammes PPP (Pointto-Point Protocol). L2TP s'appuie sur les services de cryptage de la scurit du protocole IPSec (Internet Protocol security). La combinaison de L2TP et IPSec est connue sous la dsignation L2TP/IPSec. L2TP/IPSec offre les services VPN (Virtual Private Network) principaux d'encapsulation et de cryptage des donnes prives. L2TP et IPSec doivent tre tous deux pris en charge par le client et le serveur VPN. La prise en charge de L2TP par le client est intgre au client d'accs distant Windows XP et la prise en charge de L2TP par le serveur VPN est intgre dans les membres de la famille Windows Server 2003. L2TP est install avec le protocole TCP/IP. Selon les options slectionnes lors de l'excution de l'Assistant Installation du serveur d'accs distant et de routage, le protocole L2TP est configur pour 5 ou 128 ports L2TP. Pour plus d'informations, voir Liste de vrification : Installation et configuration d'un serveur L2TP. Pour plus d'informations sur IPSec, voir Vue d'ensemble de la scurit du protocole Internet.

Encapsulation
L'encapsulation des paquets L2TP/IPSec consiste en deux couches : 1. Encapsulation L2TP Une trame PPP (un datagramme IP ou IPX) est encapsule dans un en-tte L2TP et un en-tte UDP.

Encapsulation IPSec Le message L2TP ainsi produit est ensuite encapsul dans un en-tte et un code de fin ESP (Encapsulating Security Payload), un code de fin IPSec Authentication qui assure l'intgrit et l'authentification du message et un dernier en-tte IP. L'en-tte IP contient l'adresse IP source et de destination correspondant au client et au serveur VPN. La figure suivante illustre l'encapsulation L2TP et IPSec d'un datagramme PPP.

2.

Cryptage
Le message L2TP est crypt avec DES (Data Encryption Standard) ou DES triple (3DES) en utilisant les cls de cryptage cres partir du processus de ngociation IKE (Internet Key Exchange). Plus plus d'informations sur le dploiement de connexions VPN L2TP/IPSec, voir Dploiement de rseaux privs virtuels. Pour les listes de contrle de configuration, voir Listes de vrification VPN. Pour obtenir un exemple d'implmentation de connexions VPN L2TP/IPSec, voir Exemples d'implmentation d'un rseau priv virtuel. Pour plus d'informations sur la configuration de connexions VPN L2TP/IPSec dans un atelier de test, voir Atelier de test des rseaux privs virtuels. Remarques

Votre connexion L2TP peut ne pas tre crypte lorsque la trame PPP est envoye en texte brut. Toutefois, cette solution n'est pas recommande pour les connexions VPN sur Internet car les communications de ce type ne garantissent pas la confidentialit des donnes. Le protocole IPX/SPX n'est pas disponible sur Windows XP dition 64 bits (Itanium) et les versions 64 bits de la famille Windows Server 2003. Dans Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.

y y

H.Scurit des rseaux privs virtuels (VPN)

Scurit des rseaux privs virtuels (VPN)
Cette section traite des sujets suivants :

y y y y

Autorisation Authentification des clients VPN Cryptage des donnes entre serveur VPN et client VPN Utilisation du filtrage de paquets

1.Autorisation
Autorisation
Les connexions VPN (Virtual Private Network) ne sont acceptes que pour les utilisateurs et routeurs autoriss. Pour la famille Windows Server 2003, l'autorisation des connexions VPN est dfinie par les proprits des appels entrants sur le compte d'utilisateur et les stratgies d'accs distant. Pour plus d'informations, voir Stratgies d'accs distant. Il n'est pas ncessaire de crer des comptes d'utilisateurs supplmentaires exclusifs pour les connexions VPN : les serveurs VPN utilisent les comptes d'utilisateurs spcifis dans les bases de donnes des comptes d'utilisateurs disponibles dans le cadre des systmes d'exploitation Windows Server 2003.

Fonctionnement de la scurit lors de la connexion

Les tapes suivantes dcrivent la procdure qui s'excute lors d'une tentative de connexion manant d'un client VPN utilisant le protocole PPTP (Point-to-Point Tunneling Protocol) avec un serveur VPN utilisant le protocole PPTP et excutant Windows Server 2003 : 1. 2. 3. 4. 5. Le client VPN cre un tunnel PPTP avec le serveur VPN. Le serveur envoie une interrogation (appele dfi) au client. Le client renvoie une rponse crypte au serveur. Le serveur vrifie la rponse par rapport la base de donnes des comptes d'utilisateurs.

Si le compte est valide, et la connexion autorise, le serveur accepte la connexion, sous rserve des stratgies d'accs distant et des proprits du compte d'utilisateur relatives au client VPN. Remarque

Les tapes 2 4 supposent que le client VPN et le serveur VPN utilisent les protocoles d'authentification MS-CHAP ou CHAP. L'envoi des informations d'identification du client peut se drouler diffremment pour les autres protocoles d'authentification.

