Configuration de l`accès distant

Configuration de l'accès distant
L'accès distant permet aux utilisateurs de se connecter à votre réseau à partir d'un site distant. Les premières tâches à effectuer pour
mettre en oeuvre un accès distant sont les suivantes : configurer le service Routage et accès distant, créer les connexions d'accès
distant appropriées sur les ordinateurs clients et paramétrer les droits d'accès des utilisateurs au serveur d'accès distant.
Après avoir installé et configuré le service Routage et accès distant, vous pouvez implémenter l'accès distant sur votre réseau
Microsoft® Windows® 2000. Vous pouvez configurer des protocoles d'authentification et de cryptage en vue d'améliorer la sécurité
de vos connexions d'accès distant, et utiliser le protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer des adresses
IP (Internet Protocol) aux clients d'accès à distance.
Windows 2000 permet aux clients distants de se connecter aux serveurs d'accès distant grâce à des matériels, comme les modems
analogiques, les cartes RNIS (Réseau numérique à intégration de services) et les modems DSL (Digital Subscriber Line). Le
serveur d'accès distant exécute le Routage et accès distant, qui prend en charge différents protocoles de transport de données et
protocoles de réseaux privés virtuels (VPN, Virtual Private Network) afin d'autoriser les connexions distantes.
I)Mise en place d'une connexion d'accès distant
II)Processus d'accès distant
Les utilisateurs exécutent un logiciel d'accès distant, puis se connectent au serveur d'accès distant. Cette connexion utilise un
protocole d'accès distant, comme le protocole PPP (Point-to-Point Protocol).
Le serveur d'accès distant est un ordinateur exécutant Windows 2000 Server et le service Routage et accès distant. Il authentifie les
utilisateurs et les sessions d'accès distant jusqu'à ce que l'utilisateur ou l'administrateur réseau mette fin à la session. Le serveur
d'accès distant joue le rôle de passerelle en transmettant les données entre le client et le réseau local (LAN, Local Area Network).
III)Types de connectivité d'accès distant
Windows 2000 offre deux types de connexion d'accès distant.
Connexion d'accès à distance
Pour se connecter au réseau à l'aide d'une connexion d'accès à distance, un client d'accès distant utilise un réseau de
communications, comme le réseau RTPC (Réseau téléphonique public commuté), pour créer une connexion physique au port d'un
serveur d'accès distant du réseau privé. En général, un modem ou une carte RNIS assure la connexion au serveur distant.
L'accès à distance permet aux utilisateurs d'une entreprise de rester connecté au réseau lorsqu'ils travaillent à distance.
Connexions de réseau privé virtuel
Un réseau VPN permet l'accès distant grâce à Internet, et non avec des connexions directes d'accès à distance. Un client VPN utilise
un réseau d'interconnexion IP pour créer une connexion cryptée, virtuelle, point-à-point avec une passerelle VPN sur le réseau
privé. Généralement, l'utilisateur se connecte à Internet par l'intermédiaire d'un fournisseur de services Internet (ISP, Internet
Service Provider), puis établit une connexion VPN vers la passerelle VPN.
IV)Protocoles de transport de données
Le service Routage et accès distant de Windows 2000 utilise aussi bien des protocoles d'accès distant que des protocoles de réseaux
locaux pour permettre à des clients de se connecter à des serveurs d'accès distant. Les protocoles d'accès distant contrôlent la
transmission de données sur les liaisons de réseau étendu (WAN, Wide Area Network), tandis que les protocoles LAN contrôlent la
transmission de données au sein des réseaux locaux.
Windows 2000 utilise un protocole d'accès distant pour établir une connexion entre les périphériques d'accès distant
(habituellement des modems). Windows 2000 utilise alors des protocoles LAN afin d'établir la communication entre les deux
ordinateurs.
V)Protocoles d'accès distant
Windows 2000 prend en charge plusieurs protocoles d'accès distant afin d'offrir aux clients utilisant une connexion d'accès à
distance un accès à une grande variété de serveurs d'accès distant.
