Académique Documents
Professionnel Documents
Culture Documents
2. 3.
4. 5.
Suivez les instructions qui s'affichent dans l'Assistant Installation du serveur de routage et d'accs distant. Remarque
Pour excuter cette procdure, vous devez tre membre du groupe Administrateurs. En tant que mthode conseille relative la scurit, pensez utiliser la commande Excuter en tant que plutt que d'ouvrir une session avec les informations d'identification d'administration. Si vous avez ouvert une session avec les informations d'identification d'administration, vous pouvez galement ouvrir Routage et accs distant en cliquant sur Dmarrer, en pointant sur Panneau de configuration, en double-cliquant sur Outils d'administration, puis sur Routage et accs distant. Pour plus d'informations, voir Groupes locaux par dfaut, Groupes par dfaut et Uilisation de Excuter en tant que.
y y
Il n'existe, pour ce composant, aucune diffrence significative entre l'interface utilisateur de Windows 2000, Windows XP et des produits de la famille Windows Server 2003. Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1.000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1.000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1.000 connexions VPN simultanes. Si 1.000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1.000.
Utiliser le serveur VPN pour allouer des baux d'adresses IP des clients d'accs distant. Si votre serveur VPN traite plus de 20 connexions d'accs distant simultanes, utilisez-le pour allouer des baux d'adresses IP des clients d'accs distant. Lors de la cration du pool d'adresses IP sur le serveur VPN, prenez soin de ne pas allouer d'adresses dj utilises par des serveurs DHCP sur votre rseau. Si vous n'avez pas install de serveur DHCP et que vous disposez d'un sous-rseau unique comprenant des ordinateurs configurs avec des adresses IP statiques, configurez le serveur VPN avec un pool d'adresses IP reprsentant un sous-ensemble d'adresses du sous-rseau auquel le serveur VPN est reli. Pour plus d'informations, consultez Crer un pool d'adresses IP statiques. Utiliser une authentification renforce.
y y
Utilisez des mots de passe renforcs de plus de 8 caractres, qui mlent des lettres majuscules et minuscules, des chiffres et des signes de ponctuation autoriss. N'utilisez pas de mots de passe correspondant des noms ou des mots. Les mots de passe renforcs offrent une meilleure rsistance aux tentatives de piratage l'aide de dictionnaires d'analyse, lorsqu'un utilisateur non autoris tente de deviner un mot de passe en envoyant une srie de noms et de mots couramment utiliss. Bien que le protocole EAP-TLS fonctionne avec des certificats utilisateur provenant du Registre, il est vivement recommand d'utiliser le protocole EAP-TLS exclusivement avec des cartes puce pour les connexions VPN d'accs distant. Les cartes puce sont distribues des utilisateurs de confiance et ncessitent un numro d'identification personnel (PIN). Elles offrent donc une scurit accrue par rapport aux certificats d'utilisateur bass sur le Registre. Si vous utilisez une authentification d'utilisateur axe sur les mots de passe, appliquez MSCHAP version 2. Vous pouvez obtenir, auprs de Microsoft, les dernires mises jour de MSCHAP pour les clients VPN tournant sous Windows NT 4.0, Windows 98 et Windows 95. Pour plus d'informations, consultez Protocole MS-CHAP version 2. Utiliser une mthode de cryptage renforc. Utilisez le plus fort niveau de cryptage que vous permet votre situation. Les niveaux de cryptage disponibles lors de la configuration des proprits de profil d'une stratgie d'accs distant sont : De base, Renforc et Maximal. Pour plus d'informations, consultez Configurer le cryptage et lments d'une stratgie d'accs distant.
Concept vpn
Vue densemble
A .Informations de scurit pour les VPN
Informations de scurit pour les VPN
Il est important de suivre les mthodes conseilles en matire de scurit lors de l'utilisation de serveurs VPN sur votre rseau. Pour plus d'informations, consultez Mthodes conseilles pour la scurit. Si vos serveurs VPN sont configurs en tant que clients RADIUS (Remote Authentication Dial-In User Service), consultez Informations de scurit pour le service IAS. Vous trouverez ci-aprs une liste de problmes connus relatifs la scurit des connexions VPN : Un grand nombre de mthodes d'authentification sont trop faibles pour assurer un niveau de scurit adquat dans la plupart des organisations. Un grand nombre d'organisations utilisent des mthodes d'authentification qui exposent leur rseau toute une srie d'attaques de la scurit. Utilise conjointement avec des cartes puce, EAP-TLS (Extensible Authentication Protocol-Transport Level Security) constitue la mthode d'authentification la plus sre. Toutefois, EAP-TLS et les cartes puce requirent une infrastructure cls publiques (PKI, Public Key Infrastructure) qui peut s'avrer complique dployer. Recommandations :
Si vous utilisez l'authentification par mot de passe, appliquez des stratgies de mot de passe renforc sur votre rseau afin de rendre les attaques de dictionnaire plus difficiles. Pour plus d'informations, consultezMots de passe forts. Vrifiez si les protocoles PAP (Password Authentication Protocol), SPAP (Shiva Password Authentication Protocol) et CHAP (Challenge Handshake Authentication Protocol) sont dsactivs. Ces protocoles sont dsactivs par dfaut sur le profil d'une stratgie d'accs distant. Dsactivez le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol). Ce protocole est activ par dfaut sur le profil d'une stratgie d'accs distant. Avant de dsactiver le protocole MS-CHAP, vrifiez si tous les clients de votre serveur d'accs sont capables d'utiliser le protocole MS-CHAP version 2 (MS-CHAP v2). Si votre serveur n'excute pas Microsoft Windows Server 2003, vous aurez besoin des Service Pack les plus rcents ainsi que des dernires mises jour de l'accs rseau distance pour prendre en charge le protocole MS-CHAP v2. Si vous ne dsactivez pas le protocole MS-CHAP, dsactivez l'authentification LAN Manager pour MS-CHAP. L'authentification LAN Manager pour MS-CHAP est active par dfaut sur les clients excutant d'anciennes versions de Windows.
Pour dsactiver l'authentification LAN Manager, dfinissez la valeur de Registre Allow LM Authenticationsur 0 dans la cl de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy Attention
Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant d'apporter des modifications au Registre, sauvegardez toutes les donnes importantes de l'ordinateur. Remarque
y y y
Vous pouvez modifier une entre dans le Registre l'aide de l'diteur du Registre. Pour plus d'informations, consultez diteur du Registre et Modifier une valeur. Vrifiez si le protocole MS-CHAP v2 est activ. Ce protocole est activ par dfaut sur le profil d'une stratgie d'accs distant. Pour les clients sans fil excutant Windows XP, activez le protocole PEAP (Protected Extensible Authentication Protocol) avec EAP-MS-CHAP v2. Le protocole PEAP avec EAP-MS-CHAP v2 offre l'authentification mutuelle : le serveur IAS est authentifi l'aide d'un certificat, tandis que l'authentification de l'utilisateur s'excute l'aide d'informations d'identification bases sur un mot de passe. Pour plus d'informations, consultez Nouvelles fonctionnalits pour le service IAS. Pour obtenir un exemple de stratgie d'accs distant qui utilise le protocole, consultez Accs sans fil avec authentification par mot de passe scuris. Activez EAP-TLS. EAP-TLS est dsactiv par dfaut sur le profil d'une stratgie d'accs distant. Lorsque vous utilisez le protocole d'authentification EAP-TLS, vous devez installer un certificat d'ordinateur sur le serveur IAS. Pour l'authentification de l'utilisateur et du client, vous pouvez installer un certificat sur l'ordinateur client ou utiliser des cartes puce. Avant de dployer des certificats, vous devez crer le certificat en respectant les contraintes applicables. Pour plus d'informations, consultez Authentification et certificats d'accs au rseau et Certificats d'ordinateurs pour l'authentification par certificat. Le verrouillage de compte d'accs distant peut empcher les utilisateurs autoriss d'accder au rseau. Si, tandis que le verrouillage de compte d'accs distant est activ, un utilisateur malveillant tente de se livrer une attaque de dictionnaire en utilisant le nom d'ouverture de session d'un utilisateur autoris, l'utilisateur malveillant et l'utilisateur autoris ne peuvent plus accder au compte jusqu' ce que son seuil de verrouillage soit atteint.
Recommandations :
y y
Soyez prudent lors de la dfinition de la stratgie de verrouillage du compte. Pour plus d'informations, consultez Mthodes conseilles pour les mots de passe.
