Cours routage et Service d'accès distant (RRAS)
Routage et service d'accès distant
Routing and Remote AccessService(RRAS)
I -
Windows 2000 Server inclut un routeur multiprotocole et la possibilité d'accéder à des réseaux distants par des réseaux WAN. Ce dernier service est appelé "Service d'accès distant".
I-A-
Le service RRAS inclut le routage et le service d'accès distant. Ces deux fonctionnalités sont liées dans la meure où l'accès à un réseau distant nécessite la présence d'un routeur.
I- A- i-
? Routeur multiprotocole IP, IPX et Appletalk pour réseaux LAN ou WAN.
? Routeur de connexion à la demande pour router des paquets IP et IPX sur des liaisons WAN, telles que les lignes téléphoniques analogiques sur RTC ou numériques sur RNIS, ou sur des liaisons VPN en utilisant PPTP,L2TP ou IPSec.
I- A- ii-
Un serveur Windows 2000 peut jouer le rôle de serveur d'accès distant pour des clients qui appellent sur des réseaux commutés (RTC, RNIS) ou qui utilisent des VPN avec les protocoles IP, IPX, AppleTalk ou NetBEUI.
I-B-
RRAS prend en charge un grand nombre d'adaptateurs réseaux pour LAN ou WAN. Voir la liste de compatibilité matérielle pour connaître les matériels supportés.
Lorsque vous installez Windows 2000, vous installez en même temps RRAS qui reste à l'état inactif. Le service de routage et le service d'accès distant sont installés en même temps ce qui n'était pas le cas dans Windows NT4.
L'activation et la gestion de RRAS se feront à partir du composant logiciel "RRAS" dans "Outils d'administration".
Figure 1 : Console RRAS.
Pour activer RRAS, sélectionner le serveur dans le volet de gauche et dans le menu "Action", sélectionner "Configurer et activer le routage et l'accès distant". L'assistant "Installation de serveur de routage et d'accès distant" s'ouvre. Cliquer sur "Suivant". La fenêtre propose cinq configurations différentes pour le service. Sélectionner celle qui convient.
Confirmer l'activation du service.
Figure2 : Choix de configurations pour le RRAS.
Figure 3. : Console de RRAS activé
C'est à partir de cette console que l'on peut configurer le routage et l'accès distant dans toutes ces formes.
I-C-
L'authentification est l'opération qui consiste à vérifier l'identité au cours d'une tentative d'ouverture de session. Le client candidat à la connexion au serveur envoie des éléments d'identification en clair ou codés vers le serveur et qui sont vérifiés par ce dernier.
L'autorisation consiste à vérifier que le candidat à la connexion, après identification est autorisé de se connecter.
Pour qu'une tentative de connexion aboutisse, il faut que l'authentification et l'autorisation soient valides. Dans le cas contraire, la connexion est refusée.
? Si le serveur d'accès distant est configuré pour une authentification Windows, c'est le système de sécuritéWindows qui vérifie les éléments d'identification. L'autorisation est vérifiée par rapport aux stratégies d'accès distant présentes sur le serveur.
? Si le serveur distant est configuré pour une authentificationRADIUS (Remote Authentication Dual-In User Service), c'est ce serveur RADIUS qui vérifie les éléments d'identification et autorise la connexion. Il envoie un message d'acceptation au serveur Windows 2000 pour qu'il ouvre la connexion.
? Si le serveur RADIUS est un ordinateur Windows 2000 équipé des services d'identification Internet (Internet Authentication Service, IAS), c'est le serveur IAS qui gère l'authentification en collaborant avec le système de sécurité Windows 2000 et gère l'autorisation en tenant compte des stratégies de comptes ou d'accès distant.
Figure 4 : Choix de la méthode d'authentification sur un serveur Windows 2000.
II -
II-A-
Dans Microsoft Windows 2000, on appelle routage IP unidirectionnel (un vers un) la fonctionnalité qui permet d'établir une liaison point à point bidirectionnelle, c'est-à-dire d’une adresse IP à une autre adresse IP (Cas le plus courant). Il s'agit donc par exemple d'une liaison point à point d'un serveur Windows 20000 avec un autre serveur Windows 2000, ou avec un routeur ou une seule station.