Protocole PPP
Le protocole PPP autorise les clients et les serveurs d'accès distant à fonctionner ensemble sur un réseau multivendeur. Par
exemple, les clients Windows 2000 peuvent se connecter aux réseaux distants à travers n'importe quel serveur utilisant le protocole
PPP
Protocole SLIP
Le protocole SLIP (Serial Line Internet Protocol) permet à des ordinateurs Windows 2000 Professionnel de se connecter à un
serveur SLIP. Ce protocole est couramment employé avec Telnet, et ne s'adapte pas aux applications d'accès distant les plus
récentes.
Microsoft RAS
Pour les ordinateurs clients Microsoft Windows NT® version 3.1, Microsoft Windows for Workgroups, Microsoft MS-DOS® ou
Microsoft LAN Manager qui se connectent un serveur d'accès distant exécutant Windows 2000, le client doit utiliser le protocole
NetBEUI (NetBios Enhanced User Interface). Le serveur d'accès distant utilise le protocole RAS (Remote Access Server) pour agir
comme passerelle du client d'accès distant et propose un accès aux serveurs qui utilisent le protocole NetBEUI, TCP/IP, ou
NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (NWLink).
Protocole ARAP
Les clients Apple Macintosh peuvent se connecter à un serveur d'accès distant exécutant Windows 2000 en utilisant le protocole
ARAP (AppleTalk Remote Access Protocol). Le service Routage et accès distant comprend un composant serveur ARAP mais pas
de composant client.
VI)Protocoles LAN
Le service Routage et accès distant prend en charge les protocoles LAN suivants :
_ TCP/IP
_ NWLink
_ NetBEUI
_ AppleTalk
VII)Protocoles VPN
VIII)Opérations VPN
Les protocoles VPN encapsulent les paquets de données dans des paquets PPP. Le serveur d'accès distant exécute toutes les
séquences de sécurité et de validation et autorise le cryptage des données, sécurisant ainsi l'envoi de ces données sur des réseaux
non-sécurisés comme Internet. En général, les utilisateurs se connectent au réseau VPN en se connectant à un fournisseur de
services Internet, puis en se connectant aux ports VPN via la connexion Internet.
Les réseaux VPN utilisent soit le protocole PPTP (Point-to-Point Tunneling Protocol), soit le protocole L2TP (Layer Two
Tunneling Protocol) pour établir des connexions. Windows 2000 autorise automatiquement ces protocoles lorsque vous créez des
ports VPN au cours de l'installation du service Routage et accès distant
IX)PPTP et L2TP
PPTP et L2TP utilisent PPP pour fournir une enveloppe initiale aux données et pour ajouter des en-têtes supplémentaires pour le
transport sur un réseau d'interconnexion. Les principales différences entre les protocoles PPTP et L2TP sont énumérées ci-dessous.
_ Connectivité. L2TP s'exécute sur une grande variété de média de connexion WAN tels que IP ou relais de trame (frame relay),
réclamant uniquement que le média tunnel offre une connectivité point-à-point, orientée paquet. PPTP requiert un réseau
d'interconnexion utilisant les adresses IP.
_ Compression d'en-tête. Contrairement à PPTP, L2TP prend en charge la compression des en-têtes. Lorsque la compression des entêtes est activée, L2TP fonctionne avec des en-têtes de quatre octets, tandis que PPTP opère avec des en-têtes de six octets.
_ Authentification. L2TP prend en charge l'authentification en tunnel, contrairement à PPTP. IPSec offre une authentification de
niveau ordinateur, en plus du cryptage des données, pour des connexions VPN qui utilisent le protocole L2TP. IPSec négocie entre
votre ordinateur et son serveur d'accès distant avant que la connexion L2TP ne soit établie, ce qui a pour effet de sécuriser aussi
bien les mots de passe que les données.
_ Cryptage. PPTP utilise le cryptage PPP. L2TP permet d'obtenir un tunnel sécurisé en coopérant avec d'autres technologies de
cryptage, dont le protocole IPSec (Internet Protocol Security).
X)Configuration de connexions entrantes
Vous utilisez l'Assistant Installation du serveur de routage et d'accès distant pour configurer des types courants de serveurs d'accès
distant tels que des serveurs VPN.