Lorsque le seuil de verrouillage d'un compte utilisateur est rinitialis suite une authentification ou une rinitialisation automatique russie, la sous-cl du Registre du compte d'utilisateur est supprime. Pour dverrouiller manuellement un compte d'utilisateur (avant la rinitialisation automatique du seuil de verrouillage du compte), supprimez la sous-cl de Registre suivante, qui correspond au nom du compte de l'utilisateur : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Paramet ers\AccountLockout\NomDomaine:NomUtilisateur Attention Toute modification incorrecte du Registre peut endommager gravement votre systme. Avant d'apporter des modifications au Registre, sauvegardez toutes les donnes importantes de l'ordinateur. Remarques
y y
Vous pouvez modifier une entre dans le Registre l'aide de l'diteur du Registre. Pour plus d'informations, consultez diteur du Registre et Modifier une valeur. Le verrouillage de compte d'accs distant n'est pas li au paramtre Compte verrouill de l'ongletCompte des proprits d'un compte d'utilisateur. Le verrouillage de compte d'accs distant ne fait pas la diffrence entre les utilisateurs malveillants, qui tentent d'accder votre intranet, et les vritables utilisateurs, qui tentent de se connecter distance mais qui ont oubli leur mot de passe en cours. Les utilisateurs ayant oubli leur mot de passe en cours essaient gnralement le mot de passe dont ils croient se souvenir et, selon le nombre de tentatives et le paramtre MaxDenials, s'exposent au verrouillage de leur compte. Le paramtre de niveau fonctionnel de domaine par dfaut (Windows 2000 mixte) peut crer des dfaillances de la scurit. Il est conseill, dans la mesure du possible, d'utiliser uniquement des serveurs fonctionnant sous Windows 2000 ou Windows Server 2003. L'utilisation conjointe de serveurs excutant Routage et accs distant et de serveurs fonctionnant sous Windows NT 4.0 avec le service d'accs distant (RAS) ou le service de routage et accs distant (RRAS) affecte la scurit du rseau. Pour plus
d'informations, consultezFonctionnalit des domaines et des forts et Serveur membre d'un domaine.
Les utilisateurs travaillant domicile ou qui se dplacent normment peuvent recourir aux connexions VPN pour accder distance un serveur d'entreprise en empruntant l'infrastructure fournie par un rseau public, tel que l'Internet. Pour l'utilisateur, la connexion VPN est tout simplement une liaison point point entre l'ordinateur (le client VPN) et un serveur d'entreprise (le serveur VPN). La nature exacte du rseau partag ou public a peu d'importance dans la mesure o elle apparat logiquement comme si les donnes sont envoyes dans le cadre d'une liaison prive ddie. Les organisations peuvent galement utiliser des connexions VPN pour tablir des connexions routes avec des succursales loignes gographiquement ou avec d'autres organisations par le biais d'un rseau public, tel que l'Internet, tout en bnficiant de communications scurises. Une connexion VPN route travers Internet fonctionne logiquement comme une liaison de rseau tendu (WAN, Wide Area Network) ddie. Grce la fois l'accs distant et aux connexions routes, une organisation peut faire appel aux connexions VPN pour remplacer ses connexions d'accs longue distance ou ses lignes spcialises par une connexion d'accs locale ou des lignes spcialises la reliant un fournisseur de services Internet (ISP, Internet Service Provider). Remarque
Sur Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Ed ition ne peut accepter qu'une seule connexion VPN (virtual private network) la fois. Pour plus d'informations sur la disponibilit de cette fonctionnalit sur Windows Server 2003, Web Edition, voir Vue d'ensemble de Windows Server 2003, Web Edition. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.
Il existe deux types de technologies VPN utilisant le protocole PPP (Point-to-Point Protocol) dans la famille Microsoft Windows 2003 : 1. Le protocole PPTP (Point-to-Point Tunneling Protocol) Le protocole PPTP utilise des mthodes d'authentification PPP (Point-to-Point Protocol) au niveau utilisateur et MPPE (Microsoft Point-to-Point Encryption) pour le cryptage des donnes. Le protocole L2TP (Layer Two Tunneling Protocol) associ au standard IPSec (Internet Protocol security) Le protocole L2TP utilise des mthodes d'authentification PPP au niveau utilisateur et des certificats d'ordinateur en association avec IPSec pour le cryptage des donnes, ou encore IPSec en mode de tunnel, dans lequel IPSec se charge d'effectuer l'encapsulation (pour le trafic IP uniquement).
2.
Transparence de la traduction des adresses rseau (NAT, Network Address Translation) Les serveurs VPN excutant Windows Server 2003 prennent en charge le trafic L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol security) qui provient des clients VPN derrire les NAT. Pour que cette fonctionnalit fonctionne correctement, l'ordinateur client doit prendre en charge les projets de normes Internet suivants manant du Groupe de travail du protocole IPSec :
y y
Negotiation of NAT-Traversal in the IKE (draft-ietf-ipsec-nat-t-ike-02.txt). UDP Encapsulation of IPsec Packets (draft-ietf-ipsec-udp-encaps-02.txt).
Important
Un dploiement NAT-T IPSec de Windows qui inclut des serveurs VPN situs sous les traducteurs d'adresses rseau n'est pas recommand. Dans ce cas en effet, la faon dont les traducteurs d'adresses rseau traduisent le trafic rseau risque de provoquer un comportement inattendu. Dploiement d'un VPN avec quilibrage de charge rseau Les serveurs VPN excutant Windows Server 2003 prennent en charge le dploiement VPN conjointement avec l'quilibrage de charge rseau pour crer des solutions VPN haute disponibilit. La prise en charge est incluse pour les solutions VPN PPTP (Point-to-Point Tunneling Protocol) et 2TP/IPSec avec l'quilibrage de charge rseau. Proxy de rsolution de noms NetBIOS sur TCP/IP (NetBT) Lorsqu'un client VPN d'accs distant se connecte un serveur VPN, la rsolution de noms repose sur des serveurs DNS ou WINS du rseau cible. Les serveurs DNS et WINS sont courants dans les organisations qui utilisent DNS pour la rsolution de noms d'htes ou WINS pour la rsolution de noms NetBIOS. Ils sont cependant rares dans un environnement de petite entreprise ou domestique. Dans ce cas, les noms des ordinateurs sur lesquels des communications tentent de s'tablir doivent tre rsolus autrement pour que la communication puisse s'tablir. Les noms NetBIOS peuvent tre rsolus sans qu'il soit fait appel un serveur WINS ou DNS par un serveur VPN excutant Windows Server 2003, car le proxy NetBT est intgr aux systmes d'exploitation Windows Server 2003. Avec le proxy NetBT, les clients VPN connects et les n uds prsents sur les segments de rseau auxquels le serveur VPN est connect peuvent rsoudre leurs noms NetBIOS respectifs de la manire suivante : 1. Lorsqu'un client VPN doit convertir un nom en une adresse IP alors qu'aucun serveur WINS ou DNS n'est configur, il envoie un paquet de requtes de noms NetBIOS au serveur VPN. Si un n ud d'un segment de rseau connect au serveur VPN doit convertir un nom en une adresse IP alors qu'aucun serveur WINS ou DNS n'est configur, il envoie un paquet de requtes de noms NetBIOS sous la forme d'une diffusion sur le segment de rseau. Le serveur VPN reoit le paquet de requtes de noms NetBIOS, vrifie son cache local de noms NetBIOS rsolus et, s'il trouve le nom, transmet la requte de noms NetBIOS sous la forme d'une diffusion NetBIOS sur toutes les interfaces connectes, l'exception de l'interface logique connecte chacun des clients VPN. Le n ud qui a enregistr le nom NetBIOS envoie au serveur VPN une rponse positive la requte de noms NetBIOS. Le serveur VPN reoit la rponse positive la requte de noms NetBIOS et la transmet au n ud d'envoi sur l'interface d'o provient le paquet de requtes de noms NetBIOS.
2.
3. 4.
