V- Configuration des clients d'accès à distance et sécurisation de l'accès à
distance
1-) Présentation du réseau privé virtuel (VPN)
Une connexion réseau privé virtuel ou VPN (Virtual Private
Network) permet à deux entités de communiquer entres-elle de façon sécurisée en
passant par un réseau public (non sécurisé) comme Internet. Les réseaux privés
virtuels sont souvent utilisés dans le cadre de l'accès à distance car ils
permettent à un utilisateur lambda d'accéder aux ressources internes de
l'entreprise en utilisant un réseau dont le coût de location est faible
(Internet) de manière sécurisée. Pour cela les réseaux privés virtuels utilisent
des protocoles spécifiques comme PPTP ou bien encore L2TP/IPSec
appelés protocole de tunnel.
Les protocoles de tunnel chiffrent les trames de
données puis encapsulent ces trames dans des paquets IP qui sont envoyés
sur Internet. La sécurité des données est maximale puisque les adresses IP
privées (celle du client et du serveur d'accès distant) sont chiffrées.
Il est donc impossible pour un utilisateur non autorisé d'avoir accès aux
données circulant sur la toile.
Les protocoles de cryptage utilisés par PPTP et L2TP sont
respectivement MPPE et IPSec.
2-) Configurer une connexion VPN sous
Windows XP
Pour créer une connexion VPN sous Windows XP, affichez la
page listant les connexions réseau (clic droit / propriétés sur l'icône favoris réseau)
puis lancez l'Assistant Nouvelle Connexion et cliquez sur Suivant.
Sélectionnez Connexion au réseau d'entreprise.
Choisissez :
-
Connexion d'accès à distance si vous souhaitez
vous connecter à distance via une ligne RNIS
-
Connexion réseau privé virtuel si vous souhaitez
vous connecter au réseau interne de l'entreprise via Internet.
Donnez ensuite un nom à la connexion pour pouvoir la
reconnaître aisément.
Entrez ensuite le nom DNS pleinement qualifié (FQDN) ou bien
l'adresse IP du serveur d'accès distant.
|
Cliquez sur Suivant, puis sur Terminer
pour quitter l'assistant. Vous devez ensuite saisir l'identifiant et le
mot de passe à utiliser pour s'authentifier auprès du serveur d'accès
distant. Vous pouvez choisir d'enregistrer ces informations
d'authentification ce qui évitera de les ressaisir à l'avenir.
Vous pouvez ensuite cliquer sur Se connecter pour
établir la connexion VPN.
 |
 |
 |
Les propriétés de la connexion permettent de modifier
un grand nombre de paramètre comme le protocole d'authentification à utiliser (MS-CHAP
V2 est le protocole recommandé pour obtenir une sécurité maximale), les
paramètres TCP/IP, l'adresse IP du serveur d'accès distant, ... |
3-) Sécuriser les accès distants
Permettre à des utilisateurs distants d'accéder aux
ressources internes de l'entreprise peut s'avérer risqué du point de vue de la
sécurité. Voici un ensemble de règles simples qui permettent de sécuriser au
mieux une connexion d'accès à distance :
-
Centralisez les demandes d'authentifications à l'aide
d'un serveur RADIUS.
-
Sécurisez au maximum le trafic entre le serveur RADIUS et
les serveurs d'accès distant (utilisation d'une clé pré-partagée, de
signatures numériques pour identifier les serveurs d'accès distant, d'IPSec
pour crypter les échanges de données,...).
-
Configurez les stratégies d'accès distant les plus
restrictives possibles (limitez les plages horaires, paramétrez une durée
d'inactivité de la connexion faible, utilisez uniquement les protocoles
MS-CHAP V2 ou EAP pour authentifier les utilisateurs, utilisez le cryptage
maximal,...)
-
Si vous utilisez le protocole L2TP/IPSec mettez en place
un système de certificats.
-
Mettez en place une stratégie de groupe verrouillant le
compte des utilisateurs distant après un certain nombre de tentatives
infructueuses.
Vous pouvez aussi envisager l'installation d'un pare-feu
comme ISA Server afin d'augmenter le niveau de sécurité du réseau interne de
l'entreprise.
 Sommaire
1. Introduction
- présentation du service routage et accès distant
- infrastucture logicielle et matérielle de l'accès à distance
- principe de fonctionnement de l'accès à distance
2. Configuration générale du serveur
- lancer et activer le service RRAS
- paramètres avancés du serveur
- les protocoles d'authentification
3. Mettre en place une stratégie d'accès distant
- créer une stratégie d'accès distant
- les options avancées des stratégies d'accès distant
- le paramétrage des comptes utilisateurs dans Active Directory
4. La centralisation de l'authentification des clients d'accès distant grâce au serveur IAS
- présentation et installation d'IAS
- configuration d'IAS
- configuration du serveur d'accès distant pour utiliser IAS
5. Configuration des clients d'accès à distance et sécurisation de l'accès à distance
- présentation du réseau privé virtuel (VPN)
- configurer une connexion VPN sous Windows XP
- Sécuriser les accès distants
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
L'accès distant sous Windows 2003 Server