Le support unidirectionnel IP utilise les composants routage IP statique, RIP, OSPF, relais DHCP, NAT, filtrage IP et recherche de routeur ICMP.
II-B-
Le support multidiffusion (un vers plusieurs) de IP permet de prendre en charge l'envoi, la réception et la retransmission d'un trafic IP multidiffusion (Multicast). Cette application permet d'envoyer à plusieurs utilisateurs en même temps le même flot d'informations (vidéo ou son par exemple). Ceci peut se faire sur réseau LAN ou WAN. La gestion de l’appartenance à un groupe de destinataires se fait grâce au protocole IGMP version 1 ou 2.
II-C-
Un serveur Windows 2000 peut aussi être un routeur IPX. Il utilise le protocole RIP pour IPX pour établir les tables de routage et NetWare SAP pour connaître la les adresses et les noms des services présents sur le réseau.
II-D-
Un serveur Windows 2000 peut aussi assurer le routage AppleTalk. Ceci permet de connecter des réseaux de Macintosh.
N.B. Les Macintosh peuvent aussi être configures pour utiliser le protocole IP ce qui permet de n'utiliser qu'un seul protocole en cas de réseau comportant à la fois des Macintosh, des PC sous Windows et des ordinateurs sous Unix.
II-E-
RRAS permet au serveur Windows 2000 d'assurer routage de numérotation à la demande, ainsi que le routage sur des lignes analogiques ou numériques en point à point. La numérotation à la demande permet à un client de se connecter à Internet, de connecter des filiales ou de réaliser des VPN – (Virtual Private Network – Réseau Privé Virtuel).
II-F-
Windows 2000 serveur et le service RRAS permettent d'assurer la fonction de serveur de réseau privé virtuel (VPN = Virtual Private Network). Il prend en charge les protocoles utilisés sur les VPN, c'est-à-dire PPTP et L2TPavec IPSec.
II-G-
Il existe sur Windows 2000 Server un service nommé IAS (Internet Authentication Service) qui permet d'implémenté un serveur RADIUS.
II-H-
Windows 2000 et RRAS possèdent le protocole SNMP qui gère la MIB II. Les fonctions de routage et d’accès distant peuvent donc être gérés par des stations NMA (Network Management Station) et un logiciel d'administration approprié.
III -
Le Service d’accès distant (RAS – Remote Access Service) est une partie de RRAS.
III-A-
Le service RAS permet aux clients distants de se connecter :
- Au seul serveur d’accès distant. (Accès point à point)
- Aux ordinateurs qui se trouvent sur le LAN derrière le serveur d’accès distant.
Figure 5 : Types d'accès distants.
III-B-
On peut classer les accès distants en deux méthodes :
III- B- i-
- Accès Physiques (RTC, RNIS)
- Accès Virtuels (X25, Frame Relay, ATM)
Figure 6 : Méthode d'accès distant par ligne commutée.
III- B- ii-
- Le circuit privé virtuel est créé sur un inter-réseau IP existant. Il consiste en une liaison logique point à point sécurisée.
Figure 7 : VPN.
Voir chapitre VPN pour plus de détails.
III-C-
Les protocoles d’accès distants reconnus par Windows 2000 sont
- Principalement PPP
- SLIP mais pas sur les liaisons commutées
- NetBEUI Asynchrone (AsyBEUI) pour les clients utilisant de vieilles versions de Windows.
Le protocole PPP permettra d’encapsuler les données véhiculées par des protocoles LAN comme IP, IPX, Appletalk et NetBEUI.
Par exemple une station avec connexion sur Internet. Sur la liaison qui permet l’accès au FAI (ISP), le protocole utilisé en point à point entre les deux serveurs est PPP. Les paquets IP sont encapsulés dans des trames PPP.
