Outils pour utilisateurs

Outils du site


windows:reseau-acces

VPN : Service de routage et accès distant

VPN

L'infrastructure sous-jacente d'un service d'accès réseau complet dans Windows Server 2008 inclut généralement les composants suivants :

RESEAU accès

  • Serveur VPN. Fournit la connectivité à distance en s'appuyant sur des connexions VPN L2TP (Layer Two Tunneling Protocol) ou PPTP (Point-to-Point Tunneling Protocol) sur un réseau public, tel qu'Internet.
  • Services d'annuaire d'Active Directory®. Répondent aux demandes d'authentification lors des tentatives de connexion des clients distants.
  • Serveur DHCP (Dynamic Host Configuration Protocol). Fournit une configuration IP aux connexions entrantes acceptées pour la connectivité réseau au réseau local de l'entreprise.
  • Serveur de stratégie de contrôle d'intégrité NAP. Crée des stratégies de contrôle d'intégrité qui dictent les conditions d'intégrité auxquelles les clients qui se connectent doivent répondre pour pouvoir accéder au réseau.
  • Autorité HRA (Health Registration Authority). Délivre des certificats d'intégrité aux clients qui passent avec succès la vérification de la stratégie de contrôle d'intégrité.
  • Serveurs de mise à jour. Proposent des services de mise à jour aux clients qui ne répondent pas aux conditions d'intégrité du réseau d'entreprise. Les serveurs de mise à jour sont des serveurs spéciaux sur un réseau limité.

Services de stratégie et d'accès réseau

Le rôle Services de stratégie et d'accès réseau dans Windows Server 2008 fournit les solutions de connectivité réseau suivantes :

  • Protection d'accès réseau (NAP). Il s'agit d'une technologie de création, d'application et de mise à jour de stratégie de contrôle d'intégrité du client qui est incluse dans le système d'exploitation client Windows Vista™ et dans le système d'exploitation Windows Server 2008. La protection d'accès réseau (NAP) permet aux administrateurs système d'établir des stratégies de contrôle d'intégrité et de les appliquer automatiquement. Ces stratégies définissent les configurations requises en matière de logiciels, de matériel et de mise à jour de sécurité, ainsi que d'autres paramètres. Si des ordinateurs clients ne sont pas conformes à la stratégie de contrôle d'intégrité, vous pouvez restreindre leur accès réseau tant que leur configuration n'a pas été mise à jour dans le but de la rendre conforme. Selon le mode de déploiement de la protection d'accès réseau (NAP) que vous choisissez, les clients non conformes peuvent être automatiquement mis à jour afin que les utilisateurs puissent rapidement bénéficier d'un accès complet au réseau sans avoir à mettre à jour ou reconfigurer manuellement leurs ordinateurs.
  • Accès sans fil et câblé sécurisé. Lorsque vous déployez des points d'accès sans fil 802.1X, l'accès sans fil sécurisé offre aux utilisateurs sans fil une méthode d'authentification facile à déployer reposant sur un mot de passe sécurisé. Lorsque vous déployez des commutateurs d'authentification 802.1X, l'accès câblé vous permet de sécuriser votre réseau en veillant à ce que les utilisateurs de l'intranet soient authentifiés avant qu'ils ne puissent se connecter au réseau ou obtenir une adresse IP à l'aide du protocole DHCP.
  • Solutions d'accès à distance. Ces solutions vous permettent de proposer aux utilisateurs un accès VPN ou un accès à distance traditionnel au réseau de votre organisation. Vous pouvez également connecter des succursales à votre réseau à l'aide de solutions VPN, déployer des routeurs logiciels complets sur votre réseau et partager des connexions Internet sur l'intranet.
  • Gestion centralisée de la stratégie réseau avec un serveur et un proxy RADIUS. Plutôt que configurer la stratégie d'accès réseau au niveau de chaque serveur d'accès réseau, tel que les points d'accès sans fil, les commutateurs d'authentification 802.1X, les serveurs VPN et les serveurs d'accès à distance, vous pouvez créer à un seul et même emplacement des stratégies qui spécifient tous les aspects des demandes de connexion réseau, notamment qui est autorisé à se connecter, à quel moment et quel niveau de sécurité doit être utilisé pour la connexion à votre réseau.

