Les Réseaux

Les Réseaux
Par THOREZ Nicolas
XIII - L'accès distant
Les accès distants (PPP et SLIP)
Les protocoles d'accès distant permettent de relier plusieurs postes éloignés entre eux.
A l'origine, le protocole utilisé était SLIP (Serial Line Internet Protocol), utilisé pour relier de
manière simple deux postes distants entre eux et pouvant utiliser les protocoles TCP/IP.
Cependant, SLIP n'embarquait pas de mécanismes de contrôle d'erreurs ou d'adresses. Il fût
donc remplacé par PPP (Point to Point Protocol).
PPP est basé sur HDLC (High-level Data Link Control), lui-même basé sur SDLC
(Synchronous Data Link Control). Il permet entre autre :
• l'encapsulation des datagrammes
• le contrôle de la liaison
• le contrôle de la couche réseau
• le support des mécanismes d'authentification
• l'aggrégation de liens
SLIP est décrit en détail dans la RFC 1055 et PPP dans la RFC 1661.
Les VPN (PPTP, L2TP/IPsec, TLS/SSL)
Les VPN (Virtual Private Network) permettent de virtualiser un réseau privé afin de
faciliter les échanges entre postes distants. La liaison de deux réseaux locaux en VPN se fait au
niveau du routeur, acceptant la technologie VPN ou protocole de tunnelisation. Cette connexion
entre les routeurs est alors appelée un ''tunnel''. Les données locales transmises sont alors
encapsulées et cryptées au niveau du routeur puis acheminées vers le réseau distant.
Parmi les protocoles de tunnelisation, on trouve:
•
•
•
•
PPTP (Point to Point Tunneling Protocol) : Protocole natif à Windows depuis la version
2000. Il ouvre un canal de gestion du lien sur le port TCP/1723 et un canal de transfert
de données qui utilise le protocole GRE (Generic Routing Encapsulation). PPTP est décrit
dans la RFC 2637.
L2TP (Layer 2 Tunneling Protocol) : Issu de PPTP, il permet de transporter les données
en conservant les couches 2 à 7 du modèle OSI. Ce transfert se fait via le port
UDP/1701. Initialement utilisé pour transporter le protocole PPP (RFC 2661), il a, par la
suite, était adapté pour transporter n'importe quel protocole de niveau 2 (RFC 3931).
IPsec (Internet Protocol Security) : IPsec n'est pas à proprement parlé un protocole de
tunnelisation mais est essentiellement utilisé dans ce genre de connexion. C'est un
ensemble de protocoles et d'algorithmes permettant le transport sécurisé de données
grâce au cryptage notament. S'opérant sur la couche réseau, il est indépendant des
applications utilisées, ce qui le rend universellement utilisable.
TLS (Transport Layer Security) : Originalement (et encore parfois) appelé SSL (Secure
Sockets Layer), ce protocole permet notament d'utiliser un navigateur internet comme
client VPN. Ces deux protocoles sont décrits dans les RFC 2246, 4346, 4347 et 5246.
Les autres technologies d'accès distant
RDP (Remote Desktop Protocol)
RDP est un protocole de prise de contrôle à distance des postes Windows faisant tourner
le service Microsoft Terminal Services. Le client est natif à windows (commande mstsc) et est
disponible pour Linux pour des postes désirant se connecter à des serveur Windows via le
paquet rdesktop. Comme il s'agit d'une prise de contrôle à distance, l'opérateur distant
utilisant RDP déconnecte automatiquement l'opérateur local.
VNC (Virtual Network Computing)
VNC est un protocole de partage de console (pas de déconnexion de l'hôte) basé sur un
dialogue client-serveur. Distribué sous licence GNU/GPL, le code source est libre et les
applications VNC sont indépendantes de toutes plateformes.
Il existe d'autres protocoles/progammes permettant l'accès distant. Le tableau suivant donne la
comparaisons des principales technologies (hors VPN) existantes :
NOM
Connexion
Autorisation
distante
Partage
de
console
Remarque
VNC
directe
Paramètres du
serveur VNC
oui
- Ports TCP 5800 et 5900 à ouvrir
- Client portable et standard
Solution autonome
- Assistance aux utilisateurs en
entreprise
Team Viewer
Via serveur
sur le web
ID machine et mdp
fournit par
utilisateur distant
oui
- Client spécifique
- Ne fonctionne pas comme
service
- Assistance aux utilisateurs
RDP
directe
Activation du bureau non
distant puis pas
d'authentification
connexion mais
authentification
ouverture session
- Ports 3389 à ouvrir
- Client standard
- Windows uniquement
- Autonome
- Utilisation à distance d'une
station
- Utilisation d'une session
Terminal Server
LogMeIn
Via serveur
sur le web
Automatique apès
inscription de la
machine distante
dans LogMeIn
- Client spécifique (ActiveX)
- Fonctionne comme service
oui