Par consquent, les n uds prsents sur les segments de rseau connects au serveur VPN (ainsi que l'ensemble des clients VPN connects) peuvent convertir automatiquement leurs noms respectifs en l'absence de serveur WINS ou DNS. Configuration des cls prpartages pour les connexions L2TP La famille Windows Server 2003 prend en charge la fois les certificats d'ordinateur et une cl prpartage comme mthodes d'authentification afin d'tablir une association de scurit IPSec pour les connexions L2TP. Une cl prpartage est une chane de texte configure la fois sur le client et le serveur VPN. C'est une mthode d'authentification relativement faible adopter uniquement durant le dploiement de votre infrastructure de cls publiques (PKI) pour l'obtention de certificats d'ordinateurs ou lorsqu'elle est exige par les clients VPN. Vous pouvez activer l'utilisation d'une cl prpartage pour les connexions L2TP et spcifier la cl prpartage dans l'onglet Scurit de la bote de dialogue des proprits d'un serveur excutant Routage et accs distant. Pour plus d'informations, voir Afficher les proprits du serveur d'accs distant. L'authentification par cl prpartage est galement prise en charge par les clients VPN d'accs distant excutant Windows XP. Vous pouvez activer l'authentification par cl prpartage et configurer une cl prpartage en cliquant sur le bouton Paramtres IPSec de l'onglet Scurit de la bote de dialogue des proprits de la connexion VPN (accessible via les Connexions rseau). Pour plus d'informations, voirConfigurer une cl prpartage sur un client d'accs distant. L'authentification par cl prpartage est galement prise en charge pour les connexions VPN routeur routeur entre des ordinateurs excutant un systme d'exploitation Windows Server 2003. Vous pouvez activer l'authentification par cl prpartage et configurer une cl prpartage pour les interfaces d'accs la demande en cliquant sur le bouton Paramtres IPSec de l'onglet Scurit de la bote de dialogue des proprits d'une interface d'accs la demande accessible dans Routage et accs distant. Pour plus d'informations, voir Configurer une cl prpartage pour une interface de routage d'accs la demande etConfigurer une cl prpartage sur un serveur d'accs distant. Les nouvelles fonctionnalits suivantes relatives aux rseaux privs virtuels sont apparues dans Windows 2000 :
L2TP Outre PPTP, la famille Windows Server 2003 inclut la norme industrielle L2TP, qui est utilise conjointement avec IPSec pour crer des connexions rseau priv virtuel scurises. L'utilisation conjointe de L2TP et d'IPSec est connue sous la dsignation L2TP/IPSec. Stratgies d'accs distant Les stratgies d'accs distant forment un ensemble de conditions et de paramtres de connexion qui offre aux administrateurs de rseau une plus grande souplesse lors de la dfinition des autorisations d'accs distant et des contraintes de connexion. Avec les stratgies d'accs distant, vous pouvez imposer l'utilisation d'une puissante mthode d'authentification et de cryptage pour les utilisateurs VPN et un ensemble diffrent de contraintes au niveau de l'authentification et du cryptage pour les utilisateurs d'accs distant. Pour plus d'informations, voir Stratgies d'accs distant. Protocole MS-CHAP version 2 Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) version 2 renforce considrablement la scurit au niveau du transfert des informations d'identification et de la gnration des cls de cryptage pendant la ngociation d'une connexion d'accs distant. Le protocole MS-CHAP version 2 a t spcialement conu pour authentifier les connexions rseau priv virtuel. Pour plus d'informations, voir Protocole MS-CHAP version 2. Protocole EAP Le protocole EAP (Extensible Authentication Protocol) permet l'application de nouvelles mthodes d'authentification, une fonction d'une grande importance pour le dploiement de la scurit reposant sur les cartes puce. Le protocole EAP est une architecture qui permet aux autres modules d'authentification de s'intgrer dans le protocole PPP dans Windows 2000, Windows XP et les produits de la famille Windows Server 2003. EAP-MD5 CHAP et EAP-TLS (utiliss pour l'authentification base sur carte puce et sur certificat) sont pris en charge. Vous pouvez configurer votre serveur VPN de manire ce qu'il prenne en charge l'authentification ou de faon ce qu'il transmette des requtes d'authentification aux serveurs RADIUS. Pour plus d'informations, voir Protocole EAP et Service d'authentification Internet.
Verrouillage du compte d'accs distant Le verrouillage de compte d'accs distant est une fonctionnalit de scurit qui interdit l'accs aprs l'chec d'un nombre prdfini de tentatives de connexion. Cette fonctionnalit est destine empcher les tentatives de piratage l'aide de dictionnaires d'analyse. Il y a tentative de piratage l'aide d'un dictionnaire d'analyse lorsqu'un utilisateur non autoris essaie de se connecter en utilisant un nom d'utilisateur connu et une liste de mots courants comme mot de passe. Le verrouillage de compte d'accs distant est dsactiv par dfaut. Pour plus d'informations, voir Verrouillage des comptes d'accs distant.
D .Connexions VPN
Connexions VPN
La cration d'une connexion VPN s'apparente l'tablissement d'une connexion point point par le biais de connexions d'accs distant et de routage d'accs la demande. Il existe deux types de connexion VPN :
y y
Remarque
Sur Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN (virtual private network) la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.
Les ordinateurs fonctionnant sous Microsoft Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows Millennium Edition, Windows XP ou un systme d'exploitation de la famille Windows Server 2003 peuvent crer des connexions VPN d'accs distant un serveur VPN qui excute Windows Server 2003. Tout client non-Microsoft prenant en charge le protocole PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol) avec IPSec (Internet Protocol security) peut devenir un client VPN.
Pour plus d'informations sur les protocoles PPTP et L2TP, voir Prsentation des protocoles de tunnel VPN. Pour plus d'informations sur le dploiement de connexions VPN d'accs distant, voir Dploiement des VPN pour l'accs distant. Pour obtenir un exemple d'implmentation de connexions VPN d'accs distant, voir Exemples d'implmentation d'un rseau priv virtuel.
Pour plus d'informations sur le dploiement de connexions VPN d'accs distant sur Internet, consultez Dploiement des VPN pour l'accs distant. Pour obtenir un exemple d'implmentation d'une connexion VPN d'accs distant sur Internet, consultez Exemples d'implmentation d'un rseau priv virtuel.
de connexions VPN routeur routeur sur Internet, consultez Exemples d'implmentation d'un rseau priv virtuel. Remarque
Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition, ne peut accepter qu'une seule connexion VPN (Virtual Private Network) la fois. Windows Server 2003, Standard Edition, peut accepter jusqu' 1000 connexions VPN simultanes. Si 1000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1000.
Pour plus d'informations sur le dploiement de connexions VPN d'accs distant sur un intranet, voir Dploiement des VPN pour l'accs distant.
qui agissent comme des routeurs VPN. Une fois la connexion VPN tablie, les utilisateurs dont les ordinateurs sont relis l'un ou l'autre rseau peuvent changer des donnes critiques travers l'intranet de l'entreprise. L'illustration suivante reprsente la connexion de rseaux via un intranet.
Pour plus d'informations sur le dploiement de connexions VPN routeur routeur sur un intranet, voir Dploiement de connexions VPN routeur routeur. Remarque
Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1000 connexions VPN simultanes. Si 1000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1000.
y y
Serveur VPN Ordinateur acceptant les connexions VPN manant de clients VPN. Client VPN Ordinateur amorant une connexion VPN avec un serveur VPN. Un client VPN peut tre un routeur ou un ordinateur individuel. Tunnel Segment de la connexion dans lequel les donnes sont encapsules. Connexion VPN Segment de la connexion dans lequel les donnes sont cryptes. Pour des connexions VPN scurises types, les donnes sont cryptes et encapsules dans le mme segment de la connexion. Remarque
y y
Il est possible de crer un tunnel et d'envoyer des donnes par ce biais sans cryptage. Il ne s'agit alors pas d'une connexion VPN car les donnes prives transitent par un rseau partag ou public sous une forme non crypte et donc aisment dchiffrable. Protocoles de tunneling Protocoles utiliss pour grer les tunnels et encapsuler des donnes prives. Les donnes encapsules (places dans un tunnel) doivent galement tre cryptes pour constituer une connexion VPN. Les systmes d'exploitation de la famille Windows Server 2003 offrent les protocoles de tunneling PPTP et L2TP. Pour plus d'informations, voir Protocole PPTP et Protocole L2TP (Layer Two Tunneling Protocol). Donnes transmises via une connexion tunnel Donnes achemines gnralement via une liaison point point prive. Rseau d'interconnexion de transit Rseau partag ou public par lequel transitent les donnes encapsules. Pour les systmes d'exploitation de la famille Windows Server 2003, le rseau d'interconnexion de transit est toujours un rseau d'interconnexion IP. Le rseau d'interconnexion de transit peut tre Internet ou un intranet priv de type IP.
y y
Remarques
En principe, le tunnel et la connexion VPN occupent le mme segment de la connexion. Cependant, dans un tunneling obligatoire, le tunnel (l'encapsulation) et la connexion VPN (le cryptage) ne sont pas dfinis dans le mme segment de la connexion. Sous Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1.000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1.000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1.000 connexions VPN simultanes. Si 1.000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1.000.
y y y
Encapsulation
Avec la technologie VPN, les donnes prives sont encapsules l'aide d'un en-tte contenant les informations de routage, ce qui leur permet de traverser le rseau d'interconnexion de transit. Pour des exemples d'encapsulation, voir Prsentation des protocoles de tunnel VPN.
Authentification
L'authentification des connexions VPN prend trois formes diffrentes : 1. Authentification de niveau utilisateur appliquant l'authentification PPP Pour tablir la connexion VPN, le serveur VPN authentifie le client VPN qui tente d'amorcer la connexion en appliquant une mthode d'authentification de niveau utilisateur PPP (Point -to-Point Protocol) et vrifie que le client VPN dispose des autorisations adquates. Si l'authentification mutuelle est utilise, le client VPN authentifie galement le serveur VPN, ce qui empche toute usurpation d'identit des serveurs VPN par des ordinateurs. Authentification de niveau ordinateur l'aide du protocole IKE Pour tablir une association de scurit IPSec, le client VPN et le serveur VPN recourent au protocole IKE (Internet Key Exchange) afin d'changer leurs certificats d'ordinateur ou une cl pr-partage. Dans les deux cas, le client et le serveur VPN s'authentifient rciproquement au niveau ordinateur. L'authentification des certificats d'ordinateur est vivement recommande, car il s'agit d'une mthode d'authentification bien plus efficace. Pour plus d'informations, voir Internet Key Exchange (IKE). L'authentification au niveau ordinateur n'est effectue que pour les connexions L2TP/IPSec. Authentification de l'origine et intgrit des donnes Pour vrifier que les donnes transportes par la connexion VPN proviennent bien de l'autre extrmit de la connexion et n'ont pas t modifies en cours d'acheminement, les donnes contiennent une somme de contrle cryptographique base sur une cl de cryptage connue des seuls expditeur et destinataire. L'authentification de l'origine et l'intgrit des donnes s'appliquent seulement aux connexions L2TP/IPSec.
