Le service Routage et accès distant (2)
[07:27 | ]




3-c Méthodes d’authentification disponibles:
L’authentification des clients d’accès distant constitue un problème important en matière de sécurité. En règle générale, les méthodes d’authentification utilisent un protocole d’authentification négocié lors de l’établissement de la connexion. Les produits de la famille Windows Server 2003 prennent en charge les méthodes d’authentification ci-dessous.




Le service Routage et accès distant propose plusieurs protocoles plus ou moins sécurisé pour authentifier les utilisateurs distant :
  • PAP (Password Authentification Protocol) est un protocole non sécurisé car les identifiants et les mots de passe sont envoyés en clair (c'est-à-dire sans cryptage) entre le client et le serveur d'accès distant.
  • SPAP (Shiva Password Authentification Protocol)permet aux machines clientes équipées avec du matériel de marque Shiva de se connecter au serveur d'accès distant. Les mots de passe sont protégés par un cryptage réversible (faible sécurité).
  • CHAP (Challenge Handshake Authentification Protocol) autorise le cryptage des mots de passe envoyés du client vers le serveur d'accès distant.
  • MS-CHAP (Microsoft CHAP) est un protocole propriétaire de Microsoft basé sur CHAP. Il utilise le protocole de cryptage MPPE (Microsoft Point-to-Point Encryption) et est supporté depuis Windows 95.
  • MS-CHAP V2 est une amélioration du protocole MS-CHAP avec des clés de cryptage plus fortes et une authentification mutuelle entre le client et le serveur d'accès distant. Il a été implémenté à partir de Windows 98.
  • EAP (Extensible Authentification Protocol) est un protocole évolutif qui permet d'authentifier du matériel propriétaire de manière sécurisée.
  • MD-5 challenge cette methode permet une autorisation EAP au moyen combinaisons nom/mot de passe standard.
4- Configuration d’une connexion VPN :
4-a Fonctionnement d’une connexion VPN :




Le service Routage et accès distant fournit des services VPN pour permettre aux utilisateurs d’accéder à des réseaux d’entreprise de manière sécurisée en cryptant les données transmises sur un réseau de transport non sécurisé, comme Internet . Un réseau privé virtuel (VPN, Virtual Private Network) est l’extension d’un réseau privé qui englobe des liaisons à travers des réseaux partagés ou publics, comme Internet. Ce type de réseau permet un échange de données cryptées entre deux ordinateurs à travers un réseau partagé ou public, selon un mode qui émule une liaison point à point sur un réseau privé. Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l’aide d’un en-tête qui contient les informations de routage, ce qui permet aux données de traverser le réseau partagé ou public jusqu’à leur destination finale. Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets interceptés sur le réseau partagé ou public ne peuvent pas être lus sans les clés de cryptage. La liaison servant à l’encapsulation et au cryptage des données privées est une connexion VPN. Une connexion VPN est également désignée sous le nom de tunnel VPN. Le processus d’établissement d’une connexion VPN est décrit ci-dessous :
 1. Un client VPN établit une connexion VPN à un serveur d’accès distant/VPN relié à Internet. (Le serveur VPN fait office de passerelle. Il est, en principe, configuré en vue de fournir l’accès à tout le réseau auquel il est connecté.) 
2. Le serveur VPN répond à l’appel virtuel.
3. Le serveur VPN authentifie l’appelant et vérifie son autorisation de connexion. 
4. Le serveur VPN transfère les données entre le client VPN et le réseau d’entreprise. Les réseaux privés virtuels permettent aux utilisateurs ou aux entreprises de se connecter à des serveurs distants, des succursales ou à d’autres entreprises sur un réseau public, tout en bénéficiant de communications sécurisées. Aux yeux de l’utilisateur, la connexion sécurisée apparaît toujours comme une communication sur un réseau privé, et ce, bien qu’elle soit établie sur un réseau public. Autres avantages : 
  • Réduction des coûts. Le réseau VPN n’utilise pas de ligne téléphonique et requiert un minimum de matériel (c’est à votre fournisseur de services Internet qu’il appartient de gérer l’équipement de communication). 
  • Sécurité accrue. Les données sensibles sont dissimulées pour les utilisateurs non autorisés, mais les utilisateurs autorisés peuvent y accéder par l’intermédiaire de la connexion. Le serveur VPN applique l’authentification et le cryptage. 
  • Prise en charge des protocoles réseau. Vous pouvez exécuter à distance une application qui dépend des protocoles réseau les plus courants, dont TCP/IP (Transmission Control Protocol/Internet Protocol). 
  • Sécurité des adresses IP. Les informations envoyées sur un réseau privé virtuel étant cryptées, les adresses que vous spécifiez sont protégées et seule l’adresse IP externe est visible pour le trafic transmis sur Internet. Aucun frais administratif n’est lié à la modification des adresses IP pour l’accès distant sur Internet.