Lorsque vous configurez une connexion entrante sur un serveur d'accès distant, vous activez un port par l'intermédiaire duquel un
client peut se connecter à votre serveur. Vous pouvez activer des ports pour des connexions VPN, des connexions modem et des
connexions directes par câble.
Si l'ordinateur exécute Windows 2000 Professionnel, ou s'il s'agit d'un serveur qui n'est pas membre d'un domaine, vous
configurerez les connexions entrantes à l'aide de l'Assistant Connexion réseau.
Configuration de connexions entrantes d'accès à distance
Pour configurer des connexions entrantes su un ordinateur appartenant à un domaine, vous devez utiliser le service Routage et accès
distant.
Pour configurer le serveur d'accès distant, exécutez la procédure ci-dessous.
1. Si besoin est, vérifiez la compatibilité de votre matériel en utilisant la liste HCL (Hardware Compatibility List), puis installez le
matériel.
2. Installez et configurez tous les protocoles que les utilisateurs à distance utiliseront, tels que TCP/IP, NWLink, NetBEUI, et
AppleTalk.
3. À partir du menu Outils d'administration, ouvrez le service Routage et accès distant.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nom de votre ordinateur, puis cliquez sur Configurer et
activer le routage et l'accès distant.
5. Dans l'Assistant Installation du serveur de routage et d'accès distant, cliquez sur Suivant.
6. Dans la page Configurations communes, cliquez sur Serveur d'accès distant, puis sur Suivant.
7. Dans la page Protocoles du client distant, vérifiez que vous disposez de tous les protocoles de transport que vous souhaitez
employer avec l'accès distant, puis cliquez sur Suivant.
8. Dans la page Sélection du réseau, sélectionnez la connexion réseau à laquelle les clients d'accès distant seront affectés, puis
cliquez sur Suivant. 9. Dans la page Attribution d'adresses IP, sélectionnez Automatiquement ou A partir d'une plage
d'adresses spécifiée afin d'attribuer des adresses IP aux clients entrants.
10. Dans la page Gestion des serveurs d'accès à distance multiples, choisissez si vous souhaitez configurer immédiatement le
service RADIUS (Remote Authentication Dial-In User Service), puis cliquez sur Suivant.
11. Cliquez sur Terminer pour exécuter l'Assistant.
12. Vérifiez que les clients d'accès à distance disposent bien d'une adresse IP appropriée, d'une adresse de serveur DNS (Domain
Name System), d'une adresse réseau IPX, d'un nom NetBIOS, ou d'un réseau AppleTalk lorsqu'ils sont connectés.
13. Configurez les paramètres des stratégies d'accès distant, d'authentification et de cryptage.
XI)Configuration de ports VPN
Lorsque vous démarrez pour la première fois le service Routage et accès distant, Windows 2000 crée automatiquement cinq ports
PPTP et cinq ports L2TP. Le nombre de ports VPN disponibles pour n'importe quel serveur d'accès distant n'est pas limité en
fonction du matériel. Vous pouvez augmenter ou diminuer le nombre de ports VPN disponibles en fonction de la bande passante
dont dispose le serveur d'accès distant.
Si vous choisissez l'option Réseau privé virtuel (VPN) dans l'Assistant Installation du serveur de routage et d'accès distant,
Windows 2000 créera automatiquement 128 ports PPTP et 128 ports L2TP.
Pour configurer les ports VPN sur le serveur, exécutez la procédure ci-dessous.
1. Dans l'arborescence de la console Routage et accès distant, ouvrez la boîte de dialogue Propriétés de Ports.
2. Dans la boîte de dialogue Propriétés de Ports, sélectionnez un périphérique ; pour les ports VPN, utilisez Miniport réseau
étendu (PPTP) et Miniport réseau étendu (L2TP), puis cliquez sur Configurer.
3. Dans la boîte de dialogue Configurer le périphérique, activez la case à cocher Connexions d'accès distants (uniquement
entrantes) pour activer les connexions entrantes.
4. Vous pouvez également augmenter ou diminuer le nombre de ports virtuels disponibles sur le serveur.
5. Cliquez sur OK dans les boîtes de dialogue Configurer le périphérique et Propriétés de Ports.
XII)Configuration des ports du modem et des câbles
Pour configurer les ports modem ou câble sur le serveur, exécutez la procédure ci-dessous.