RESEAU StratégieRESEAU stratégie














Console d'administration du serveur NPS

Console NPS

Console d'administration Routage et Accès Distant

Console routage et accès distant

Authentification réseau et autorisation

Il est essentiel de bien saisir la différence entre l'authentification et l'autorisation pour comprendre pourquoi les tentatives de connexion sont acceptées ou refusées.

RESEAU Authentification

  • L'authentification est la vérification des informations d'identification lors de la tentative de connexion. Ce processus consiste à envoyer les informations d'identification du client d'accès à distance au serveur d'accès à distance sous forme de texte en clair ou sous forme chiffrée à l'aide d'un protocole d'authentification.
  • L'autorisation est la procédure par laquelle le serveur vérifie que la tentative de connexion est autorisée. La phase d'autorisation ne se déroule qu'en cas de réussite de la phase d'authentification.

Types de méthodes d'authentification

L'identification des clients d'accès constitue un problème important en matière de sécurité. En règle générale, les méthodes d'authentification utilisent un protocole d'authentification qui est négocié lors de l'établissement de la connexion.

RESEAU methode

Intégration de serveurs DHCP au service de routage et d'accès à distance

Vous pouvez déployer le service Serveur DHCP avec le service de routage et d'accès à distance de manière à fournir aux clients d'accès à distance une adresse IP affectée de manière dynamique pendant la connexion. Lorsque vous utilisez ces deux services sur le même serveur, les informations fournies pendant la configuration dynamique le sont d'une manière différente par rapport à la configuration DHCP classique des clients de réseau local.

RESEAU intégration

Connexion VPN

Pour émuler une liaison point à point, les données sont encapsulées (ou intégrées) dans un en-tête. Cet en-tête contient des informations de routage permettant aux données devant être transmises sur le réseau partagé ou public d'atteindre leur destination. Pour émuler une liaison privée, les données sont chiffrées à des fins de confidentialité. Les paquets qui sont interceptés sur le réseau partagé ou public sont indéchiffrables sans clé de chiffrement. La liaison dans laquelle les données privées sont encapsulées et chiffrées est appelée connexion VPN.

VPNVPN composant















  • Connexions VPN d'accès à distance

Les connexions VPN d'accès à distance permettent aux utilisateurs itinérants ou travaillant à leur domicile d'accéder à un serveur sur un réseau privé en utilisant l'infrastructure fournie par un réseau public, comme Internet. Du côté de l'utilisateur, la connexion VPN est une connexion point à point entre l'ordinateur (le client VPN) et le serveur d'une organisation. L'infrastructure exacte du réseau partagé ou public n'a pas d'importance car cette connexion fonctionne logiquement comme si les données étaient envoyées sur une liaison privée dédiée.

  • Connexions VPN de site à site

Les connexions VPN de site à site (également appelées connexions VPN routeur à routeur) permettent aux organisations d'utiliser des connexions routées entre des bureaux éloignés les uns des autres ou avec d'autres organisations sur un réseau public tout en assurant la sécurité des communications. Une connexion VPN routée sur Internet fonctionne logiquement comme une liaison de réseau étendue dédiée. Lorsque des réseaux se connectent via Internet, comme illustré dans la figure qui suit, un routeur transmet les paquets à un autre routeur par l'intermédiaire d'une connexion VPN. Du côté des routeurs, la connexion VPN fonctionne comme une liaison de couche de liaison de données.

Protocoles de tunneling VPN

Le tunneling permet d'encapsuler un paquet utilisant un certain type de protocole dans le datagramme d'un protocole différent. Par exemple, les connexions VPN utilisent le protocole PPTP pour encapsuler des paquets IP sur un réseau public, comme Internet. Vous pouvez également configurer une solution VPN reposant sur le protocole PPTP, L2TP ou SSTP.