Figure 8 : Encapsulation de protocole LAN dans PPP en accès distant
III-D-
Un serveur Windows 2000 Server peut être utilisé comme routeur entre un réseau LAN de petite taille SOHO (Small Office or Homme Office) et le réseau Internet. Les adresses IP utilisées sur les réseaux privés doivent être différentes des adresses utilisées sur les réseaux publics IP (en particulier Internet). Dans le cas où une même adresse publique serait utilisée par deux ordinateurs sur un réseau public IP (Internet par exemple), il est évident que des problèmes s’en suivraient.
L’InterNIC et l’IANA ont donc proposé pour chaque classe d’adresses IP des tranches réservées aux réseaux IP privés :
Classe |
Tranches d’adresses privées |
Masque de sous-réseaux |
A |
10.0.0.1 jusqu’à 10.255.255.254 |
255.0.0.0 |
B |
172.16.0.0 jusqu’à 172.31.255.254 |
255.240.0.0 |
C |
192.168.0.0 jusqu’à 192.168.255.254 |
255.255.0.0 |
Vous remarquerez que les masques de sous-réseaux en classe B et C, ne sont pas les masques standard.
- Pour la classe A, le masque est standard.
- Pour la classe B, le masque standard est de 16 bits. Ici, il est composé de 24 bits. L’adresse réseau pourrait s’écrire en utilisant la notation CIDR 172.16.0.0/20, ce qui détermine un sur-réseau composé des réseaux 172.16 à 172.31 (l'équivalent de 16 réseaux classe B).
- Pour la classe C, le masque standard est de 24 bits. Ici le masque est de 16 bits. L’adresse réseau pourrait s’écrire 192.168.0.0 /20. Ceci permet de déterminer 256 – 2 réseaux en classe C.
Le serveur Windows 2000 qui sert de routeur entre le réseau local et Internet doit activer la fonction NAT (Network Address Translation = Traduction d’adresses réseau).
Ces adresses privées ne sont pas reconnues par les routeurs sur Internet. Il faut donc un dispositif de traduction entre le réseau privé et le réseau public. Ce dispositif de traduction d’adresses se trouve soit dans un serveur Proxy, soit dans un dispositif de traduction comme un serveur Windows 2000 avec RRAS et service NAT activé.
III- D- i-
Un traducteur d’adresses réseau doit traduire non seulement les adresses privées en adresses publiques mais aussi les ports TCP et UDP.
Figure 9 : Fonctionnement de NAT avec connexion permanente sur Internet.
Exemple :
Prenons le cas d’une petite société disposant d’un LAN et d’une connexion permanente à Internet (Câble ou ADSL). Le routage est assuré par un serveur Windows 2000. La fonction NAT est activée. L’adresse IP du serveur Windows 2000 côté Internet a été fournie par le FAI de manière statique ou dynamique (exemple : 200.32.10.25).
- L’utilisateur sur le LAN qui travaille sur la station dont l’adresse IP privée est 192.168.1.20 désire par l’intermédiaire de son navigateur se connecter au site Web dont l’adresse IP est 200.32.10.33.
- Le port TCP du navigateur a été fixé de manière dynamique à la valeur 1025.
- Dans la configuration de la station, l’adresse IP de la passerelle est 192.168.1.1
- La requête HTTP part dans un paquet IP dont l’adresse IP destination est 200.32.10.33. et le port 80 (Web), l’adresse source IP 192.168.1.20 et le port TCP 1025.
- Lorsque la trame Ethernet contenant ce paquet IP arrive sur la passerelle, le traducteur NAT remplace dans le paquet IP l’adresse source par celle de son interface WAN, c’est-à-dire 200.32.10.25 Port TCP 5000. L’adresse et le port de destination sont inchangés. Un mappage est réalisé entre l’adresse et le port privés et l’adresse et le port public.
192.168.1.20 Port 1025 et 200.32.20.25 Port 5000
- Le serveur Web renvoie un paquet vers le serveur Windows 2000 avec comme adresse de destination 200.032.10.25 et port TCP 5000. Le traducteur NAT renvoie vers la station le paquet IP avec l’adresse destination 192.168.1.20 Port 1025. L’adresse source IP est celle du serveur Web 200.032.10.25 Port 80.