1. Dans l'arborescence de la console Routage et accès distant, ouvrez la boîte de dialogue Propriétés de Ports.
2. Dans la boîte de dialogue Propriétés de Ports, cliquez sur un périphérique puis sur Configurer.
Les ports modem, parallèle, et série sont présentés individuellement, bien qu'ils soient réunis ensemble et qu'ils puissent être
configurés individuellement ou en groupe. Pour configurer plusieurs ports simultanément, appuyez sur CTRL tout en cliquant sur
les ports concernés, puis cliquez sur Configurer.
3. Dans la boîte de dialogue Configurer les périphériques, activez la case à cocher Connexion d'accès distants (uniquement
entrantes) pour activer les connexions entrantes.
4. Si vous configurez un port modem, saisissez un numéro de téléphone.
5. Cliquez sur OK dans les boîtes de dialogue Configurer le périphériques et Propriétés de Ports.
XIII)Configuration des paramètres d'appel entrant d'un utilisateur
XIV)Définition des autorisations d'accès distant
Les paramètres Autorisation d'accès distant proposent des options permettant Permettre l'accès, de Refuser l'accès, ou de
Contrôler l'accès via la Stratégie d'accès distant. Même si l'accès est permis de manière explicite, les conditions de la stratégie
d'accès distant et les paramètres du compte d'utilisateur ou du profil peuvent toutefois faire échouer la tentative de connexion
Activation de la vérification de l'identité de l'appelant
Si la case à cocher Vérifier l'identité de l'appelant est activée, le serveur vérifie le numéro de téléphone de l'appelant. Si ce
numéro ne correspond pas au numéro de téléphone configuré, la tentative de connexion échoue.
Définition des options de rappel
Si l'option de rappel est activée, le serveur rappelle un numéro de téléphone particulier (défini par l'appelant ou par l'administrateur
réseau) pendant le processus de connexion.
Attribution d'une adresse IP statique
Si la case à cocher Attribution d'une adresse IP statique est activée, Windows 2000 attribue une adresse IP particulière à
l'utilisateur lors de l'établissement d'une connexion.
Application des itinéraires statiques
Si la case à cocher Appliquer les itinéraires statiques est activée, l'administrateur réseau définit une série d'itinéraires IP statiques
qui sont ajoutés à la table de routage du serveur d'accès distant lors de l'établissement d'une connexion. Ce paramètre est conçu pour
être utilisé avec le routage à la demande.
Si un serveur d'accès distant est membre d'un domaine Windows NT 4.0 ou d'un domaine Windows 2000 fonctionnant en mode
mixte, seules les options Permettre l'accès et Refuser l'accès (sous Autorisation d'accès distant) et celles de la zone Options de
rappel sont disponibles.
XV)Création d'une connexion d'accès à distance cliente
XVI)Connexion à un réseau privé virtuel
L'Assistant Connexion réseau permet également de créer une connexion à un réseau privé virtuel. Pour créer une nouvelle
connexion à un réseau virtuel, exécutez la procédure ci-dessous.
1. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez sur Nouvelle connexion.
2. Dans l'Assistant Connexion réseau, sélectionnez Connexion à un réseau privé via Internet, cliquez sur Suivant, puis effectuez
l'une des actions ci-dessous.
Si vous devez vous connecter à votre fournisseur de services Internet ou à tout autre réseau avant de vous connecter au
réseau VPN, cliquez sur Composer automatiquement pour cette connexion initiale, sélectionnez une connexion dans la
liste, puis cliquez sur Suivant.
Si vous ne souhaitez pas établir automatiquement de connexion initiale, cliquez sur Ne pas composer automatiquement
la connexion initiale, puis sur Suivant.
3. Tapez le nom d'hôte ou l'adresse IP de l'ordinateur auquel vous vous connectez, puis cliquez sur Suivant.
4. Si vous souhaitez que tous les utilisateurs de cet ordinateur puissent utiliser cette connexion, sélectionnez Pour tous les
utilisateurs, puis cliquez sur Suivant. Pour que vous soyez le seul à pouvoir utiliser cette connexion, sélectionnez Uniquement
pour moi, puis cliquez sur Suivant.