2.
3.
Sur Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter
qu'une seule connexion VPN (virtual private network) la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.
Une connexion VPN routeur routeur d'accs distant se compose de deux interfaces de numrotation la demande et de deux itinraires statiques, qui sont configurs sur le client VPN (le routeur appelant) : 1. 2. 3. 4. Une interface d'accs la demande pour appeler un fournisseur de services Internet local. Une interface d'accs la demande pour la connexion VPN routeur routeur. Un itinraire hte statique pour se connecter dynamiquement Internet. Un itinraire statique pour joindre l'adresse de la socit mre.
Une connexion VPN routeur routeur d'accs distant s'tablit automatiquement lorsque vous routez du trafic vers une adresse spcifique. Par exemple, dans une configuration compose de filiales, lorsqu'un paquet est reu pour tre rout vers la socit mre, le routeur de la filiale utilise une liaison d'accs distant pour se connecter un fournisseur de services Internet local, puis cre une connexion VPN routeur routeur, avec le routeur de la socit mre sur Internet. Remarque
Cet exemple part de l'hypothse que le routeur de la socit mre (le routeur rpondant) est connect Internet l'aide d'une liaison permanente de rseau tendu (WAN). Il est possible que les deux routeurs soient connects Internet l'aide d'une liaison tendue (WAN) d'accs distant. Cependant, cela n'est possible que si le fournisseur de services Internet gre le routage d'accs la demande en direction des clients ; le fournisseur de services Internet appelle le routeur du client lorsqu'un datagramme IP doit tre remis au client. Le routage d'accs la demande en direction des clients n'est pas pris en charge par la totalit des fournisseurs de services Internet.
Pour configurer une connexion VPN routeur routeur d'accs distant sur le routeur de la filiale, effectuez les actions suivantes :
1.
Crez une interface d'accs la demande associe la connexion Internet configure pour l'quipement appropri (un modem ou un priphrique RNIS), le numro de tlphone du fournisseur de services Internet local et le nom d'utilisateur ainsi que le mot de passe permettant d'accder Internet. Crez une interface d'accs la demande pour la connexion VPN au routeur de la socit mre, qui soit configure pour un port VPN (PPTP ou L2TP), l'adresse IP de l'interface sur Internet pour le routeur de la socit mre, et le nom d'utilisateur ainsi qu'un mot de passe vrifiables par le serveur VPN. Le nom d'utilisateur doit correspondre au nom d'une interface d'accs la demande sur le routeur de la socit mre. Crez un itinraire hte statique vers le routeur de la socit mre qui utilise l'interface d'accs la demande du fournisseur de services Internet. Crez un itinraire statique (ou plusieurs) pour les ID de rseau IP de l'intranet de socit, qui utilise l'interface d'accs la demande VPN.
2.
3. 4.
Pour configurer le routeur de la socit mre, effectuez les actions suivantes : 1. Crez une interface d'accs la demande pour la connexion VPN la filiale, qui soit configure pour un priphrique VPN (port PPTP ou L2TP). L'interface d'accs la demande doit possder le mme nom que le nom d'utilisateur contenu dans l'information d'identification pour authentification, qui est utilise par le routeur de la filiale afin de crer la connexion VPN. Crez un itinraire statique (ou plusieurs) pour les ID de rseau IP de la filiale, qui utilise l'interface d'accs la demande VPN.
2.
La connexion VPN routeur routeur est automatiquement dmarre par le routeur de la filiale de la faon suivante : 1. 2. 3. 4. 5. Les paquets envoys l'adresse rseau d'un concentrateur de la socit, depuis un ordinateur de la filiale, sont transmis au routeur de la filiale. Le routeur de la filiale consulte sa table de routage et trouve un itinraire vers l'ID rseau intranet de la socit, qui utilise l'interface d'accs la demande VPN. Le routeur de la filiale contrle l'tat de l'interface d'accs la demande VPN, et trouve celle-ci dconnecte. Le routeur de la filiale rcupre la configuration de l'interface d'accs la demande VPN. En fonction de la configuration de l'interface d'accs la demande VPN, le routeur de la filiale tente d'initialiser une connexion VPN routeur routeur, l'adresse IP du routeur de la socit mre sur Internet. Pour tablir une connexion VPN, un paquet TCP (via PPTP) ou UDP (via L2TP/IPSec) doit tre envoy au routeur de la socit mre qui fait office de serveur VPN. Le paquet d'tablissement de la connexion VPN est cr. Pour transfrer le paquet d'tablissement de la connexion VPN vers le routeur de la socit mre, le routeur de la filiale consulte sa table de routage et dcouvre que l'itinraire hte utilise l'interface d'accs la demande du fournisseur de services Internet. Le routeur de la filiale contrle l'tat de l'interface d'accs la demande du fournisseur de services Internet, et trouve celle-ci dconnecte. Le routeur de la filiale rcupre la configuration de l'interface d'accs la demande du fournisseur de services Internet.
6.
7.
8. 9.
10. En fonction de la configuration de l'interface d'accs la demande du fournisseur de services Internet, le routeur de la filiale utilise son modem pour appeler et tablir une connexion avec son fournisseur de services Internet local. 11. Une fois la connexion tablie avec le fournisseur de services Internet, le paquet d'tablissement de la connexion VPN est envoy au routeur de la socit mre. 12. Une connexion VPN routeur routeur est ngocie entre le routeur de la filiale et le routeur de la socit mre. Durant la ngociation, le routeur de la filiale envoie des informations d'identification qui sont vrifies par le routeur de la socit mre. 13. Le routeur de la socit mre contrle ses interfaces d'accs la demande et en trouve une qui correspond au nom d'utilisateur envoy durant la phase d'authentification, aussi, il fait prendre l'interface l'tat connect. 14. Le routeur de la filiale transmet le paquet rout par la connexion VPN, puis le routeur de la socit mre transmet ce paquet vers l'adresse intranet approprie.
15. Lorsque l'adresse intranet rpond au paquet envoy par un utilisateur de la filiale, le paquet est transmis au routeur de la socit mre. 16. Le routeur de la socit mre consulte sa table de routage et trouve un itinraire vers le rseau de la filiale, qui utilise l'interface d'accs la demande VPN. 17. Le routeur de la socit mre contrle l'tat de l'interface d'accs la demande VPN, et trouve celle-ci connecte. 18. Le paquet de rponse est transmis sur Internet via la connexion VPN. 19. Le paquet de rponse est reu par le routeur de la filiale et transmis l'utilisateur d'origine.
y y
Serveur VPN devant le pare-feu. Le serveur VPN est connect Internet et le pare-feu se situe entre le serveur VPN et l'intranet. Serveur VPN derrire le pare-feu. Le pare-feu est connect Internet et le serveur VPN se situe entre le pare-feu et l'intranet.
Pour l'interface Internet du serveur VPN, configurez les filtres d'entre et de sortie suivants l'aide du service Routage et accs distant :
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination TCP 1723. Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et ID de protocole IP 47. Ce filtre autorise les donnes en tunnel PPTP entre le client PPTP et le serveur PPTP.
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port TCP source [tabli] 1723. Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Le trafic [tabli] TCP est accept uniquement si le serveur VPN a lanc la connexion TCP.
Configurez les filtres de sortie suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port TCP source 1723. Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et ID de protocole IP 47. Ce filtre autorise les donnes en tunnel PPTP entre le serveur VPN et le client VPN.
Adresse IP source de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination TCP 1723. Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Le trafic [tabli] TCP est envoy uniquement si le serveur VPN a lanc la connexion TCP. Pour plus d'informations, voir Ajouter des filtres PPTP.
Filtres de paquets pour le protocole L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security).
Configurez les filtres d'entre suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination UDP 500. Ce filtre autorise le trafic IKE (Internet Key Exchange) vers le serveur VPN. Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination UDP 1701. Ce filtre autorise le trafic L2TP entre le client VPN et le serveur VPN. Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port de destination UDP 4500. Ce filtre autorise le trafic NAT-T (network address translator traversal) IPSec.
Configurez les filtres de sortie suivants en dfinissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui rpondent aux critres suivants :
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port UDP source 500. Ce filtre autorise le trafic IKE en provenance du serveur VPN. Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port UDP source 1701. Ce filtre autorise le trafic L2TP entre le serveur VPN et le client VPN.
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-rseau 255.255.255.255 et port UDP source 4500. Ce filtre autorise le trafic NAT-T IPSec. Pour plus d'informations, voir Ajouter des filtres L2TP via IPSec.
Aucun filtre n'est requis pour le trafic ESP (Encapsulating Security Payload) avec le protocole IP 50. L'entte ESP est supprim par les composants IPSec avant que le paquet L2TP ne soit pass au Routage et accs distant. Important
Il n'est pas recommand d'effectuer un dploiement NAT-T IPSec pour Windows dans lequel des serveurs VPN sont situs derrire les traducteurs d'adresses rseau. Lorsqu'un serveur figure derrire un traducteur d'adresses rseau et qu'il utilise NAT-T IPSec, la faon dont les
traducteurs d'adresses rseau traduisent le trafic rseau peut gnrer un comportement inattendu.