Figure 10 : Traduction d'adresses IP par NAT.
Si une deuxième station voulait se connecter en même temps au même serveur Web, un autre port TCP WAN serait créé au niveau NAT et on aurait par exemple un second mappage:
192.168.1.22 Port 1025 et 200.32.20.25 Port 5001
III- D- ii-
La traduction NAT se fait parfaitement pour les paquets IP au format standard. Par contre, pour les paquets ayant subit des encapsulations, la traduction normale risque de ne pas se faire normalement. La traduction normale traite les adresses IP dans les en-têtes IP, les ports TCP dans les en-têtes TCP et les ports UDP dans les en-têtes UDP. Pour les autres cas, des éditeurs (traducteurs spécifiques) sont prévus dans Windows 2000 pour chaque cas.
III-E-
L’ouverture d’un serveur ou d’un réseau LAN à travers un service RAS pour des utilisateurs extérieurs entraîne des risques d’intrusion et engendre de ce fait des problèmes de sécurité.
Les dispositions mises en place pour contrer ces problèmes de sécurité sont :
- L’authentification des utilisateurs distants
- Le cryptage des données.
- Des dispositifs de rappels automatiques ou d’identification du numéro d’appelant
- Le blocage de compte
III- E- i-
III-E-i-a- Authentification sécurisée
Le protocole d’accès distant PPP est un protocole de la couche liaison. Il est utilisé en association avec plusieurs protocoles pour assurer l’authentification sécurisée des utilisateurs distants.
- Protocole EAP (Extensible Authentication Protocol)
- Protocole CHAP (Challenge Handshake Authentication Protocol)
- Protocole SPAP (Shiva Password Authentication Protocol)
- Protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
Le serveur RAS doit être configuré pour utiliser un de ces protocoles. Le client doit pouvoir s’y adapter. Si ce n’est pas le cas la liaison ne peut être établie.
III-E-i-b- Authentification réciproque
Cette méthode d’authentification utilise PPP avec EAP, EAP-TLS (Transport Level Security) ou MS CHAP V2. Cette méthode diffère de la précédente dans le sens où un dialogue crypté s’établit entre le serveur et le client distant pour s’identifier réciproquement.
III- E- ii-
Il existe deux méthodes de cryptage des données transportées :
- Le cryptage entre le client distant et un serveur RAS
- Le cryptage en point à point (sur LAN ou WAN ou les deux) avec IPSec.
Le cryptage entre un client distant et un serveur se fait en utilisant des clés d’encryptage connues du client et du serveur seulement. Les clients et serveurs Windows (à partir de Windows 95) acceptent le protocole de cryptage MPPE (Microsoft Point-to-Point Encryption Protocol) qui utilise un algorithme de cryptage RC4 RSA (Rivest-Shamir-Adleman) et des clés de 40, 56 ou 128 bits. Les clés de cryptage sont générées au moment du processus d’authentification avec les protocoles EAP-TLS ou MS-CHAP.
III- E- iii-
Les deux procédés qui vont être décrits ci-après ont pour but de s’assurer de l’identification de l’appelant en vérifiant son numéro de téléphone
III-E-iii-a- Rappel automatique
Dans ce procédé, le client distant appelle le serveur RAS. Dès que les informations d’authentification ont été vérifiées, la ligne est raccrochée. Le serveur procède alors à un rétro appel soit :
- A un numéro échangé pendant l’appel du client (ce qui permet aux itinérants de faire facturer la communication directement à l’entreprise)
- A un numéro qui a été préalablement entré dans la configuration du serveur distant pour cet utilisateur (ce qui permet de vérifier l’identification vraisemblable du client).