VPN protocoles

PPTP

Le protocole PPTP vous permet de chiffrer et d'encapsuler dans un en-tête IP le trafic multiprotocole qui est ensuite envoyé sur un réseau IP ou sur un réseau IP public comme Internet. Vous pouvez utiliser le protocole PPTP pour les connexions d'accès à distance et les connexions VPN de site à site. Si vous utilisez Internet comme réseau public VPN, le serveur PPTP est un serveur VPN PPTP avec une interface sur Internet et une seconde interface sur le réseau intranet.
  • Encapsulation : le protocole PPTP encapsule des trames PPP dans des datagrammes IP en vue de la transmission sur le réseau. Le protocole PPTP utilise une connexion TCP pour gérer les tunnels et une version modifiée du protocole GRE (Generic Routing Encapsulation) pour encapsuler des trames PPP pour les données en tunnel. Les charges utiles des trames PPP encapsulées peuvent être chiffrées et/ou compressées.
  • Chiffrement : la trame PPP est chiffrée avec le chiffrement Microsoft Point-to-point (MPPE, Microsoft Point-to-Point Encryption) à l'aide des clés de chiffrement générées par le processus d'authentification MS-CHAPv2 ou EAP-TLS. Les clients VPN doivent utiliser le protocole d'authentification MS-CHAPv2 ou EAP-TLS pour que les charges utiles des trames PPP soient chiffrées. Le protocole PPTP tire parti du chiffrement PPP sous-jacent et de l'encapsulation d'une trame PPP précédemment chiffrée.

L2TP

Le protocole L2TP vous permet de chiffrer le trafic multiprotocole qui doit être envoyé via tout support prenant en charge la remise de datagramme point à point, comme le trafic IP ou le mode de transfert asynchrone. Le protocole L2TP est une combinaison des protocoles PPTP et L2F (Layer 2 Forwarding). Il regroupe les meilleures fonctionnalités des deux.

À la différence du protocole PPTP, l'implémentation Microsoft du protocole L2TP n'utilise pas le chiffrement MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP s'appuie sur IPsec en mode transport pour les services de chiffrement. La combinaison des protocoles L2TP et IPsec est appelée L2TP/IPsec.

Le client et le serveur VPN doivent tous deux prendre en charge les protocoles L2TP et IPsec. La prise en charge du protocole L2TP par le client est intégrée dans les clients d'accès à distance Windows Vista et Windows XP ; tandis que la prise en charge du protocole L2TP par le serveur VPN est intégrée dans les produits de la famille Windows Server 2008 et Windows Server 2003.

Remarque : le protocole L2TP est installé avec le protocole TCP/IP.

  • Encapsulation : l'encapsulation de paquets L2TP/IPsec est formée de deux couches :

Première couche : encapsulation L2TP Une trame PPP (datagramme IP) est encapsulée avec un en-tête L2TP et un en-tête UDP (User Datagram Protocol).

Seconde couche : encapsulation IPsec Le message L2TP résultant est encapsulé avec un en-tête et un code de fin ESP (Encapsulating Security Payload) IPsec, un code de fin d'authentification IPsec qui fournit l'intégrité et l'authentification des messages, et un en-tête IP final. L'en-tête IP contient les adresses IP source et de destination qui correspondent au client et au serveur VPN.

  • Chiffrement : le message L2TP est chiffré avec l'algorithme DES (Data Encryption Standard) ou 3DES (Triple DES) en utilisant les clés de chiffrement générées par le processus de négociation IKE.

SSTP

Le protocole SSTP est un nouveau protocole de tunneling qui utilise le protocole HTTPS (Secure Hypertext Transfer Protocol) sur le port TCP 443 pour faire transiter le trafic à travers des pare-feux et des proxys Web qui peuvent bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP propose un mécanisme permettant d'encapsuler le trafic PPP sur le canal SSL (Secure Sockets Layer) du protocole HTTPS. L'utilisation du protocole PPP permet la prise en charge de méthodes d'authentification fortes, telles qu'EAP-TLS. Le protocole SSL offre une sécurité de niveau du transport avec une négociation des clés améliorée, le chiffrement et le contrôle d'intégrité.