Pour l'interface Internet et l'interface du rseau priphrique sur le pare-feu, configurez les filtres d'entre et de sortie suivants l'aide du service de configuration du pare-feu :
Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB) Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic destination du serveur VPN provenant du port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.
Configurez les filtres de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :
Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB) Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic en provenance du serveur VPN vers le port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.
Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB). Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le serveur VPN et le client VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic en provenance du serveur VPN vers le port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.
Configurez les filtres de paquets de sortie suivants sur l'interface du rseau priphrique du pare-feu pour autoriser les types de trafic ci-dessous :
Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination TCP 1723 (0x6BB) Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 47 (0x2F). Ce filtre autorise les donnes en tunnel PPTP entre le client PPTP et le serveur PPTP. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port source TCP 1723 (0x6BB). Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur routeur. Ce filtre doit uniquement tre utilis avec les filtres de paquets PPTP dcrits dans la section Serveur VPN devant le pare-feu et configur sur l'interface du rseau priphrique du serveur VPN. En autorisant tout le trafic destination du serveur VPN provenant du port TCP 1723, il est possible que des attaques rseau soient menes depuis des sources Internet utilisant ce port.
Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 50 (0x1F4) Ce filtre autorise le trafic IKE vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 4500 (0x1194). Ce filtre autorise le trafic NAT-T IPSec vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32) Ce filtre autorise le trafic ESP IPSec entre le client VPN et le serveur VPN.
Configurez les filtres de paquets de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :
Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 500 (0x1F4) Ce filtre autorise le trafic IKE en provenance du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 4500. Ce filtre autorise le trafic NAT-T IPSec partir du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32). Ce filtre autorise le trafic ESP IPSec entre le serveur VPN et le client VPN.
Aucun filtre n'est requis pour le trafic L2TP au niveau du port UDP 1701. Tout le trafic L2TP au niveau du pare-feu, y compris les donnes en tunnel et de maintenance du tunnel, est crypt comme une charge utile ESP IPSec. Important
Il n'est pas recommand d'effectuer un dploiement NAT-T IPSec pour Windows dans lequel des serveurs VPN sont situs derrire les traducteurs d'adresses rseau. Lorsqu'un serveur figure derrire un traducteur d'adresses rseau et qu'il utilise NAT-T IPSec, la faon dont les traducteurs d'adresses rseau traduisent le trafic rseau peut gnrer un comportement inattendu.
Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 500 (0x1F4). Ce filtre autorise le trafic IKE en provenance du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et port source UDP 4500. Ce filtre autorise le trafic NAT-T IPSec partir du serveur VPN. Adresse IP source de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32) Ce filtre autorise le trafic ESP IPSec entre le serveur VPN et le client VPN.
Configurez les filtres de paquets de sortie suivants sur l'interface du rseau priphrique du pare-feu pour autoriser les types de trafic ci-dessous :
Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 50 (0x1F4) Ce filtre autorise le trafic IKE vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et port de destination UDP 4500 (0x1194). Ce filtre autorise le trafic NAT-T IPSec vers le serveur VPN. Adresse IP de destination de l'interface du rseau priphrique du serveur VPN et ID de protocole IP 50 (0x32) Ce filtre autorise le trafic ESP IPSec entre le client VPN et le serveur VPN.
Aucun filtre n'est requis pour le trafic L2TP au niveau du port UDP 1701. Tout le trafic L2TP au niveau du pare-feu, y compris les donnes en tunnel et de maintenance du tunnel, est crypt comme une charge utile ESP IPSec. Important
Il n'est pas recommand d'effectuer un dploiement NAT-T IPSec pour Windows dans lequel des serveurs VPN sont situs derrire les traducteurs d'adresses rseau. Lorsqu'un serveur figure derrire un traducteur d'adresses rseau et qu'il utilise NAT-T IPSec, la faon dont les traducteurs d'adresses rseau traduisent le trafic rseau peut gnrer un comportement inattendu.
y y
Assistant VPN ISA local Cet Assistant permet de crer un fichier .vpc (configuration VPN). Assistant VPN ISA distant Cet Assistant permet de lire un fichier .vpc. Une fois les serveurs configurs, les deux serveurs ISA peuvent lancer et accepter des connexions VPN.
Pour plus d'informations sur les fonctions de filtrage des paquets et la prise en charge des rseaux privs virtuels (VPN, Virtual Private Network) ISA Server, voir l'aide en ligne de Microsoft ISA (Internet Security and Acceleration) Server.
y y y y y y y
Vue d'ensemble Configuration requise du certificat pour le protocole EAP Authentification des ordinateurs par IPSec Authentification base sur les certificats et clients sans fil Mthodes d'inscription de certificats et appartenance au domaine Choix d'une mthode d'inscription de certificat Services d'inscription par le Web de l'Autorit de certification
Vue d'ensemble
Les certificats sont utiliss pour l'authentification de l'accs au rseau, car ils assurent une scurit leve pour l'authentification des utilisateurs et des ordinateurs. De plus, ils liminent le besoin de recourir des mthodes d'authentification par mot de passe moins fiables. Cette rubrique dcrit la manire dont le service d'authentification IAS (Internet Authentication Service) et les serveurs de rseau priv virtuel (VPN, Virtual Private Network) utilisent EAP-TLS (Extensible Authentication ProtocolTransport Level Security), PEAP (Protected Extensible Authentication Protocol) ou IPSec (Internet Protocol Security) pour excuter l'authentification base sur les certificats pour de nombreux types d'accs rseau, notamment les connexions VPN et sans fil. En outre, cette rubrique dcrit les mthodes d'inscription de certificats afin de vous aider dterminer la mthode la mieux adapte vos besoins. Dans le domaine de l'authentification, un serveur dsigne un serveur VPN ou IAS qui est un point terminal TLS. Vous pouvez configurer des serveurs VPN pour effectuer l'authentification de l'accs rseau sans IAS, ou utiliser IAS pour l'authentification si votre rseau comprend plusieurs clients RADIUS (Remote Access Dial-In User Service), tels que des serveurs VPN et des points d'accs sans fil. Deux mthodes d'authentification utilisent les certificats : EAP-TLS (Extensible Authentication ProtocolTransport Level Security) et PEAP (Protected Extensible Authentication Protocol). Ces deux mthodes utilisent toujours les certificats pour l'authentification du serveur. Selon le type d'authentification configur avec la mthode d'authentification, les certificats peuvent tre utiliss pour l'authentification des utilisateurs et celle des clients. Pour plus d'informations, voir Protocole EAP et Protocole PEAP. L'utilisation de certificats pour l'authentification de connexions VPN est la forme la plus forte d'authentification disponible avec la famille Windows Server 2003. Vous devez utiliser l'authentification avec certificats pour les connexions VPN bases sur L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security). Les connexions PPTP (Point-To-Point Tunneling Protocol) n'exigent pas de certificat, mme si vous pouvez les configurer afin qu'elles utilisent les certificats pour l'authentification des ordinateurs si vous employez EAP-TLS comme mthode d'authentification. Pour les clients sans fil (priphriques informatiques avec cartes rseau sans fil, tels que votre ordinateur portable ou votre assistant numrique personnel), PEAP avec EAP-TLS et les cartes puce ou les certificats est la mthode d'authentification recommande. Pour plus d'informations, voir Protocole L2TP (Layer Two Tunneling Protocol), Protocole PPTP et Gestion des rseaux sans fil. Remarque
Pendant les tentatives d'authentification de connexions PPTP, l'authentification de l'ordinateur ne s'effectue pas. Si le protocole EAP-TLS est utilis comme mthode d'authentification, l'authentification de l'utilisateur s'effectue l'aide d'un certificat provenant du magasin de certificats de l'ordinateur local ou d'une carte puce. Dans Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000. Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez dfinir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas dfinir des groupes de clients RADIUS en spcifiant une plage d'adresses IP. Si le nom de domaine complet d'un client RADIUS est rsolu en plusieurs adresses IP, le serveur IAS utilise la premire adresse IP retourne dans la requte DNS. Avec IAS sous Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition, le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimit. De plus, vous pouvez configurer des clients RADIUS en spcifiant une plage d'adresses IP.
Pour dployer des certificats destins aux utilisateurs et ordinateurs, vous devez d'abord effectuer les oprations suivantes :
y y
concevoir une infrastructure de cl publique ; dployer une Autorit de certification l'aide des Services de certificats ;
y y
concevoir et publier un ou plusieurs certificats l'aide de modles de certificats installs avec les services de certificats ;
slectionner une ou plusieurs mthodes de distribution (galement appeles mthodes d'inscription de certificats) pour installer les certificats sur les ordinateurs et les distribuer aux utilisateurs. Remarque
Cette rubrique suppose que vous avez conu et dploy une infrastructure de cl publique en respectant les consignes fournies dans les Mthodes conseilles pour les services de certificats pour les services de certificats. Pour plus d'informations, voir Infrastructure de cl publique. PEAP n'est pas pris en charge pour les connexions VPN ou d'accs distance.