III-E-iii-b- Numéro de téléphone de l’appelant
Ce procédé consiste à vérifier matériellement le numéro de téléphone de l’appelant. Ce numéro est entré dans le serveur RAS. Ce procédé nécessite que l’opérateur téléphonique, la ligne téléphonique de l’entreprise sur laquelle est connectée le serveur et le pilote de la carte réseau distant, sachent véhiculer le numéro de téléphone de l’appelant.
Si le numéro reçu est différent de celui entré dans le serveur RAS, l’appel est rejeté.
III- E- iv-
La fonction de blocage de compte consiste à bloquer un compte d’utilisateur distant si le nombre de tentatives de connexion sur le serveur RAS par le même utilisateur dépasse une valeur déterminée. Ceci a pour but d’éviter qu’un intrus ne finisse par entrer dans le système en faisant un nombre de tentatives très important (en essayant par exemple plusieurs mot de passe pour un nom d’utilisateur qu’il connaît).
III-F-
La gestion des accès distant est une lourde tâche. Elle englobe :
- La gestion des utilisateurs
- La gestion des adresses
- La gestion des accès
- La gestion des authentifications
III- F- i-
Active Directory permet de centraliser les comptes des différents utilisateurs distants dans une même base de données. Si vous avez plusieurs serveurs d’accès distant, les comptes utilisateurs sont donc positionnés dans le contrôleur principal de domaine qui contient l’annuaire.
Vous pouvez aussi centraliser les comptes utilisateurs à des fins d’identification dans un serveur RADIUS.
III- F- ii-
Les serveurs d’accès distant doivent fournir les adresses IP, IPX ou AppleTalk au client au moment de la connexion. Vous devez préciser la manière dont cette adresse est attribuée (statique ou dynamique).
III- F- iii-
Les stratégies d’accès distant permettent de définir la manière dont l’authentification est assurée et le type de cryptage utilisé. D’autres paramètres peuvent aussi être imposés dans la stratégie d’accès distant comme la durée maximale des sessions, le temps d’inactivité maximal.
Il est possible de définir plusieurs stratégies d’accès distant en fonction du type de client.
Les stratégies d’accès distant se définissent à partir de l’outil "Routage et accès distant".
Figure 11 : Paramétrage des stratégies d'accès distant.
En ce qui concerne l'authentification, les paramétrages du service IAS (Internet Authentication Service) se font à partir de l'outil "Service d'authentification Internet".
Figure 12 : Paramétrage IAS.
III-F-iii-a- Accès par compte utilisateur
Les propriétés d'un compte utilisateur, en ce qui concerne les appels distants, sont accessibles dans l'onglet "Appel entrant" des "Propriétés" du compte de l'utilisateur sur le serveur qui contient le compte. Les propriétés du compte sont accessibles avec l'outil "Utilisateurs et ordinateurs Active Directory".
Figure 13 : Propriétés "Appel entrant" du compte utilisateur.
III-F-iii-b- Stratégies
Pour gérer les accès en fonction des stratégies, sélectionner le bouton "Contrôler l'accès via laStratégie d'accès distant" dans l'onglet "Appel Entrant" des "Propriétés" du compte utilisateur. Les stratégies d'accès distant se définissent dans la console "Routage et accès distant", nœud "Stratégies d'accès distant". Un assistant permet de créer la nouvelle stratégie.
Figure 14 : Stratégies d'accès distant.
Figure 15 : Choix du mode d'authentification du serveur d"accès distant Windows 2000.
La création d'une nouvelle stratégie peut s'appliquer à un utilisateur ou à un groupe d'utilisateurs distants. L'assistant de création de stratégies d'accès distant permet de rentrer les "Attributs" de la nouvelle stratégie.
Figure 16 : Liste des "Attributs" pour les stratégies d'accès distant.
Figure 17 : Exemple de stratégie d'accès distant appliquée à un groupe d'utilisateurs particuliers.
III-F-iii-c- Verrouillage de compte
Le verrouillage de compte utilisateur se fait sur le serveur Windows 2000 qui permet l'authentification. Si le serveur d'accès distant est configuré pour une authentification Windows, il faut modifier le registre de ce serveur. Si l'authentification se fait par un serveur RADIUS à travers le service IAS Windows 2000, vous modifier le registre du serveur contenant IAS.