5. Si vous avez sélectionné Uniquement pour moi à l'étape précédente, passez directement à la dernière étape. Si vous avez
sélectionné Pour tous les utilisateurs et que vous souhaitez permettre à d'autres ordinateurs d'accéder aux ressources externes par
l'intermédiaire de cette connexion d'accès à distance, activez la case à cocher Activer le Partage de connexion Internet pour cette
connexion.
6. Par défaut, la sélection de l'accès partagé active également la fonction de connexion à la demande. Si vous ne souhaitez pas que
d'autres ordinateurs puissent automatiquement appeler cette connexion, désactivez la case à cocher Activer la connexion à la
demande, puis cliquez sur Suivant.
7. Tapez un nom pour la connexion, puis cliquez sur Terminer.
XVII)Configuration des protocoles d'authentification
Les serveurs d'accès distant utilisent une authentification afin de déterminer l'identité des utilisateurs qui essaient de se connecter à
distance au réseau. Une fois qu'un utilisateur s'est authentifié, il reçoit les autorisations d'accès appropriées et est autorisé à se
connecter au réseau.
Protocoles d'authentification standard
Windows 2000 prend en charge un certain nombre de protocoles d'authentification qui présentent des niveaux de sécurité variables.
L'activation des protocoles d'authentification standard s'effectue dans le service Routage et accès distant en activant les cases à
cocher correspondantes de l'onglet Sécurité dans la boîte Propriétés pour le serveur d'accès distant. Seuls les protocoles que vous
sélectionnez sous cet onglet peuvent être employés pour authentifier les utilisateurs du serveur d'accès distant.
PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en clair. Si ces mots de passe correspondent, le
serveur autorise l'accès au client distant. Ce protocole procure une protection minimale contre les accès non-autorisés.
SPAP
Le protocole SPAP (Shiva Password Authentication Protocol) consiste en un mécanisme de cryptage réversible de deux manières.
Il est employé par Shiva, un constructeur matériel. SPAP crypte les données relatives au mot de passe qui est envoyé entre le client
et le serveur. Par essence, ce protocole est donc plus sûr que le protocole PAP.
CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol [également connu sous le nom Message Digest 5 [MD5]CHAP]) consiste en un protocole d'authentification par challenge. CHAP utilise le schéma de cryptage standard MD5 pour coder la
réponse, ce qui permet d'obtenir un niveau de protection particulièrement élevé contre les accès non-autorisés. Le processus
d'authentification fonctionne comme indiqué ci-dessous.
1. Le serveur d'accès distant envoie au client distant un challenge consistant en un identificateur de session et une chaîne de
challenge arbitraire.
2. Le client d'accès distant envoie une réponse qui contient le nom de l'utilisateur ainsi qu'un cryptage de la chaîne challenge,
l'identificateur de la session, et le mot de passe.
3. Le serveur d'accès distant vérifie la réponse. Si celle-ci est valide, il autorise la connexion.
MS-CHAP
Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) est un protocole d'authentification par mot de
passe crypté en une passe. Si le serveur utilise MS-CHAP en tant que protocole d'authentification, il peut utiliser MPPE (Microsoft
Point-to-Point Encryption) pour crypter les données vers le client ou le serveur. Sur un serveur d'accès distant exécutant Windows
2000 MS-CHAP est activé par défaut.
MS-CHAP version 2
Une nouvelle version de MS-CHAP, MS-CHAP version 2, est désormais disponible. Ce nouveau protocole offre l'authentification
mutuelle, des clés de cryptage initial de données plus robustes ainsi que différentes clés de cryptage pour l'envoi et la réception.
Pour les connexions VPN, Windows 2000 Server propose MS-CHAP version 2 avant MS-CHAP. Windows 2000 se connecte et les
connexions VPN peuvent utiliser MS-CHAP version 2. Les ordinateurs exécutant Windows NT 4.0 et Microsoft Windows 98
peuvent uniquement utiliser l'authentification MS-CHAP version 2 pour les connexions VPN.