Lorsqu'un client essaie d'établir une connexion VPN basée sur le protocole SSTP, ce dernier commence par établir une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets du protocole sont transmis comme charge utile des données :

  • Encapsulation : le protocole SSTP encapsule des trames PPP dans des datagrammes IP en vue de la transmission sur le réseau. Le protocole SSTP utilise une connexion TCP (sur le port 443) pour la gestion des tunnels et comme trames de données PPP.
  • Chiffrement : le message SSTP est chiffré avec le canal SSL du protocole HTTPS.


VPN needVPN tâches supplémentaires















Processus de création et de configuration d'une stratégie réseau

Le serveur NPS utilise des stratégies réseau (auparavant appelées stratégies d'accès à distance) et les propriétés de numérotation des comptes d'utilisateurs pour déterminer si une demande de connexion réseau peut être autorisée. Vous pouvez configurer une nouvelle stratégie réseau dans le composant logiciel enfichable MMC Serveur NPS ou Service de routage et d'accès à distance.

RÉSEAU conf de la stratégieRÉSEAU fonctionnement des stratégies reseau













Lorsque le serveur NPS exécute le processus d'autorisation d'une demande de connexion, il compare la demande à chaque stratégie réseau de la liste triée de stratégies, en commençant par la première stratégie. S'il trouve une stratégie dont les conditions correspondent à la demande de connexion, le serveur NPS utilise la stratégie correspondante et les propriétés de numérotation du compte d'utilisateur pour réaliser l'autorisation. Si vous configurez les propriétés de numérotation du compte d'utilisateur de manière à accorder ou à contrôler l'accès par le biais d'une stratégie réseau, et si la demande de connexion est autorisée, le serveur NPS applique les paramètres configurés dans la stratégie réseau à la connexion :

  • Si le serveur NPS ne trouve pas de stratégie réseau qui corresponde à la demande de connexion, il refuse la connexion, sauf si les propriétés de numérotation du compte d'utilisateur sont configurées pour accorder l'accès.
  • Si les propriétés de numérotation du compte d'utilisateur sont configurées pour refuser l'accès, le serveur NPS rejette la demande de connexion.

Assistant de stratégie réseau

Assistant de Stratégie Réseau

Kit d'administration de Connection Manager

Connection Manager est un outil de connexion réseau client qui permet à un utilisateur de se connecter à un réseau distant, tel qu'un fournisseur de services Internet ou un réseau d'entreprise protégé par un serveur VPN.

Kit d'administrationConf admin kit














Le Kit d'administration de Connection Manager (CMAK) est un outil que vous pouvez utiliser pour personnaliser l'expérience de connexion à distance des utilisateurs de votre réseau en créant des connexions prédéfinies à des serveurs et des réseaux à distance. Utilisez l'Assistant Kit d'administration de Connection Manager pour créer et personnaliser une connexion pour vos utilisateurs.

Assistant CMAK

Console CMAK

Journalisation et debug d'une connexion à distance

Le service de routage et d'accès à distance de Windows Server 2008 propose une fonction de suivi étendue que vous pouvez utiliser pour résoudre les problèmes réseau complexes. À l'aide de la commande Netsh ou par le biais du Registre, vous pouvez activer l'enregistrement des informations de suivi dans des fichiers par les composants de Windows Server 2008.

RESEAU JournalisationVPN erreurs












RESEAU LogRESEAU Log

Pour configurer l'enregistrement des connexions d'accès à distance, ouvrez la console Service de routage et d'accès à distance, cliquez avec le bouton droit sur nom_serveur, puis cliquez sur Propriétés. Cliquez sur l'onglet Enregistrement pour afficher les options disponibles pour le journal de suivi et connaître son emplacement.

Activer tous les enregistrements de logs d'accès distant

RESEAU Log accès

  • Le serveur NPS peut enregistrer des informations dans une base de données SQL Server et/ou dans un fichier local.
windows/reseau-acces.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page