Pour modifier le verrouillage de compte, utiliser l'entrée MaxDenials du registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockpout
Positionner la valeur à 1 ou plus pour indiquer le nombre de tentatives incorrectes avant verrouillage. Si la valeur du registre est à 0, il n'y aura pas de verrouillage du compte.
Pour modifier le temps de mémorisation des tentatives infructueuses et autoriser une remise à 0 du compteur de tentatives, il faut changer la valeur de l'entrée ResetTime :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockpout
Figure 18 : Paramétrage du verrouillage des comptes d'utilisateurs distants.
III- F- iv-
Le serveur d'accès distant peur être configuré comme fournisseur d'authentification Windows ou RADIUS. Voir figure 15.
III-F-iv-a- Authentifications Windows
Dans le cas de l'authentification Windows, ce sont les mécanises d'identification classiques de Windows qui sont mis en jeu. Le nom du serveur d'accès distant doit être entré dans l'Annuaire Active Directory et ajouté au groupe "Serveurs RAS et IAS". Cette opération se fait avec l'outil "Utilisateurs et ordinateurs du domaine".
Figure 19 : Ajout d'un serveur d'accès distant au groupe "Serveurs RAS et IAS".
III-F-iv-b- Authentification RADIUS
Si RADIUS est sélectionné comme source d'identification sur le serveur d'accès distant, les informations nécessaires à la connexion d'un client distant sont demandées par un serveur RADIUS. Le serveur RADIUS possède sa propre base de données de comptes utilisateurs ainsi que leurs propriétés. Il peut aussi servir d'ordinateur qui interroge d'autres bases de données y compris des bases de données d'authentification sur des serveurs de domaines Windows. Il peut servir de serveur proxy pour un autre serveur RADIUS distant.
IV -
IV-A-
Un VPN (Virtual Private Network – Réseau Privé Virtuel) connecte les composants d'un réseau à ceux d'un autre réseau. Le VPN forme une sorte de tunnel à travers des réseaux privés ou publics (Internet) pour acheminer des données avec la même sécurité que si elles étaient transportées sur un réseau privé physique.
Figure 20 : VPN.
IV- A- i-
IV-A-i-a- Client distant à travers Internet
Le client distant est connecté à un noeud d'un réseau d'entreprise à travers le réseau Internet. L'intérêt de cette connexion, outre l'aspect sécurité, est la diminution importante du coût de connexion. En effet le client distant au lien d'utiliser une ligne téléphonique longue distance pour se connecter au réseau, utilise une connexion locale (ou un forfait) pour se connecter au fournisseur de service Internet. Le logiciel VPN du client crée un réseau virtuel entre lui-même et le réseau local distant.
Figure 21 : VPN avec client distant utilisant Internet.
IV-A-i-b- Connexion de réseaux à travers Internet
Un VPN peut permettre d'établir un circuit sécurisé entre deux réseaux LAN d'une entreprise (site central et agence) par l'intermédiaire de :
- Ligne spécialisée. Dans ce cas le coût de la ligne spécialisée est réduit car la longueur est limitée à la distance comprise entre le LAN et le FAI le plus proche.
- Ligne commutée. Dans ce cas le coût lui aussi est plus faible, car il est limité au coût d'une connexion locale.
Figure 22 : VPN LAN à LAN.
IV-A-i-c- Liaison entre ordinateurs sur un même LAN
Un VPN peut être établi par l'intermédiaire d'un serveur VPN sur un LAN. Ce VPN permet d'établir une liaison sécurisée entre deux ordinateurs du réseau invisible pour les autres utilisateurs du réseau.
Figure 23 : VPN sur un LAN.
