Professional Documents
Culture Documents
Sommaire
1. Introduction
- Prsentation du service routage et accs distant
- Infrastructure logicielle et matrielle de l'accs distance
- Principe de fonctionnement de l'accs distance
Conclusion
1
Module : MQ8 TP : VPN sous Windows Server
I- Introduction
Le service Routage et Accs Distant encore appel RRAS (pour Routing and Remote Access Service)
possde deux fonctions principales :
Il permet de faire communiquer entre-eux des rseaux diffrents ou des sous-rseaux diffrents (routage)
Il permet des clients situ dans une zone gographiquement loigne de l'entreprise d'accder au rseau
interne de l'entreprise (accs distance)
Mise en place de l'accs distance avec le service Routage et accs distant de Microsoft Windows 2003 Server.
a/ infrastructure logicielle
Pour tre mis en place dans un environnement Microsoft, l'accs distance requiert la prsence de plusieurs
services:
Un logiciel d'accs distants client
Le service Routage et Accs distant
Le service d'annuaire Active Directory
Possible d'utiliser un service spcifique nomm IAS (Internet Authentification Service) pour centraliser les
demandes d'authentification des clients d'accs distant.
b/ infrastructure matrielle
Gnralement, une machine ddie est utilise pour jouer le rle de contrleur de domaine et une autre
machine est utilise excuter le service Routage et Accs Distant. Voici une topologie rseau type en ce qui
concerne l'accs distance :
Comme le montre le schma ci-dessus, divers types de rseau peuvent utiliss pour tablir la connexion entre
l'ordinateur client et le serveur d'accs distant. Les trois principaux sont :
les connexions VPN (Virtual Private Network) qui utilisent un rseau public (le plus souvent Internet).
les connexions d'accs distance qui utilisent un Rseau Numrique Intgration de Service (RNIS),
comme par exemple Numris de l'oprateur tlphonique France Tlcom.
les connexions sans fil (ou wireless) qui utilisent des technologies bases sur la propagation d'ondes
(infrarouge, bluetooth, WiFi, WiMAX,...).
2
Module : MQ8 TP : VPN sous Windows Server
3
Module : MQ8 TP : VPN sous Windows Server
Il faut taper
rrasmgmt.msc
dans la boite
de dialogue
excuter pour
lancer la
console
Routage et
Accs Distant.
Pour activer le
service, il faut
faire un clic
droit sur le
nom du
serveur et
cliquer sur
Configurer et
activer le
routage et
l'accs distant.
4
Module : MQ8 TP : VPN sous Windows Server
On slectionne le mode configuration personnalise pour pouvoir choisir les services que l'on souhaite installer.
5
Module : MQ8 TP : VPN sous Windows Server
L'assistant se termine.
Une fois le service Routage et Accs Distant install, l'arborescence se complte et on a accs plus d'options :
Interface Rseau : liste les cartes rseau et les modems actuellement
connects la machine et permet d'ajouter des connexions de
numrotation la demande.
Clients d'accs distant : liste le nombre de clients actuellement
connects au serveur d'accs distant et offre la possibilit de forcer la
fermeture des sessions d'accs distants.
Ports : Un port est un priphrique virtuel permettant aux clients de se
connecter au serveur. Le nombre de ports configurs est paramtrable
pour chaque type de connexion (par exemple, il est possible de dfinir
un nombre de ports pour les connexions via le protocole PPTP). Cette
vue permet de constater l'tat actif ou inactif de chaque port.
Routage IP : Permet de configurer le routage des paquets IP. Il est
possible ici de configurer les interfaces, d'ajouter des protocoles
(comme le NAT, OSPF ou RIPv2) afin de permettre la dcouverte
automatique de routeurs. Cette fentre permet aussi de dfinir une
interface en tant qu'agent de relais DHCP.
Stratgies d'accs distant : Une stratgie d'accs distant est un
ensemble de conditions dfinissant qui pourra accder distance au
rseau et quelles seront les caractristiques de cette connexion. Les
critres d'acceptation ou de refus de connexions sont trs varis. Il est
possible de configurer une stratgie pour refuser ou accepter un
connexion suivant une plage horaire, appartenance un groupe, type
de service, protocole utilis, temps maximum de connexion etc
L'ordre de placement des stratgies est trs importante car c'est la
premire stratgie concerne qui servira accepter ou refuser la
connexion. Les stratgies d'accs distant ne sont pas stockes dans
l'active Directory, mais dans le fichier local IAS.mdb. Une solution
pour appliquer les mme stratgies d'accs distant plusieurs serveur
d'accs distant est d'utiliser un serveur utilisant le protocole RADIUS.
