Windows 2000 - IPSEC et RAS

Accueil | Qui suis-je ?. | Windows 2000 | Les liens

IPSEC

Le protocole est utilisé pour sécuriser et fiabiliser les liaisons des entreprises utilisant des protocoles Internet.

On peut implémenter IPSec sur des liaisons VPN Internet ou Intranet.

L’objectif étant d’assurer la protection des paquets IP. Chaque ordinateur traite cette protection. Le protocole utilisé est L2TP

Mise en place de stratégie IPSec

A partir du composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP. A partir de ce composant on peut gérer

un ordinateur local

Gérer la stratégie de domaine de cet ordinateur

Gérer la stratégie de domaine pour un autre ordinateur

Gérer un ordinateur distant

Stratégie prédéfinie

Client (en réponse seule)
Serveur (demandez la stratégie)
Sécuriser le serveur (nécessite la stratégie)

Vérification de stratégie

IPSECMON. EXE à partir du menu exécuter

Attention : Lors d l’activation d’une stratégie un Ping peut échouer. Il faut du temps pour négocier la stratégie sur les deux ordinateurs

Désinstaller la stratégie IPSec

Console MMC « Gestion de la stratégie de sécurité du protocole IP », dans la fenêtre de droite passer à <non> l’état de stratégie attribuée.

Configuration de l’accès distant (RRAS)

Permet aux télétravailleurs ou aux utilisateurs mobiles d’accéder, via une liaison commutée au réseau de l’entreprise

Type de liaisons

Connexion d’accès distant è RTC ou RNIS
Connexion VPN è via Internet
Connexion directe avec un autre ordinateur via un câble

Protocole de transport

Protocoles d’accès distant		Protocoles LAN
PPP		TCP/IP
SLIP (Client uniquement)		NWLink
Microsoft RAS		NetBEUI
ARAP (Serveur uniquement)		Apple Talk

Protocole PPP (Point to Point Protocol)

Le plus employé. W2K serveur ne supporte que PPP

Protocole SLIP (Sérial Line Internet Protocol)

Employé avec Telnet ; protocole utilisé par W2K Pro uniquement, un serveur n’utilise pas SLIP

Microsoft RAS

Employé par les clients Microsoft NT3.1, Windows pour Workgroups, MSDos et LAN Manager se connectant à un serveur W2K , Le client doit utiliser NETBEUI

Protocole ARAP

Les clients Apple Macintosh peuvent se connecter à un serveur exécutant W2K en utilisant ARAP

Protocole VPN

Le VPN ne requiert pas de connexion d’accès à distance. Il requiert une connectivitée IP entre le client et le serveur. VPN est une connexion cryptée et sécurisée qui utilise PPTP et L2TP

*PPTP*	*L2TP*
L’interréseau doit utiliser IP	Interréseau utilise IP ou relais à trames X25 ou ATM
Sans compression d’en-tête	Compression d’entêté
Sans authentification en tunnel	Authentification en tunnel
Cryptage PPP intégré	Cryptage IPSec

Configuration de connexions entrantes

Sur un serveur contrôleur du domaine il faut configurer RRAS

Lors de sa mise en route RAS crée automatiquement 5 ports PPTP et 5 ports L2TP

Propriété de l’appel entrant

Autorisations

Permettre l’accès
Refuser l’accès
Contrôler l’accès via la stratégie d’accès distant (disponible qu’en mode natif)

Option de rappel

Si activé le serveur rappelle un N° de tel particulier

Attribution d’une adresse IP statique

Si activé W2K attribue une adresse particulière à l’utilisateur

Application des itinéraires statiques

Si activé l’administrateur définit une série d’itinéraires qui seront ajouté à la table de routage du RAS lors de l’établissement d’une connexion

Configuration de connexions sortantes

Ce sont les connexions depuis un client

Menu <Démarrer> + <Paramètres>+<Connexion réseau et accès à distance>

Les connexions multiples

Permet d’augmenter la bande passante en combinant plusieurs liaisons physiques. Le protocole PPP est utilisé conjointement avec plusieurs cartes modem RNIS ou X25

BAP (Bandwhicth Allocation Protocol)

Améliore les liaisons multiples en ajoutant ou supprimant dynamiquement des liaisons à la demande.

Configuration sur l’onglet PPP de la boite de dialogue Propriété de chaque serveur distant. Case à cocher « Connexion à liaisons multiples » et « Contrôle de largeur de bande dynamique en utilisant les protocoles BAT ou BACP »

Les protocoles d’authentification

PROTOCOLE	Sécurité	Circonstance d’utilisation
PAP (Password Authentification Protocol)	Faible	Le client et le serveur ne peuvent pas négocier en utilisant une validation plus sécurisée Utilise des mots de passe en clair ; si les mots de passe correspondent alors le serveur autorise l’accès au client distant
SPAP (Shiva Password Authentification Protocol)	Moyenne	Connexion à un Shiva LanRover, ou lorsqu’un client Shiva se connecte à un serveur d’accès distant W2K Données relatives au mot de passe crypté
CHAP (Chalenge Handshake Authentification Protocol)	Haute	Vous disposez de clients n’exécutant pas un même système d’exploitation Connue sous le nom De MD5-CHAP le serveur distant envoie un challenge consistant à un identificateur de session et une chaîne de challenge arbitraire – Le client revoie le mon de l’utilisateur et une chaîne de challenge, l’identificateur de la session et le mot de passe – Le serveur distant vérifie la réponse et autorise la connexion.
MS-PAP (Microsoft Chalenge Handshake Authentification Protocol)	Haute	Vous disposez de clients exécutant Windows NT4.0 ou ultérieures ou Windows 95 et ultérieures Authentification par mot de passe crypté. Possibilité d’utiliser MPPE (Microsoft Point to Point Encryption) pour crypter les donner entre le serveur et le client
MS-CHAP version 2	Haute	Vous disposez de clients d’accès à distance exécutant Windows 2000 ou des clients VPN exécutant Windows NT 4.0 ou Win98

Prend en charge l’authentification

MD5-CHAP : crypte le mon d’utilisateur et le mot de passe
TLS :(Transport Layer Sécurity)est utilisé pour les périphériques intermédiaires comme les cartes à puces
Méthodes d’authentification supplémentaires : EAP autorise l’ajout de méthodes d’authentification propre aux fournisseurs

Configuration des protocoles de cryptage

Boîte de dialogue Modifier un profil onglet Cryptage

Il existe deux méthodes de cryptage par le biais d’une connexion d’accès distant W2K

MPPE : cryptage d’une connexion PPTP vers un serveur VPN (trois niveaux de cryptage)

IPSec : kerberos + certificats + clé partagée

Configuration du service d’accès distant

Adresse IP statique

Le client gère ses propres adresses IP

Plage d’adresse IP

Le serveur d’accès distant peut attribuer une adresse unique pour chaque client. Cette méthode nécessite autant d’adresse IP que de clients à connecter.

Ou adresse IP dynamique via un serveur DHCP

Un serveur DHCP gère le pool d’adressage dynamique. Cette méthode permet d’ « économiser » les adresses pour les clients.

Configuration du service Routage d’accès distant

« Outils d’administration » + « Service de Routage et d’accès distant » sur le serveur approprié clic droit sur «Propriété » onglet « IP »

Activer « Pool d’adresses statiques » pour utiliser une plage d’adresse IP

Activer « Protocole DHCP » pour utiliser uns serveur DHCP

Sélectionner la carte réseau à activer

Accueil | Qui suis-je ?. | Windows 2000 | Les liens