IV-B-
Le tunneling ou encapsulation permet de transférer une charge utile (payload) correspondant à un autre protocole. La charge utile est incorporée dans des trames ou des paquets qui comporte un en-tête supplémentaire La charge utile encapsulée passe dans un infrastructure du réseau en utilisant un "tunnel". Lorsque la charge utile est arrivée à l'extrémité du tunnel, elle est débarrassée de son en-tête et reprend sa forme initiale. Ce tunnel permet de transporter des données de manière sécurisée sur un réseau public qui ne l'est pas.
Figure 24 : Tunneling ou encapsulation.
Des technologies anciennes existaient comme SNA encapsulé sur des inter-réseaux IP ou IPX encapsulés sur des inter-réseaux IP. Des technologies plus récentes sont maintenant mises en œuvre :
- PPTP : Point-to-Point Tunneling Protocol qui permet l'encapsulation de niveau 2 dans des trames PPP de paquets IP, IPX ou NetBEUI. Ce protocole permet aussi le cryptage des données.
- L2TP : Layer 2 Tunneling Protocol permet lui aussi l'encapsulation et le cryptage des protocoles IP, IPX ou NetBEUI. Il peut utiliser comme support des réseaux IP, X25, Frame Relay ou Translation
- IPSec IP Security en mode tunnel permet d'encapsuler une charge utile IP dans des paquets IP d'encapsulation et de les véhiculer en toute sécurité sur des réseaux IP privés ou publics comme Internet.
Pour établir un tunnel, le client tunnel et le serveur tunnel doivent utiliser le même protocole de tunneling (PPTP ou L2TP pour la couche 2).
? Un protocole de maintenance de tunnel sert à gérer le tunnel. Les deux extrémités se mettent d'accord pour établir le tunnel, pour détecter les défaillances éventuelles et pour mettre fin au tunnel.
? Le protocole de transfert des données en tunnel encapsule et désencapsule les données.
IV- B- i-
IV-B-i-a- Tunnels volontaires
Les tunnels volontaires sont ceux créés par l'utilisateur lui-même. Le client tunnel est l'ordinateur de l'utilisateur, l'autre extrémité est le serveur tunnel.
IV-B-i-b- Tunnels obligatoires
Les tunnels obligatoires sont ceux qui sont créés automatiquement sans intervention de l'utilisateur. Le client ne constitue pas une extrémité du tunnel. Il doit utiliser un autre ordinateur du réseau qui joue le rôle de client tunnel. Cet ordinateur est appelé concentrateur d'accès et c'est lui qui crée le tunnel dès la connexion du client. Le concentrateur d'accès établit un tunnel avec un autre concentrateur d'accès à travers Internet. Ce type de tunnel est dit obligatoire, car le client doit l'utiliser obligatoirement.
Figure 25 : Tunnel obligatoire.
On dit que le tunnel obligatoire est statique lorsque les données des utilisateurs sont toujours dirigées vers le même serveur tunnel.
On dit que le tunnel obligatoire est dynamique si l'ordinateur client peut choisir la destination du tunnel.
IV-C-
Les principaux protocoles utilisés pour le VPN sont PPTP, L2TP, IPSec et IP-IP.
IV- C- i-
PPTP est une extension de PPP. Il a été mis au point par Microsoft, Ascend, 3Com ECI Telematic et US Robotics. Ce protocole encapsule les trames PPP du client dans des paquets IP. Un en-tête GRE est ajouté après l'en-tête IP. GRE est un protocole d'encapsulation qui permet d'encapsuler n'importe quel protocole. PPTP utilise une version spéciale de GRE.
Figure 26 : PPTP.
La charge utile des trames PPP peut être compressée et encryptée. PPTP peut être utilisé aussi bien avec des WAN que pour relier les stations de deux LAN. Avant de pouvoir transmettre des données, PPTP utilise les mêmes protocoles d'authentification que PPP, c'est-à-dire PAP, MS-CHAP, CHAP et EAP.
IV- C- ii-
Le protocole de tunneling L2TP (Layer 2 Tunneling Protocol) est une combinaison de PPTP et de Layer 2 Forwarding (L2F) développé par Cisco.