Clients de commutation ou sans fil IEEE 802.1X L2TP/IPSec est utilis et EAP-TLS avec les certificats est configur comme mthode d'authentification. Le certificat du serveur IAS contient le rle Authentification du serveur dans les extensions EKU afin de s'identifier auprs du client, et le client utilise un certificat (provenant d'une carte puce ou du magasin de certificats local de l'utilisateur) pour s'identifier auprs du serveur IAS. (Les points d'accs sans fil sont configurs comme clients RADIUS sur le serveur IAS, qui est l'authentificateur EAP). Remarques
L'authentification de l'utilisateur et l'autorisation de l'accs rseau relvent du serveur VPN ou d'un serveur RADIUS, notamment le service d'authentification IAS (Internet Authentication Service), selon la configuration de la passerelle VPN. Pour plus d'informations, voir Utiliser l'authentification RADIUS.
Il est notamment essentiel que le certificat soit configur avec un ou plusieurs rles dans les extensions EKU, correspondant son utilisation. Par exemple, un certificat utilis pour l'authentification d'un client auprs d'un serveur doit tre configur avec le rle Authentification du client. De mme, un certificat utilis pour l'authentification d'un serveur doit tre configur avec le rle Authentification du serveur. Lorsque les certificats sont utiliss pour l'authentification, l'authentificateur examine le certificat du client en recherchant l'identificateur d'objet rle correct dans les extensions EKU. Par exemple, l'identificateur d'objet du rle Authentification du client est 1.3.6.1.5.5.7.3.2. Les modles de certificats permettent de personnaliser les certificats mis par les services de certificats, notamment la manire dont ils sont mis et ce qu'ils contiennent, par exemple leurs rles. Dans les modles de certificats, vous pouvez utiliser un modle par dfaut, par exemple le modle Ordinateur, afin de dfinir le modle employ par l'Autorit de certification pour l'attribution des certificats aux ordinateurs. Vous pouvez galement crer un modle de certificat et attribuer des rles dans les extensions EKU pour chaque certificat. Par dfaut, le modle Ordinateur comprend les rles Authentification du client et Authentification du serveur dans les extensions EKU. Le modle de certificat que vous crez peut comprendre n'importe quel rle pour lequel le certificat sera utilis. Par exemple, si vous utilisez des cartes puce pour l'authentification, vous pouvez ajouter le rle Ouverture de session par carte puce en plus du rle Authentification du client. Si vous utilisez IAS, vous pouvez le configurer en vue de vrifier le rle du certificat avant d'accorder l'autorisation d'accs au rseau. IAS peut vrifier des rles EKU et Stratgie d'mission (galement appels Stratgies de certificat) supplmentaires. Certains logiciels d'autorit de certification non-Microsoft peuvent contenir un rle appel Tous, qui reprsente tous les rles possibles. Il est indiqu par une extension EKU vide (ou nulle). Mme si Tous signifie tous les rles possibles, le rle Tous ne peut pas remplacer le rle Authentification du client, le rle Authentification du serveur ou tout autre rle li l'authentification de l'accs rseau. Pour plus d'informations, voir Modles de certificats et Grer les modles de certificats pour une Autorit de certification d'entreprise. Vous pouvez afficher les certificats ainsi que leurs rles l'aide de la console Certificats afin d'ouvrir le magasin de certificats. Les magasins de certificats peuvent tre consults en mode Magasin logique ou en mode Type d'utilisation. Pour plus d'informations sur la manire d'afficher les rles de certificats, voir Afficher les magasins de certificats en mode Type d'utilisation.
y y
Le certificat client doit tre mis par une Autorit de certification d'entreprise ou tre mapp un compte d'utilisateur ou d'ordinateur dans Active Directory. Le certificat d'utilisateur ou d'ordinateur sur le client doit tre li une autorit de certification racine de confiance, doit comprendre le rle Authentification du client dans les extensions EKU (l'identificateur d'objet du rle Authentification du client est 1.3.6.1.5.5.7.3.2) et ne doit pas chouer aux vrifications effectues par CryptoAPI et spcifies dans la stratgie d'accs distant ainsi qu'aux vrifications de l'objet Certificat spcifies dans la stratgie d'accs distant IAS. Le client 802.1X n'utilise pas de certificats bass sur le Registre qu'il s'agisse de certificats d'ouverture de session de carte puce ou de certificats protgs par mot de passe. Pour les certificats d'utilisateur, l'extension SubjectAltName (Subject Alternative Name) situe dans le certificat doit contenir le nom d'utilisateur principal (UPN, User Principal Name). Pour configurer le nom UPN dans un modle de certificat : Ouvrez Modles de certificats.
y y
1.
2. 3. 4.
Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom d'utilisateur principal (UPN). Pour les clients certificats d'ordinateur, l'extension SubjectAltName (Subject Alternative Name) du certificat doit contenir le nom de domaine complet (FQDN, Fully Qualified Domain Name) du client. Pour configurer ce nom dans le modle de certificat : Ouvrez Modles de certificats. Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
1. 2. 3. 4.
Avec PEAP-EAP-TLS et EAP-TLS, les clients affichent la liste de tous les certificats installs dans le composant logiciel enfichable Certificats, l'exception des lments suivants :
y y y
Les clients sans fil n'affichent pas les certificats bass sur le Registre et les certificats d'ouverture de session de carte puce. Les clients sans fil et VPN n'affichent pas les certificats protgs par mot de passe. Les certificats qui ne contiennent pas le rle Authentification du client dans leurs extensions EKU ne s'affichent pas.
Le nom Sujet contient une valeur. Si vous avez dlivr votre serveur IAS un certificat possdant un sujet vide, il ne peut pas servir l'authentification de votre serveur IAS. Pour configurer le modle de certificat avec un nom Sujet : Ouvrez Modles de certificats. Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Format du nom du sujet, slectionnez une valeur autre que Aucun. Le certificat d'ordinateur sur le serveur doit tre li une autorit de certification racine de confiance et russir toutes les vrifications effectues par CryptoAPI et spcifies dans la stratgie d'accs distant. Le certificat d'ordinateur serveur IAS ou VPN est configur avec le rle Authentification du serveur dans les extensions EKU (l'identificateur d'objet du rle Authentification du serveur est 1.3.6.1.5.5.7.3.1). Le certificat serveur est configur avec une valeur de fournisseur de services cryptographiques (CSP) requise gale Microsoft RSA SChannel Cryptographic Provider. Pour configurer le fournisseur de services cryptographiques requis : Ouvrez Modles de certificats.
1. 2. 3. 4.
1.
2. 3. 4. 5.
Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Traitement de la demande, puis sur Fournisseurs de services cryptographiques. Dans Slection du fournisseur de services cryptographiques, slectionnez Les requtes doivent utiliser l'un des fournisseurs de services de cryptographique suivants. Dans Fournisseurs de services cryptographiques, activez la case cocher Microsoft RSA SChannel Cryptographic Provider. Dsactivez toutes les autres cases cocher de Fournisseurs de services cryptographiques. L'extension SubjectAltName (Subject Alternative Name), si elle est utilise, doit contenir le nom DNS du serveur. Pour configurer le modle de certificat avec le nom DNS du serveur d'inscription : Ouvrez Modles de certificats. Dans le volet d'informations, cliquez avec le bouton droit sur le modle de certificat que vous voulez modifier, puis cliquez sur Proprits. Cliquez sur l'onglet Nom du sujet, puis sur Construit partir des informations prsentes dans Active Directory. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
1. 2. 3. 4.
Avec PEAP et EAP-TLS, les serveurs affichent une liste de tous les certificats installs dans le magasin de certificats de l'ordinateur, l'exception des lments suivants :
y y y
Les certificats qui ne contiennent pas le rle Authentification du serveur dans leurs extensions EKU ne s'affichent pas. Les certificats qui ne contiennent pas un nom Sujet ne sont pas affichs.
Les serveurs n'affichent pas les certificats bass sur le Registre et les certificats d'ouverture de session de carte puce. Remarques
Vous pouvez dsigner le certificat utilis par le serveur IAS ou VPN dans le profil de la stratgie d'accs distant. Lorsque vous configurez les mthodes d'authentification EAP et PEAP qui ncessitent un certificat pour l'authentification serveur et que vous ne slectionnez pas un certificat spcifique dans la bote de dialogue Proprits des cartes puce ou des autres certificats, le serveur IAS ou VPN slectionne automatiquement un certificat dans le magasin de certificats de l'ordinateur. Si le serveur obtient un certificat plus rcent, il utilise ce nouveau certificat. Cela peut entraner l'utilisation par le serveur IAS ou VPN d'un certificat qui n'est pas correctement configur pour l'authentification et faire chouer l'authentification. Pour viter cela, slectionnez toujours un certificat serveur lors de la configuration des mthodes d'authentification PEAP et EAP qui en ont besoin d'un. Pour plus d'informations, voir Configurer les mthodes PEAP et EAP.
par l'Autorit de certification racine de confiance pendant la ngociation IPSec, ils se font confiance et l'association de scurit est cre.
d'ordinateurs non-membres du domaine porte le nom de processus bootstrap de confiance. Les certificats sont crs, puis demands ou distribus manuellement de manire scurise par les administrateurs afin de crer une confiance commune.