Le serveur RADIUS de Microsoft se nomme IAS (Internet
Authentification Service) et se prsente sous la forme d'un service
optionnel.
Connexion par accs distant : Cette fentre permet de paramtrer la
journalisation (emplacement du journal, types d'vnements
enregistrer,...)
6
Module : MQ8 TP : VPN sous Windows Server
7
Module : MQ8 TP : VPN sous Windows Server
8
Module : MQ8 TP : VPN sous Windows Server
Pour autoriser un utilisateur se connecter au rseau interne de l'entreprise, le serveur d'accs distant doit autoriser
et authentifier cet utilisateur en comparant l'identifiant et le mot de passe avec les informations contenues dans le
service d'annuaire Active Directory. Pour que le serveur d'accs distant puisse se connecter au contrleur de
domaine et effectuer ces actions, deux conditions doivent tre remplies :
o le serveur d'accs distant doit tre membre du domaine.
o le serveur d'accs distant doit tre explicitement autoris pour accder aux informations contenues dans le
service d'annuaire Active Directory (pour cela il faut utiliser la commande netsh).
Une stratgie d'accs distant est un ensemble de conditions dfinissant qui pourra accder distance au rseau
et quelles seront les caractristiques de cette connexion. Les critres d'acceptation ou de refus de connexions
sont trs varis. Il est possible de configurer une stratgie pour refuser ou accepter une connexion suivant une
plage horaire, appartenance un groupe, type de service, protocole utilis, temps maximum de connexion etc
L'ordre de placement des stratgies est trs important car c'est la premire stratgie concerne qui servira
accepter ou refuser la connexion. Les stratgies d'accs distant ne sont pas stockes dans le service d'annuaire
Active Directory, mais dans le fichier local IAS.mdb (situ dans le rpertoire c:\windows\system32\isa).
9
Module : MQ8 TP : VPN sous Windows Server
Il faut commencer par donner un nom la stratgie et choisir le type de paramtrage. L'assistant propose d'utiliser
un scnario prdfini ou bien de personnaliser totalement la stratgie d'accs distant (rserv aux utilisateurs
expriments en raison du nombre de protocoles disponibles).
10
Module : MQ8 TP : VPN sous Windows Server
Il existe quatre types mthodes d'accs dfinies par dfaut. Dans cet exemple, une connexion VPN (Virtual Private
Network) est mise en place.
Il faut ensuite slectionner le ou les groupes qui ont l'autorisation de se connecter distance.
11
Module : MQ8 TP : VPN sous Windows Server
Ensuite, il faut choisir le protocole d'authentification qui sera utilis (le choix par dfaut est le protocole MS-CHAP
V2).
12
Module : MQ8 TP : VPN sous Windows Server
13
Module : MQ8 TP : VPN sous Windows Server
14
Module : MQ8 TP : VPN sous Windows Server
15
Module : MQ8 TP : VPN sous Windows Server
Une fois en place et correctement paramtr le serveur IAS joue le rle d'intermdiaire entre les serveurs d'accs
distant et le contrleur de domaine ceci modifie donc les tapes lors de l'tablissement d'une connexion d'accs
distance :
1. Un client contacte le serveur d'accs distant et lui envoie un identifiant avec un mot de passe pour tenter
d'tablir la connexion.
2. Le serveur d'accs distant (qui est un client RADIUS du point de vue du serveur IAS) envoie la demande
d'authentification au serveur IAS en UDP via les ports 1812 et 1813.
3. Le serveur IAS excute les phases d'authentification et d'autorisation auprs d'un contrleur de domaine
4. Si l'utilisateur distant a correctement t identifi alors le serveur IAS compare les stratgies d'accs distant
configures avec la demande de connexion du client.
5. Si les paramtres de la demande de connexion concordent avec une stratgie d'accs distant alors le serveur
IAS envoie un message au serveur d'accs distant qui fournit ensuite une adresse IP au client.
Pour lancer l'installation du service IAS, allez dans le panneau de configuration, puis
slectionnez ajout/suppression de programmes. Cliquez ensuite sur le bouton Ajouter ou
supprimer des composants de Windows.