Les tapes suivantes dcrivent la procdure qui s'excute lors d'une tentative de connexion manant d'un client VPN L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security) avec un serveur VPN L2TP/IPSec excutant Windows Server 2003. 1. 2. 3. 4. 5. 6. L'association de scurit IPSec est cre l'aide des certificats d'ordinateur et du processus de ngociation IKE (Internet Key Exchange). Le client VPN cre un tunnel L2TP avec le serveur VPN. Le serveur envoie une interrogation (appele dfi) au client. Le client renvoie une rponse crypte au serveur. Le serveur vrifie la rponse par rapport la base de donnes des comptes d'utilisateurs.

Si le compte est valide, et la connexion autorise, le serveur accepte la connexion, sous rserve des stratgies d'accs distant et des proprits du compte d'utilisateur relatives au client VPN. Remarque

Les tapes 3 5 supposent que le client VPN et le serveur VPN utilisent les protocoles d'authentification MS-CHAP v1 ou CHAP. L'envoi des informations d'identification du client peut se drouler diffremment pour les autres protocoles d'authentification.

Scurit aprs l'tablissement de la connexion

Aprs avoir franchi avec succs les tapes d'autorisation et d'authentification et s'tre connects au rseau local, les clients VPN des connexions VPN d'accs distant peuvent seulement accder aux ressources rseau pour lesquelles ils disposent d'une autorisation. Les clients des connexions VPN d'accs distant sont soumis aux mmes rgles de scurit des systmes d'exploitation Windows Server 2003 que les autres. Autrement dit, les clients des connexions VPN d'accs distant ne peuvent accomplir aucune opration pour laquelle ils ne disposent pas de droits suffisants, ni accder des ressources pour lesquelles ils ne possdent pas d'autorisation.

Le serveur VPN doit authentifier les clients VPN d'accs distant avant de leur permettre d'accder au rseau ou de gnrer du trafic. Cette authentification est une procdure part entire, indpendante de l'ouverture d'une session sur un domaine Windows Server 2003. Vous pouvez utiliser des filtres de paquets bass sur un profil de stratgie d'accs distant afin de limiter les connexions VPN d'accs distant pour le trafic IP. Grce aux filtres de paquets de profil, vous pouvez configurer le trafic IP qui est autoris sortir de la connexion (filtres de sortie) ou entrer dans celle-ci (filtres d'entre) selon le principe d'exception : soit tout le trafic d'accs distant sauf le trafic spcifi par les filtres, soit aucun trafic en dehors de celui indiqu par les filtres. Le filtrage des profils de stratgie d'accs distant s'applique toutes les connexions de ce type qui remplissent les conditions de la stratgie d'accs distant. Pour plus d'informations, voir lments d'une stratgie d'accs distant.

Mise en cache des informations d'identification

Lorsque les serveurs d'accs distant son configurs pour accepter les informations d'identification (nom d'utilisateur et mot de passe) de domaine d'un utilisateur comme moyen d'authentification des requtes d'accs, les informations d'identification utilises pour l'accs distant sont identiques celles qui doivent tre spcifies pour accder aux ressources rseau (telles que les serveurs de fichiers, les serveurs d'applications et les serveurs de messagerie). Chaque fois que le client d'accs distant tente d'accder un serveur du rseau, le serveur vrifie les informations d'identification du client pour garantir que seuls les utilisateurs autoriss peuvent utiliser les ressources serveur. Si l'ordinateur client est membre du domaine du serveur, le client rpond automatiquement l'aide des informations d'identification d'ouverture de session de l'utilisateur et peut accder aux ressources pour lesquelles l'utilisateur dispose d'autorisations de scurit. Si l'ordinateur client n'est pas membre du domaine du serveur (par exemple, si le client est un ordinateur personnel qui n'est pas membre du domaine), le client ne possde pas les informations d'identification d'ouverture de session appropries pour rpondre au dfi du serveur. Pour chaque ressource rseau laquelle il tente d'accder, l'utilisateur est invit entrer les informations d'identification sous peine de se voir refuser l'accs. Si le client excute Windows XP ou un systme d'exploitation Windows Server 2003, les informations d'identification utilises pour l'authentification auprs du serveur d'accs distant sont mises en cache, ou enregistres, par le client. Si le client qui n'est pas membre du domaine tente d'accder un serveur du domaine pour lequel il n'a pas dfini prcdemment ses informations d'identification, le client ragit au dfi du serveur l'aide des informations d'identification d'accs distant mises en cache et peut accder aux ressources pour lesquelles l'utilisateur dispose d'autorisations de scurit. Comme les informations de scurit sont mises en cache et envoyes automatiquement en rponse au dfi du serveur, les utilisateurs d'ordinateurs qui ne sont pas membres du domaine ne sont pas invits entrer ces informations chaque tentative d'accs aux ressources rseau.

