Module 11 : Configuration

de l'accès distant
Vue d'ensemble

 Présentation du service d’accès distant de Windows

2000
 Configuration du serveur d’accès distant
 Configuration des protocoles d’authentification
 Configuration des protocoles de cryptage
 Configuration du service Routage et accès distant
aux fins d’intégration DHCP
 Examen de stratégies d’accès distant
 Examen de l’évaluation d’une stratégie d’accès
distant
 Création d’une stratégie d’accès distant
 Configuration du client d’accès distant
 Conseils pratiques
 Présentation du service d’accès distant de
Windows 2000

 Mode de fonctionnement d’une connexion

d’accès distant
 Protocoles d’accès distant et protocoles de
réseau local
 Protocoles de réseau privé virtuel
 Protocoles Multilink
Mode de fonctionnement d’une connexion
d'accès distant

Réseau
local
Protocoles d’accès
distant le s cal
c o u lo
o
ot é s e a
r
P r
Protocoles de réseau local de

o les ant Serveur d'accès

t oc dist
o
Pr cè s
distant
c
d ’a
Internet

Client d'accès distant

Protocoles d'accès distant et protocoles de
réseau local

Protocoles Protocoles
d’accès distant de réseau local
PPP
PPP TCP/IP
TCP/IP
Microsoft
Microsoft RAS
RAS NWLink
NWLink
ARAP
ARAP (serveur
(serveur uniquement)
uniquement) NetBEUI
NetBEUI
AppleTalk
AppleTalk
Protocoles de réseau privé virtuel

PPTP L2TP
Interréseau
Interréseau obligatoirement
obligatoirement IP
IP Interréseau
Interréseau de
de type
type IP,
IP, relais
relais
de
de trame,
trame, X.25
X.25 ou
ou ATM
ATM
Aucune
Aucune compression
compression en-têtes
en-têtes
Compression
Compression des
des en-têtes
en-têtes
Pas
Pas d’authentification
d’authentification du
du tunnel
tunnel
Authentification
Authentification du
du tunnel
tunnel
Cryptage
Cryptage PPP
PPP intégré
intégré
Utilise
Utilise le
le cryptage
cryptage IPSec
IPSec
Vaste
Vaste compatibilité
compatibilité
Windows
Windows 20002000 etet XP
XP sont
sont les
les
seuls
seuls systèmes
systèmes d’exploitation
d’exploitation
pris
pris en
en charge
charge

Internet

Client Serveur
PPTP ou L2TP
Protocoles Multilink

Multilink
A
Serveur
d'accès distant
B

Multilink avec BAP

A Serveur
d'accès distant

B C

Commutation
Commutation de
de la
la connexion
connexion àà la
la demande
demande
 Configuration du serveur d’accès distant

 Configuration de connexions entrantes

 Configuration de ports modem et câble
 Configuration de ports VPN
 Configuration de connexions Multilink
 Configuration d’un accès entrant pour des
utilisateurs
Configuration de connexions entrantes
Configuration de ports modem et câble

Ports,
Ports, regroupés
regroupés
par
par type
type

Fonction
Fonction du
du port
port

Numéro
Numéro de
de
téléphone
téléphone
(le
(le cas échéant)
cas échéant)

Nombre
Nombre de
de ports
ports
virtuels
virtuels
Configuration de ports VPN

Ports
Ports modem
modem et
et
câble
câble

Ports
Ports PPTP
PPTP

Ports
Ports L2TP
L2TP
Configuration de connexions Multilink

 Configuration de Multilink et BAP sur le serveur

d’accès distant
 Configuration de Multilink sur le client d’accès
distant
Configuration d'un accès entrant pour des
utilisateurs

Autorisations
Autorisations

ID
ID de
de l'appelant
l'appelant

Rappel
Rappel

Routage
Routage IP
IP
 Configuration des protocoles
d’authentification

 Protocoles d’authentification standard

 Protocoles EAP (Extensible Authentication
Protocol)
Protocoles d’authentification standard

Protocole Sécurité Conditions d’utilisation

Le client et le serveur ne peuvent pas négocier en
PAP Basse
utilisant une validation plus sécurisée

Connexion entre Shiva LAN Rover et un client

SPAP Moyenne Windows 2000 ou entre un client Shiva et une
serveur d’accès distant Windows 2000

Supérieure
Vous disposez de clients qui n’utilisent pas un
CHAP à la
moyenne système d’exploitation Microsoft

Supérieure Vous disposez de clients exécutant Windows NT

MS-CHAP à la version 4.0 ou ultérieure, ou encore Windows 95
moyenne ou version ultérieure

Vous disposez de clients d’accès à distance

MS-CHAP v2 Haute exécutant Windows 2000, ou de clients VPN
exécutant Windows NT 4.0 ou Windows 98
Protocole EAP (Extensible Authentication
Protocol)

 Permet au client et au serveur de négocier la

méthode d’authentification à utiliser
 Prend en charge l’authentification au moyen de :
 MD5-CHAP
 TSL (Transport Layer Security)
 Autres méthodes d’authentification conçues par
des tiers
 Assure une prise en charge pour les méthodes
d’authentification à venir, grâce à une API
Configuration des protocoles de cryptage