Dans la premire fentre de l'assistant Composants de Windows, slectionnez l'option Services de mise en rseau.
16
Module : MQ8 TP : VPN sous Windows Server
Enfin cchez la case Service d'authentification Internet puis cliquez sur OK. Enfin faites suivant pour lancer
l'installation d'IAS.
Une fois le service install, vous pouvez y accder en tapant ias.msc dans la boite de dialogue excut ou bien en
cliquant sur Service d'authentification Internet dans les outils d'administration.
17
Module : MQ8 TP : VPN sous Windows Server
Client RADIUS
Le conteneur Clients RADIUS liste l'ensemble des serveurs
d'accs distants qui sont des clients vis--vis du serveur IAS. Pour
qu'un serveur d'accs distant fasse partie de cette liste, il suffit de
l'y ajouter en utilisant l'assistant Ajouter un client RADIUS.
Pour ajouter un client RADIUS, il suffit d'entrer son nom de domaine pleinement qualifi (FQDN) ou bien son
adresse IP ainsi qu'une chane de caractre permettant de le reconnatre facilement.
18
Module : MQ8 TP : VPN sous Windows Server
Il faut ensuite choisir le type de technologie RADIUS utiliser (ici RADIUS standard), une cl partage
(optionnelle) pour crypter les changes entre le client et le serveur IAS. On peut aussi ccher la case Les requtes
doivent contenir l'attribut de l'authentificateur de message qui aura pour effet de forcer le client RADIUS
s'authentifier chaque connexion auprs du serveur IAS en envoyant une signature numrique.
19
Module : MQ8 TP : VPN sous Windows Server
20
Module : MQ8 TP : VPN sous Windows Server
21
Module : MQ8 TP : VPN sous Windows Server
22
Module : MQ8 TP : VPN sous Windows Server
Une connexion rseau priv virtuel ou VPN (Virtual Private Network) permet deux entits de communiquer
entres-elle de faon scurise en passant par un rseau public (non scuris) comme Internet. Les rseaux privs
virtuels sont souvent utiliss dans le cadre de l'accs distance car ils permettent un utilisateur lambda d'accder
aux ressources internes de l'entreprise en utilisant un rseau dont le cot de location est faible (Internet) de manire
scurise. Pour cela les rseaux privs virtuels utilisent des protocoles spcifiques comme PPTP ou bien encore
L2TP/IPSec appels protocole de tunnel.
Les protocoles de tunnel chiffrent les trames de donnes puis encapsulent ces trames dans des paquets IP qui sont
envoys sur Internet. La scurit des donnes est maximale puisque les adresses IP prives (celle du client et du
serveur d'accs distant) sont chiffres. Il est donc impossible pour un utilisateur non autoris d'avoir accs aux
donnes circulant sur la toile.
Les protocoles de cryptage utiliss par PPTP et L2TP sont respectivement MPPE et IPSec.
23
Module : MQ8 TP : VPN sous Windows Server
Choisissez :
o Connexion d'accs distance si vous souhaitez vous connecter distance via une ligne RNIS
o Connexion rseau priv virtuel si vous souhaitez vous connecter au rseau interne de l'entreprise via
Internet.
24
Module : MQ8 TP : VPN sous Windows Server
Entrez ensuite le nom DNS pleinement qualifi (FQDN) ou bien l'adresse IP du serveur d'accs distant.
25
Module : MQ8 TP : VPN sous Windows Server
Vous pouvez aussi envisager l'installation d'un pare-feu comme ISA Server afin d'augmenter le niveau de scurit
du rseau interne de l'entreprise.
Conclusion :
La console Routage et accs distant (RRAS) regroupe toutes les fonctionnalits ncessaires la cration de
connexions d'accs distant. Les mthodes d'accs distant proposes (rseau priv virtuel, sans fil,...) permettent une
adaptation tous les cas de figure envisageables. L'association des profils d'accs distant et des stratgies d'accs
distant permet de scuriser et de rglementer de faon trs fine une connexion travers un rseau public comme
Internet. De plus, la mise en place du service IAS facilite la maintenance des stratgies d'accs distant grce
l'utilisation du protocole RADIUS qui permet la centralisation des requtes d'authentification.
En conclusion, l'infrastructure intgre Windows 2000/2003 server permet de mettre en place rapidement un
service d'accs distance fiable, scuris et hautement paramtrable.
26