XVII)Sélection des protocoles d'authentification
Le tableau suivant décrit les situations appropriées à l'usage de ces protocoles :
Protocoles
PAP
Sécurité
Faible
SPAP
Moyenne
CHAP
Haute
MS-CHAP
Haute
MS-CHAP version 2
Haute
Circonstances d'utilisation
Le client et le serveur ne parviennent pas à négocier en
utilisant une validation plus sécurisée.
Connexion à un Shiva LanRover, ou lorsqu'un client
Shiva se connecte à un serveur d'accès distant Windows 2000.
Vous disposez de clients qui n'exécutent pas un système
d'exploitation Microsoft.
Vous disposez de clients exécutant Windows 2000,
Windows NT 4.0 ou Microsoft Windows version 95 ou
ultérieure.
Vous disposez de clients d'accès à distance, exécutant
Windows 2000 ou de clients VPN exécutant
Windows NT 4.0 ou Windows 98.
MS-CHAP v2 constitue le type d'authentification le plus sûr.
XVII)Configuration des protocoles de cryptage
Vous activez les protocoles de cryptage sous l'onglet Cryptage dans la boîte de dialogue Modifier un profil dans le cadre de la
stratégie d'accès distant.
Le cryptage de données n'est disponible que si vous utilisez MS-CHAP (v1 ou v2) ou encore TLS (un protocole EAP) en tant que
protocole d'authentification.
Il existe deux méthodes de cryptage des données transmises par le biais d'une connexion d'accès distant Windows 2000 : MPPE et
IPSec.
Cryptage des données à l'aide du protocole MPPE
MPPE crypte les données qui se déplacent d'une connexion PPTP au serveur VPN. Il propose trois niveaux de cryptage : schémas
le plus fort (128 bits), fort (56 bits) et basique (40 bits).
Pour le cryptage 128 bits, vous devez télécharger le pack de cryptage élevé Windows 2000 à partir du site Web de mise à jour de
Windows.
Cryptage des données à l'aide du protocole IPSec
IPSec est une enveloppe de standards ouverts qui garantie la sécurité des communications sur des réseaux IP en utilisant les
technologies de cryptage.
IPSec fournit une protection efficace contre les attaques qui ont pour cible les réseaux privés et Internet. IPSec est particulièrement
simple à utiliser. Les clients négocient une association sécurisée qui joue le rôle de clé privée de cryptage du flot de données.
Vous utilisez les stratégies IPSec afin de configurer des services de sécurité IPSec
XVIII)Configuration du service Routage et accès distant
pour intégrer le protocole DHCP
Lorsque vous configurez un serveur d'accès distant pour permettre à des clients de se connecter au réseau d'une entreprise par le
biais d'une connexion à distance, vous devez sélectionner le mode d'adressage IP parmi les options décrites ci-dessous.
Adresse IP statique. Vous configurez l'adresse IP sur l'ordinateur client. Lorsque les clients utilisent des adresses IP préattribuées,
À partir d'une plage d'adresses IP. Un serveur d'accès distant peut attribuer une adresse IP à partir d'une plage d'adresses que vous
avez configurée.
À partir du serveur DHCP. Un serveur d'accès distant peut obtenir des adresses IP à partir d'un serveur DHCP pour ensuite les
attribuer aux clients d'accès à distance
Configuration du service Routage et accès distant pour une
utilisation avec le protocole DHCP
Pour configurer un serveur d'accès distant afin d'obtenir les adresses IP d'un serveur DHCP, exécutez la procédure ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service Routage et accès distant.
2. Cliquez avec le bouton droit sur le nom du serveur dont vous souhaitez afficher les propriétés, puis cliquez sur Propriétés.
3. Dans la boîte de dialogue Propriétés pour le serveur d'accès distant, dans l'onglet IP, cliquez sur Protocole DHCP (Dynamic
Host Configuration).
4. Dans la liste Carte, sélectionnez la carte réseau à partir de laquelle vous souhaitez que le serveur d'accès distant obtienne les
adresses IP à l'aide du protocole DHCP.
5. Cliquez sur OK.