Les ordinateurs excutant Windows 2000 ne peuvent inscrire automatiquement que les certificats d'ordinateurs.
y y
Un administrateur (qui est, par dfinition, approuv) doit demander un certificat d'ordinateur ou d'utilisateur l'aide de l'outil d'inscription par le Web de l'Autorit de certification. L'administrateur doit enregistrer un certificat d'ordinateur ou d'utilisateur sur une disquette et l'installer sur l'ordinateur non-membre du domaine. Ou, si l'ordinateur n'est pas accessible l'administrateur (par exemple, un ordinateur personnel connect un rseau d'organisation avec une connexion VPN L2TP/IPSec), un utilisateur du domaine approuv par l'administrateur peut installer le certificat. Un administrateur peut distribuer un certificat d'utilisateur sur une carte puce (les certificats d'ordinateurs ne sont pas distribus sur des cartes puce).
De nombreuses infrastructures rseau contiennent des serveurs VPN et IAS qui ne sont pas membres du domaine. Par exemple, il se peut qu'un serveur VPN situ dans un rseau priphrique ne soit pas membre du domaine pour des raisons de scurit. Dans ce cas, un certificat d'ordinateur possdant le rle Authentification du serveur dans ses extensions EKU doit tre install sur le serveur VPN nonmembre du domaine avant de pouvoir russir ngocier des connexions VPN L2TP/IPSec des clients. Remarquez que si le serveur VPN non-membre du domaine sert de point terminal une connexion VPN un autre serveur VPN, les extensions EKU doivent contenir la fois le rle Authentification du serveur et le rle Authentification du client.
logiciel enfichable Certificats Serveur VPN avec une connexion de site site, membre du domaine Client Windows XP, membre du domaine Ordinateur Authentification du serveur et Authentification du client Authentification client Inscription automatique Demander un certificat avec le composant logiciel enfichable Certificats Demander un certificat avec le composant logiciel enfichable Certificats Installer partir d'une disquette
Ordinateur
Inscription automatique
Serveur VPN ou IAS, non-membre du domaine Serveur VPN avec une connexion de site site, non-membre du domaine Client Windows XP, non-membre du domaine Utilisateur, utilisateur du domaine
Ordinateur
Authentification serveur
Outil d'inscription par le Web de l'Autorit de certification Outil d'inscription par le Web de l'Autorit de certification Outil d'inscription par le Web de l'Autorit de certification Inscription automatique
Ordinateur
Ordinateur
Utilisateur
Authentification client
Utiliser une carte puce ou l'outil d'inscription par le Web de l'Autorit de certification
Si votre autorit de certification est situe sur un ordinateur fonctionnant sur l'un des systmes d'exploitation suivants, les serveurs RAS et IAS et les modles Authentification de station de travail sont disponibles :
y y y y y y
Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition Windows Server 2003, Enterprise Edition pour les systmes architecture Itanium Windows Server 2003, Datacenter Edition pour les systmes architecture Itanium Windows Server 2003, Enterprise Edition 64 bits Windows Server 2003, Datacenter Edition 64 bits
Le tableau suivant vous aide dterminer quel moment utiliser ces modles.
Objet et appartenance au domaine Serveur VPN ou IAS, membre du domaine Client Windows XP, membre du domaine Serveur VPN ou IAS, non-membre du domaine
Autre mthode d'inscription de certificat Demander un certificat avec le composant logiciel enfichable Certificats Demander un certificat avec le composant logiciel enfichable Certificats Installer partir d'une disquette
Authentification client
Inscription automatique
Authentification serveur
certification Client Windows XP, non-membre du domaine Important Si le serveur excutant IAS n'est pas un contrleur de domaine mais un membre d'un domaine avec un niveau fonctionnel mixte Windows 2000, vous devez ajouter le serveur la liste de contrle d'accs (ACL) du modle de certificat Serveur RAS et IAS. Vous devez galement configurer les autorisations correctes pour l'inscription automatique. Il existe plusieurs procdures pour ajouter des serveurs ou des groupes de serveurs la liste de contrle d'accs. Pour ajouter un serveur individuel la liste de contrle d'accs pour le modle de certificat Serveur RAS et IAS : Dans Modles de certificats, slectionnez le modle Serveur RAS et IAS, puis ajoutez le serveur IAS aux proprits Scurit du modle. Pour plus d'informations, voir Autoriser les sujets demander un certificat bas sur le modle. Aprs avoir ajout votre serveur IAS la liste de contrle d'accs, accordez des autorisationsLecture, Inscription et Inscription automatique. Pour grer un groupe de serveurs, ajoutez les serveurs un nouveau groupe global ou universel, puis ajoutez le groupe la liste de contrle d'accs du modle de certificat : 1. Dans Utilisateurs et ordinateurs Active Directory, crez un nouveau groupe global ou universel pour les serveurs IAS. Pour plus d'informations, voir Crer un nouveau groupe. Ensuite, ajoutez au groupe tous les ordinateurs qui sont des serveurs IAS, ne sont pas des contrleurs de domaine et sont membres d'un domaine avec un niveau fonctionnel mixte Windows 2000. Pour plus d'informations, voir Ajouter un membre un groupe. Authentification de station de travail Authentification client Outil d'inscription par le Web de l'Autorit de certification Installer partir d'une disquette
Dans Modles de certificats, slectionnez le modle Serveur RAS et IAS, puis ajoutez le groupe que vous avez cr aux proprits Scurit du modle en effectuant les tapes de Autoriser les sujets demander un certificat bas sur le modle. Aprs avoir ajout votre nouveau groupe, accordez des autorisationsLecture, Inscription et Inscription automatique. Pour plus d'informations, voir Fonctionnalit des domaines et des forts.
2.
2. 3.
y y y y y y y y y y y
4. 5.
Modle de certificat : Administrateur Options de la cl : Crer un nouveau jeu de cls Fournisseur de service cryptographique : Microsoft Enhanced Cryptographic Provider v1.0 Utilisation de la cl : Exchange Taille de cl : 1024 Nom de conteneur de cl automatique : Slectionn Marquer les cls comme tant exportables : Slectionn Utiliser le magasin de l'ordinateur local : Slectionn Format de la demande : PKCS 10 Hachage : SHA-1 Nom convivial : Nom du serveur VPN
Cliquez sur Envoyer. Cliquez sur Installer ce certificat. Le certificat demand est install sur votre ordinateur local.
Enregistrer un certificat d'ordinateur sur une disquette 1. Utilisez votre navigateur Web pour vous connecter l'outil d'inscription par le Web l'adressehttp://NomServeur/certsrv, o NomServeur est le nom du serveur qui hberge l'autorit de certification, les pages Web de l'autorit de certification ou ces deux lments. Cliquez sur Demander un certificat. Dans Demander un certificat, cliquez sur Demande de certificat avance. Dans Demande de certificat avance, cliquez sur Crer et soumettre une demande de requte auprs de cette Autorit de certification. Un formulaire Web contenant les sections Modle de certificat, Options de la cl et Options supplmentaires vous est alors propos. Slectionnez les options suivantes :
2. 3.
y y y y y y y y y
Modle de certificat : Administrateur Options de la cl : Crer un nouveau jeu de cls Fournisseur de service cryptographique : Microsoft Enhanced Cryptographic Provider v1.0 Utilisation de la cl : Exchange Taille de cl : 1024 Nom de conteneur de cl automatique : Slectionn Marquer les cls comme tant exportables : Slectionn Exporter les cls vers un fichier : Slectionn Nom du chemin d'accs complet : Chemin d'accs dsignant l'emplacement auquel vous souhaitez enregistrer le fichier et le nom de fichier (par exemple,\\NomServeur\NomPartage\NomFichier.pvk.). Format de la demande : PKCS 10 Hachage : SHA-1 Nom convivial : Nom du serveur VPN
y y y
4. 5. 6. 7. 8. 9.
Cliquez sur Envoyer. Crez et confirmez votre mot de passe de cl prive. Dans Certificat mis, slectionnez Cod DER et Tlcharger la chane du certificat. Insrez une disquette dans votre lecteur. Lorsque y tes invit par votre navigateur, slectionnez Enregistrer ce fichier sur le disque, puis cliquez sur OK.
Accdez votre lecteur de disquette, puis cliquez sur OK. Le certificat demand est tlcharg et enregistr sur la disquette. Pour plus d'informations, voir Soumettre une demande de certificat avance via le Web.
Pour plus d'informations sur l'installation d'un certificat partir d'une disquette dans le magasin de certificats d'un ordinateur local, voir Importer un certificat. Remarques
Si vous avez dlivr votre serveur IAS un certificat possdant un sujet vide, il ne peut pas servir l'authentification de votre serveur IAS. Pour rsoudre ce problme, vous pouvez utiliser les modles de certificats afin de crer un nouveau certificat pour l'inscription sur votre serveur IAS. Dans les proprits du certificat, dans la section Format du nom du sujet de l'onglet Nom du sujet, slectionnez une valeur autre que Aucun.
y y
1.Protocole PPTP
Protocole PPTP
PPTP est un protocole de tunneling d'abord pris en charge dans Windows NT 4.0 et Windows 98. C'est une extension du protocole PPP (Point-to-Pont Protocol) qui s'appuie sur les mcanismes d'authentification, de compression et de cryptage de ce dernier. La prise en charge du client pour PPTP est intgre dans le client d'accs distant Windows XP. La prise en charge du serveur VPN pour PPTP est intgre dans les membres de la famille Windows Server 2003. PPTP est install avec le protocole TCP/IP. Selon les options slectionnes lors de l'excution de l'Assistant Installation du serveur d'accs distant et de routage, le protocole PPTP est configur pour 5 ou 128 ports PPTP. Pour plus d'informations, voir Liste de vrification : Installation et configuration d'un serveur PPTP. PPTP et MPPE (Microsoft Point-to-Point Encryption) offrent les services VPN principaux d'encapsulation et de cryptage des donnes prives.