Schéma de
MPPE IPSec
IPSec
cryptage

Cryptage de base 40 bits DES

DES 56
56 bits
bits

Cryptage robuste 56 bits DES

DES 56
56 bits
bits

Cryptage
Cryptage
renforcé 128
128 bits
bits 3DES
3DES
renforcé
 Configuration du service Routage et accès
distant aux fins d’intégration DHCP

 Attribution d’adresses IP à des clients d’accès

distant via DHCP
 Configuration du service Routage et accès distant
pour DHCP
Attribution d'adresses IP à des clients d’accès
distant via DHCP

Si
Si un
un serveur
serveur Le
Le serveur
serveur d’accès
d’accès distant
distant obtient
obtient
DHCP
DHCP est
est 10
10 adresses
adresses IP
IP àà la
la fois
fois
disponible
disponible ::

Si
Si aucun
aucun serveur
serveur Le
Le serveur
serveur d’accès
d’accès distant
distant fait
fait
DHCP
DHCP n’est
n’est appel
appel àà l’adressage
l’adressage IP
IP privé
privé
disponible
disponible :: automatique
automatique
Configuration du service Routage et accès
distant pour DHCP
Atelier A : Configuration du service RAS
Examen de stratégies d'accès distant

Une stratégie d’accès distant :

 Est stockée en local, et non dans Active

Directory
 Est constituée des éléments suivants :
 Conditions
 Autorisations
 Profil
 Examen de l'évaluation d'une stratégie
d'accès distant

 Schéma de la logique d’évaluation d’une stratégie

 Examen de la stratégie par défaut et de plusieurs
stratégies
Schéma de la logique d'évaluation d'une
stratégie

Le
Le Routage
Le Routage et
Routage et accès
et accès distant
accès distant adapte
distant adapte
vérifie
Oui les conditionsaux
la connexion de paramètres
la stratégie du
l'autorisation d'appel de
d'accès distant
l'utilisateur dansaux
compte d'utilisateur et du
Active profil de
Directory
caractéristiques
stratégie de la connexion
Non

Refuser
Refuser Autoriser
Autoriser

Utiliser la stratégie
d’accès distant
Connexion Connexion

Refuser
Refuser Autoriser

Non Profile Oui

Evaluation
Conditions Profil
Autorisations
Examen de la stratégie par défaut et de
plusieurs stratégies

 Stratégie d'accès distant par défaut

 Appliquée à toutes les tentatives de connexion qui
ne correspondent à aucune autre stratégie
 Refuse toutes les tentatives de connexion, à moins
que le compte de l’utilisateur soit forcé à Accorder
l’accès
 Stratégies multiples
 Les stratégies sont vérifiées dans l’ordre
hiérarchique jusqu’à ce qu’une stratégie
corresponde à la tentative de connexion
 Les paramètres du profil et du compte d’utilisateur
sont comparés aux paramètres de la première
stratégie d’accès distant correspondante
uniquement
 Création d'une stratégie d'accès distant

 Configuration des conditions d’une stratégie

d’accès distant
 Configuration des paramètres du profil d’accès
distant
Configuration des conditions d'une stratégie
d'accès distant

Exemples de conditions d’une tentative de connexion

 Est comprise entre 08:00 et 17:00, du LU au

VE
ET
 À partir d’une adresse IP correspondant à
192.168.*.*
ET
 Provient d’un quelconque utilisateur du
groupe Sales
Configuration des paramètres du profil d'accès
distant

Exemples de paramètres du profil

 Temps de connexion 90 minutes

ET
 Exigent un cryptage IPSec
Atelier B : Configuration d'une stratégie
d’accès distant
 Configuration du client d'accès distant

 Création d’une connexion d’accès à distance

 Création d’une connexion de réseau privé virtuel
 Examen des propriétés d’une connexion
Création d'une connexion d'accès à distance

Client Serveur
d’accès
distant

Internet
Client
Serveur ISP
Création d'une connexion de réseau privé
virtuel

Intranet
d’entreprise

Carte intranet

Carte Internet

Serveur VPN Windows 2000

Internet

Tunnel

Client d’accès distant VPN

Examen des propriétés d'une connexion
Conseils pratiques

Installez
Installez uniquement
uniquement les
les protocoles
protocoles dont
dont vous
vous avez
avez besoin
besoin

Utilisez
Utilisez DHCP
DHCP pour
pour obtenir
obtenir une
une adresse
adresse IP
IP

Utilisez
Utilisez une
une méthode
méthode d’authentification
d’authentification robuste
robuste

Utilisez
Utilisez une
une méthode
méthode de
de cryptage
cryptage robuste
robuste

Évitez
Évitez de
de recourir
recourir àà des
des stratégies
stratégies d’accès
d’accès distant
distant
différentes
différentes pour
pour un
un même
même utilisateur
utilisateur

Créez
Créez plusieurs
plusieurs connexions
connexions àà l’aide
l’aide de
de l’option
l’option Copier
Copier
Atelier C : Connexion au RAS
Contrôle des acquis

 Présentation du service d’accès distant de

Windows 2000
 Configuration du serveur d’accès distant
 Configuration des protocoles d’authentification
 Configuration des protocoles de cryptage
 Configuration du service Routage et accès distant
aux fins d’intégration DHCP
 Examen de stratégies d’accès distant
 Examen de l’évaluation d’une stratégie d’accès
distant
 Création d’une stratégie d’accès distant
 Configuration du client d’accès distant
 Conseils pratiques