2- Composants d’une infrastructure d’accès réseau :
Pour mettre en place une infrastructure d’accès réseau distante sécurisée, l’administrateur doit
avoir une parfaite connaissance des éléments constitutifs de ce type d’infrastructure, à savoir :
- Serveur d’accès réseau
- Clients d’accès réseau
- Service d’authentification
- Service d’annuaire Active Directory
réseau. Vous pouvez configurer le service Routage et accès distant de manière à ce qu’il fasse
office de serveur d’accès distant et connecter ainsi des télétravailleurs aux réseaux d’une
entreprise.
Pour ces clients considérés comme non traditionnels, le serveur d’accès distant authentifie les
sessions pour les utilisateurs et services jusqu’à ce que l’utilisateur ou l’administrateur y mette
fin. Les utilisateurs distants peuvent alors travailler comme si leurs ordinateurs étaient
connectés physiquement au réseau.
Un serveur d’accès réseau fournit la connectivité nécessaire aux clients d’accès à distance et
VPN.
Ces clients d’accès à distance peuvent accéder aux ressources à l’aide d’outils standard. À
titre d’exemple, sur un serveur configuré avec le service Routage et accès distant, les clients
distants peuvent utiliser l’Explorateur Windows pour établir des connexions à des unités et se
connecter à des imprimantes. Les connexions sont permanentes, ce qui signifie que les clients
ne doivent pas se reconnecter aux ressources réseau lors d’une session à distance.
Offrir un accès réseau étendu implique l’augmentation du niveau de sécurité afin de protéger
le réseau contre tout accès non autorisé et empêcher l’utilisation d’équipement interne. Pour
ce faire, vous pouvez appliquer une authentification renforcée afin de valider l’identité des
utilisateurs, en plus d’un cryptage renforcé destiné à protéger les données.
En règle générale, les méthodes d’authentification utilisent un protocole d’authentification
négocié lors de l’établissement d’une connexion. Le serveur d’accès distant (serveur)
configuré avec le service Routage et accès distant) gère l’authentification entre le client
d’accès distant et le contrôleur de domaine.
Dans une infrastructure à plusieurs serveurs d’accès réseau, il est possible de centraliser
l’authentification en utilisant le service RADIUS afin d’authentifier et d’autoriser les clients
d’accès réseau. L’utilisation de ce service dispense chacun des serveurs d’accès de votre
réseau d’effectuer les opérations d’authentification et d’autorisation.
Les domaines Active Directory contiennent les comptes d’utilisateurs, les mots de passe et les
propriétés d’accès à distance nécessaires pour authentifier les informations d’identification
des utilisateurs et évaluer les contraintes d’autorisation et de connexion.
Une fois un client connecté à votre réseau, vous pouvez contrôler l’accès aux ressources au
moyen de divers contrôles administratifs sur l’ordinateur client et les serveurs d’accès réseau,
parmi lesquels : Partage de fichiers et d’imprimantes, Stratégie de groupe local et Stratégie de
groupe via le service Active Directory.
3- Configuration requise pour un serveur d’accès réseau :
Un serveur d’accès réseau est un serveur qui fait office de passerelle vers un réseau pour un client. Dans ce module, le serveur d’accès réseau est un serveur configuré avec le service Routage et accès distant. Il peut également être qualifié de serveur d’accès distant (pour lesconnexions d’accès à distance) ou de serveur VPN, selon le type de connexion qu’il est habilité à négocier. Lors de l’activation initiale du service Routage et accès distant sur un serveur, l’Assistant Installation du serveur de routage et d’accès distant apparaît. Il affiche des instructions pour vous aider à configurer correctement votre serveur d’accès réseau. Avant de configurer votre serveur d’accès réseau, vous devez disposer des informations de configuration suivantes :
- Quelle est la finalité du serveur : routeur et/ou serveur d’accès distant ?
- Quels sont les fournisseurs et méthodes d’authentification utilisés ?
- Un client réseau est-il autorisé à accéder uniquement à ce serveur ou à l’ensemble du réseau ?
- Comment les adresses IP (Internet Protocol) doivent-elles être affectées aux clients qui se connectent ?
- Quelles sont les options de configuration PPP (Point-to-Point Protocol) ?
- Quelles sont les préférences en matière d’enregistrement des événements ?
3-a Client d’accès réseau :
Pour gérer un réseau informatique, l’administrateur doit rendre les ressources réseau accessibles aux utilisateurs qui ne sont pas directement connectés au réseau local. Ces utilisateurs peuvent être des employés, des sous-traitants, des fournisseurs ou encore desclients. Quant à l’accès au réseau, il peut s’effectuer au moyen de connexions d’appel entrant, Internet ou sans fil. En votre qualité d’administrateur système, il vous appartient de configurer un accès sécurisé pour les utilisateurs autorisés à se connecter à votre réseau et de refuser cet accès aux autres utilisateurs. Vous devez donc être en mesure de configurer et de sécuriser votre serveur d’accès réseau pour les méthodes d’accès suivantes :
- Réseau privé virtuel (VPN)
- Accès réseau à distance
- Accès sans fil
Un client VPN se connecte via un réseau public ou partagé, comme Internet, selon une méthode qui émule une liaison point à point sur un réseau privé. Un client d’accès à distance se connecte par le biais d’un réseau de communication, tel que le réseau téléphonique public commuté (RTPC), afin de créer une connexion physique à un port sur un serveur d’accès distant situé sur un réseau privé. Plusieurs technologies peuvent être utilisées pour établir ce type de connexion au serveur d’accès distant : modem, carte RNIS ou adaptateur DSL. Dans le cas d’un client sans fil, la connexion s’établit au moyen de technologies infrarouges (IR) ou à fréquences radio (RF) optimisées pour les connexions à courte distance. Parmi les dispositifs utilisés couramment dans le cadre des réseaux sans fil, citons les ordinateurs portables, les ordinateurs de poche, les assistants numériques (PDA), les téléphones cellulaires, les ordinateurs avec stylet et les récepteurs de radiomessagerie.
3-b Autorisation et authentification de l’accès réseau :
Lorsqu’une entreprise décide d’étendre l’accès à son réseau, elle doit également veiller à ce que son niveau de sécurité soit suffisamment élevé pour protéger le réseau contre tout accès non autorisé et empêcher l’utilisation d’équipement interne.
Dans le cas des connexions VPN, sans fil et d’accès à distance, Microsoft Windows Server. 2003 implémente l’authentification dans deux processus : ouverture de session interactive et autorisation d’accès au réseau. Pour accéder aux ressources réseau, l’utilisateur doit obligatoirement satisfaire à ces deux processus. Il est essentiel de faire la distinction entre authentification et autorisation pour bien comprendre comment les tentatives de connexion sont acceptées ou refusées.
- L’authentification est la validation des informations d’identification lors d’une tentative de connexion. Cette procédure d’ouverture de session comprend l’envoi des informations d’identification du client d’accès réseau (un nom et un mot de passe, par exemple) vers le serveur d’accès réseau en texte clair ou sous une formecryptée en utilisant un protocole d’authentification. L’identification de l’utilisateur est ensuite transmise à un compte de domaine pour confirmation.
- L’autorisation est la procédure par laquelle le serveur vérifie que la tentative de connexion est autorisée. Une fois le client distant authentifié, l’accès lui est autorisé ou refusé en fonction des informations d’identification du compte et des stratégies d’accès distant. La procédure d’autorisation ne peut avoir lieu qu’après une tentative d’ouverture de session réussie. En cas d’échec, l’accès est refusé.