Encapsulation
Une trame PPP (un datagramme IP ou IPX ou Appletalk) est encapsule dans un en -tte GRE (Generic Routing Encapsulation) et un en-tte IP. L'en-tte IP contient les adresses IP sources et de destination qui correspondent respectivement au client et au serveur VPN. L'illustration suivante reprsente l'encapsulation PPTP d'une trame PPP.
Cryptage
La trame PPP est crypte par MPPE (Microsoft Point-to-Point Encryption) l'aide de cls de cryptage gnres par le processus d'authentification MS-CHAP, MS-CHAP v2 ou EAP-TLS. Les clients de rseau priv virtuel doivent utiliser le protocole d'authentification MS-CHAP, MS-CHAP v2 ou EAP-TLS afin que les charges des trames PPP puissent tre cryptes. PPTP bnficie du cryptage et de l'encapsulation PPP sous-jacente d'une trame PPP prcdemment crypte.
Pour plus d'informations sur le dploiement de connexions VPN utilisant le protocole PPTP, voir Dploiement de rseaux privs virtuels. Pour obtenir une liste de vrification des serveurs VPN utilisant le protocole PPTP, voir Liste de vrification : Installation et configuration d'un serveur PPTP. Pour obtenir un exemple d'implmentation de connexions VPN utilisant le protocole PPTP, voir Exemples d'implmentation d'un rseau priv virtuel. Pour plus d'informations sur la configuration de connexions VPN utilisant le protocole PPTP dans un atelier test, voir Atelier de test des rseaux privs virtuels. Remarques
Votre connexion PPTP peut ne pas tre crypte lorsque la trame PPP est envoye en texte brut. Toutefois, cette solution n'est pas recommande pour les connexions VPN sur Internet, car les communications de ce type ne sont pas sres. Le protocole IPX/SPX n'est pas disponible sur Windows XP dition 64 bits (Itanium) et les versions 64 bits de la famille Windows Server 2003. Dans Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.
y y
Encapsulation
L'encapsulation des paquets L2TP/IPSec consiste en deux couches : 1. Encapsulation L2TP Une trame PPP (un datagramme IP ou IPX) est encapsule dans un en-tte L2TP et un en-tte UDP.
Encapsulation IPSec Le message L2TP ainsi produit est ensuite encapsul dans un en-tte et un code de fin ESP (Encapsulating Security Payload), un code de fin IPSec Authentication qui assure l'intgrit et l'authentification du message et un dernier en-tte IP. L'en-tte IP contient l'adresse IP source et de destination correspondant au client et au serveur VPN. La figure suivante illustre l'encapsulation L2TP et IPSec d'un datagramme PPP.
2.
Cryptage
Le message L2TP est crypt avec DES (Data Encryption Standard) ou DES triple (3DES) en utilisant les cls de cryptage cres partir du processus de ngociation IKE (Internet Key Exchange). Plus plus d'informations sur le dploiement de connexions VPN L2TP/IPSec, voir Dploiement de rseaux privs virtuels. Pour les listes de contrle de configuration, voir Listes de vrification VPN. Pour obtenir un exemple d'implmentation de connexions VPN L2TP/IPSec, voir Exemples d'implmentation d'un rseau priv virtuel. Pour plus d'informations sur la configuration de connexions VPN L2TP/IPSec dans un atelier de test, voir Atelier de test des rseaux privs virtuels. Remarques
Votre connexion L2TP peut ne pas tre crypte lorsque la trame PPP est envoye en texte brut. Toutefois, cette solution n'est pas recommande pour les connexions VPN sur Internet car les communications de ce type ne garantissent pas la confidentialit des donnes. Le protocole IPX/SPX n'est pas disponible sur Windows XP dition 64 bits (Itanium) et les versions 64 bits de la famille Windows Server 2003. Dans Windows Server 2003, Web Edition et Windows Server 2003, Standard Edition, vous pouvez crer jusqu' 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu' 1 000 ports L2TP (Layer Two Tunneling Protocol). Cependant, Windows Server 2003, Web Edition ne peut accepter qu'une seule connexion VPN la fois. Windows Server 2003, Standard Edition peut accepter jusqu' 1 000 connexions VPN simultanes. Si 1 000 clients VPN sont connects, les tentatives de connexion supplmentaires sont refuses tant que le nombre de connexions ne redescend pas au-dessous de 1 000.
y y
y y y y
Autorisation Authentification des clients VPN Cryptage des donnes entre serveur VPN et client VPN Utilisation du filtrage de paquets
1.Autorisation
Autorisation
Les connexions VPN (Virtual Private Network) ne sont acceptes que pour les utilisateurs et routeurs autoriss. Pour la famille Windows Server 2003, l'autorisation des connexions VPN est dfinie par les proprits des appels entrants sur le compte d'utilisateur et les stratgies d'accs distant. Pour plus d'informations, voir Stratgies d'accs distant. Il n'est pas ncessaire de crer des comptes d'utilisateurs supplmentaires exclusifs pour les connexions VPN : les serveurs VPN utilisent les comptes d'utilisateurs spcifis dans les bases de donnes des comptes d'utilisateurs disponibles dans le cadre des systmes d'exploitation Windows Server 2003.
Si le compte est valide, et la connexion autorise, le serveur accepte la connexion, sous rserve des stratgies d'accs distant et des proprits du compte d'utilisateur relatives au client VPN. Remarque
Les tapes 2 4 supposent que le client VPN et le serveur VPN utilisent les protocoles d'authentification MS-CHAP ou CHAP. L'envoi des informations d'identification du client peut se drouler diffremment pour les autres protocoles d'authentification.
Les tapes suivantes dcrivent la procdure qui s'excute lors d'une tentative de connexion manant d'un client VPN L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security) avec un serveur VPN L2TP/IPSec excutant Windows Server 2003. 1. 2. 3. 4. 5. 6. L'association de scurit IPSec est cre l'aide des certificats d'ordinateur et du processus de ngociation IKE (Internet Key Exchange). Le client VPN cre un tunnel L2TP avec le serveur VPN. Le serveur envoie une interrogation (appele dfi) au client. Le client renvoie une rponse crypte au serveur. Le serveur vrifie la rponse par rapport la base de donnes des comptes d'utilisateurs.
Si le compte est valide, et la connexion autorise, le serveur accepte la connexion, sous rserve des stratgies d'accs distant et des proprits du compte d'utilisateur relatives au client VPN. Remarque
Les tapes 3 5 supposent que le client VPN et le serveur VPN utilisent les protocoles d'authentification MS-CHAP v1 ou CHAP. L'envoi des informations d'identification du client peut se drouler diffremment pour les autres protocoles d'authentification.
Le serveur VPN doit authentifier les clients VPN d'accs distant avant de leur permettre d'accder au rseau ou de gnrer du trafic. Cette authentification est une procdure part entire, indpendante de l'ouverture d'une session sur un domaine Windows Server 2003. Vous pouvez utiliser des filtres de paquets bass sur un profil de stratgie d'accs distant afin de limiter les connexions VPN d'accs distant pour le trafic IP. Grce aux filtres de paquets de profil, vous pouvez configurer le trafic IP qui est autoris sortir de la connexion (filtres de sortie) ou entrer dans celle-ci (filtres d'entre) selon le principe d'exception : soit tout le trafic d'accs distant sauf le trafic spcifi par les filtres, soit aucun trafic en dehors de celui indiqu par les filtres. Le filtrage des profils de stratgie d'accs distant s'applique toutes les connexions de ce type qui remplissent les conditions de la stratgie d'accs distant. Pour plus d'informations, voir lments d'une stratgie d'accs distant.
2.
Le cryptage des donnes pour les connexions de type PPP (Point -to-Point Protocol) ou PPTP n'est possible que si vous utilisez MS-CHAP, MS-CHAP v2 ou EAP-TLS comme mthode d'authentification au niveau utilisateur. Le cryptage des donnes pour les connexions L2TP repose sur l'authentification IPSec de niveau ordinateur, qui n'exige aucune mthode spcifique d'authentification au niveau utilisateur. Le cryptage des donnes VPN n'assure pas un cryptage des donnes de bout en bout. Le cryptage de bout en bout est un cryptage des donnes entre l'application cliente et le serveur hbergeant la ressource ou le service accessible l'application cliente. Pour obtenir un cryptage de bout en bout des donnes, utilisez IPSec pour crer une connexion scurise aprs avoir tabli la connexion VPN.