4-b Composants d’une connexion VPN :















Une connexion VPN est constituée des composants suivants :
  •  Serveur VPN. Ordinateur qui accepte les connexions VPN émanant de clients VPN ; un serveur configuré avec le service Routage et accès distant par exemple.
  •  Client VPN. Ordinateur qui amorce une connexion VPN à un serveur VPN.
  •  Réseau de transit. Réseau public ou privé traversé par les données encapsulées.
  •  Tunnel ou connexion VPN. Segment de la connexion dans lequel vos données sont cryptées et encapsulées.
  •  Protocoles de tunneling. Protocoles utilisés pour gérer les tunnels et encapsuler des données privées (c’est le cas du protocole PPTP, par exemple).
  •  Données en tunnel. Données acheminées généralement via une liaison point à point privée.
  •  Authentification. Dans une connexion VPN, l’identité du client et du serveur est authentifiée. Un réseau VPN authentifie également les données envoyées afin de s’assurer que les données reçues proviennent bien de l’autre extrémité de la connexion et qu’elles n’ont pas été interceptées et modifiées.
  •  Attribution d’un serveur de noms et d’adresses. Le serveur VPN est responsable de l’attribution d’adresses IP. Pour ce faire, il utilise soit le protocole par défaut, à savoir DHCP (Dynamic Host Configuration Protocol), soit un pool statique créé par l’administrateur. Il alloue également des adresses de serveur DNS (Domain Name System) et WINS (Windows Internet Name Service) aux clients. Les serveurs de noms alloués sont ceux qui desservent le réseau Intranet auquel le serveur VPN se connecte. 


4-c Protocoles de cryptage pour une connexion VPN:















Les produits de la famille Windows Server 2003 utilisent deux types de protocoles de tunneling (cryptage) pour sécuriser les communications :
  •  PPTP (Point-to-Point Tunneling Protocol). Utilisation des méthodes d’authentification PPP au niveau utilisateur et MPPE (Microsoft Point-to Point Encryption) pour le cryptage des données.
  •  L2TP/IPSec (Layer Two Tunneling Protocol with Internet Protocol Security). Utilisation des méthodes d’authentification PPP au niveau utilisateur sur une connexion cryptée avec la méthode IPSec. Cette méthode nécessite une authentification de l’hôte au moyen du protocole Kerberos, d’un secret partagé ou de certificats d’ordinateur.
Il est conseillé d’utiliser la méthode L2TP/IPSec avec des certificats pour bénéficier d’une authentification VPN sécurisée. Grâce à l’authentification et au cryptage IPSec, le transfert des données par l’intermédiaire d’un réseau privé virtuel compatible L2TP est aussi sûr qu’au sein d’un réseau local d’entreprise. Le client et le serveur VPN doivent prendre en charge les méthodes L2TP et IPSec. La prise en charge de L2TP par le client est intégrée dans le client d’accès distant Windows XP et la prise en charge de L2TP par le serveur VPN est intégrée dans les produits de la famille Windows Server 2003.