2.Authentification des clients VPN

Authentification
L'authentification des clients de rseaux privs virtuels (VPN, Virtual Private Network) par le serveur VPN est un souci majeur en matire de scurit. L'authentification s'accomplit deux niveaux : 1. Authentification de niveau ordinateur Lorsque IPSec (Internet Protocol Security) est appliqu une connexion VPN utilisant le protocole L2TP (Layer Two Tunneling Protocol) sur IPSec (L2TP/IPSec), l'authentification de niveau ordinateur se droule par l'change de certificats d'ordinateur ou d'une cl prpartage pendant l'tablissement de l'association de scurit IPSec. Pour plus d'informations, voir Internet Key Exchange (IKE). Authentification de niveau utilisateur Le client d'accs distant ou le routeur d'accs la demande sollicitant la connexion VPN doit tre authentifi avant l'envoi de donnes via le tunnel PPTP ou L2TP (Point-to-Point Tunneling Protocol). L'authentification au niveau de l'utilisateur s'accomplit par l'application d'une mthode d'authentification PPP (Point-to-Point Protocol). Pour plus d'informations, voir Mthodes d'authentification d'accs distant.

2.

Pour plus d'informations, voir Authentification et certificats d'accs au rseau.

3.Cryptage des donnes entre serveur VPN et client VPN

Cryptage des donnes
Vous devez recourir au cryptage des donnes pour assurer la confidentialit des donnes changes entre le client VPN et le serveur VPN sur un rseau partag ou public, o il existe toujours un risque d'interception non autorise. Vous pouvez configurer le serveur VPN de manire forcer des communications cryptes. Les utilisateurs qui se connectent ce serveur doivent crypter leurs donnes, sinon la connexion leur sera refuse. Pour les connexions VPN, la famille Windows Server 2003 utilise MPPE (Microsoft Point-to-Point Encryption) avec le cryptage PPTP (Point-to-Point Tunneling Protocol) et IPSec (Internet Protocol security) conjointement avec L2TP (Layer Two Tunneling Protocol). Comme le cryptage des donnes survient entre le client VPN et le serveur VPN, il n'est pas ncessaire de l'appliquer la liaison de communication entre un client d'accs distant et son fournisseur de services Internet. Par exemple, un utilisateur itinrant a recours une connexion d'accs distant pour se connecter un fournisseur de services Internet local. Une fois la connexion Internet tablie, l'utilisateur cre une connexion VPN avec le serveur VPN de l'entreprise. Si la connexion VPN est crypte, le cryptage n'est pas ncessaire pour la connexion d'accs distant entre l'utilisateur et son fournisseur de services Internet. Remarques

Le cryptage des donnes pour les connexions de type PPP (Point -to-Point Protocol) ou PPTP n'est possible que si vous utilisez MS-CHAP, MS-CHAP v2 ou EAP-TLS comme mthode d'authentification au niveau utilisateur. Le cryptage des donnes pour les connexions L2TP repose sur l'authentification IPSec de niveau ordinateur, qui n'exige aucune mthode spcifique d'authentification au niveau utilisateur. Le cryptage des donnes VPN n'assure pas un cryptage des donnes de bout en bout. Le cryptage de bout en bout est un cryptage des donnes entre l'application cliente et le serveur hbergeant la ressource ou le service accessible l'application cliente. Pour obtenir un cryptage de bout en bout des donnes, utilisez IPSec pour crer une connexion scurise aprs avoir tabli la connexion VPN.

4.Utilisation du filtrage de paquets

Filtrage de paquets
Pour empcher le serveur VPN d'envoyer ou de recevoir du trafic sur son interface Internet en dehors du trafic VPN, vous devez utiliser des filtres d'entre ou de sortie PPTP ou L2TP/IPSec sur l'interface correspondant la connexion Internet. Pour les connexions VPN routeur routeur, vous devez galement configurer le routeur appelant (le client VPN) avec des filtres de paquets PPTP ou L2TP/IPSec. Cette tape s'effectue automatiquement lorsque vous configurez votre serveur d'accs distant l'aide de l'Assistant Installation de l'accs distant et de routage. tant donn que le routage IP est, par dfaut, activ sur les interfaces d'intranet et l'interface correspondant la connexion Internet, l'ordinateur excutant un systme d'exploitation Windows Server 2003 achemine les paquets IP entre Internet et votre intranet. Vous bnficiez ainsi d'une connexion route directe entre votre intranet et d'ventuels intrus svissant sur Internet. Pour protger votre intranet de faon qu'il ne reoive que le trafic envoy et reu via des connexions VPN scurises, vous devez utiliser des filtres PPTP ou L2TP/IPSec sur l'interface Internet. Si vous disposez d'un pare-feu, vous devez configurer les filtres de paquet sur celui-ci afin d'autoriser le trafic entre le routeur VPN et les routeurs Internet. Pour plus d'informations, voir Configuration du parefeu et des serveurs VPN. Pour plus d'informations sur les filtres PPTP, voir Ajouter des filtres PPTP. Pour plus d'informations sur les filtres L2TP/IPSec, voir Ajouter des filtres L2TP via IPSec.