L2TP encapsule les trames PPP à transmettre sur des réseaux IP, X25, Frame Relay, ATL ou LAN à LAN Privés. Windows 2000 n'implémente L2TP que sur les réseaux IP (Pas X25, Frame Relay ou ATM).
IV- C- iii-
IPSec (IP Security) est la stratégie d'avenir pour la sécurisation des réseaux privés ou publics comme Internet.
Du point de vue de la sécurité, IPSec protège les données transmises contre :
- L'altération de données en transit
- Les interceptions ou les piratage de données
- Les accès non autorisés.
IPSec s'appuie sur un modèle point à point entre deux ordinateurs. Chacun d'eux gère la sécurité de son extrémité respective en prenant pour principe que le support entre eux n'est pas sécurisé. Les routeurs intermédiaires n'ont pas besoin de gérer IPSec.
IPSec peut être déployé :
- Sur les réseaux locaux de type client-serveur ou réseaux homologues
- Sur des réseaux étendus entre postes dur LANs distants
- Sur des accès distants : A partir d'un poste client vers un LAN à travers un point d'accès ou vers Internet.
IPSec peut être ajouté à toute pile IPv4 dans les ordinateurs et sera inséré d'origine dans une pile IPv6.
IV-C-iii-a- Architecture d'IPSec
IPSec assure la sécurité au niveau réseau. Il offre donc une protection automatique pour tous les protocoles et applications de niveaux supérieurs.
Figure 27 : Architecture IPSec.
Les services de sécurité mentionnés ci-dessus sont fournis au moyen de deux extensions du protocole IPappelées AH(Authentication Header) et ESP(Encapsulating Security Payload) :
??AH est conçu pour assurer l’authenticité des datagrammes IP sans chiffrement des données. Le principe est d’adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l’authenticité des données incluses dans le datagramme. Un numéro de séquence permet de détecter les tentatives de rejeu (tentative d’attaque consistant à envoyer de nouveau un paquet valide intercepté précédemment sur le réseau).
Figure 28 : Format de AH.
??ESP a pour rôle premier d’assurer la confidentialité,mais peut aussi assurer l’authenticité des données. Le principe d’ESP est de générer, à partir d’un datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l’en-tête original, sont chiffrés. ESP peut également assurer l’authenticité des données par ajout d’un bloc d’authentification et la protection contre le rejeu par le biais d’un numéro de séquence.
Figure 29 : En-tête ESP.
AH et ESP peuvent être utilisées séparément ou combinées pour obtenir les services de sécurité requis.
AH et ESP utilisent des algorithmes cryptographiques et ne sont pas restreints à un algorithme particulier. Ils sont utilisables avec de nombreux algorithmes parmi lesquels l’utilisateur ou l’administrateur du réseau pourront choisir. La norme IPSec rend certains de ces algorithmes obligatoires. Actuellement, DES-CBC et 3DES-CBC sont obligatoires pour le chiffrement, pour l’authentification HMAC-MD5 et HMAC-SHA-1 doivent être présents dans toute implémentation conforme d’IPSec.
IV-C-iii-b- Modes de protection
- ??Le mode transport protège uniquement le contenu du paquet IP sans toucher à l’en-tête ; ce mode n’est utilisable que sur les équipements terminaux (postes clients, serveurs).
Figure 30 : AH et ESP en mode transport.
??Le mode tunnel permet la création de tunnels par “encapsulation” de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs des paquets IP arrivant à l’entrée d’un tunnel, y compris sur les champs des en-têtes (adresses source et destination par exemple). Ce mode est celui utilisé par les équipements réseau (routeurs, firewall ).
Figure 31 : AH et ESP en mode tunnel.
IV-C-iii-c- Gestion des paramètres de sécurisation
Les mécanismes mentionnés ci-dessus font appel à la cryptographie et utilisent donc un certain nombre de paramètres (algorithmes utilisés, clefs, mécanismes sélectionnés ). Afin d’échanger des données de façon sécurisée, il est donc nécessaire, dans un premier temps, de se mettre d’accord sur les paramètres à utiliser, et notamment d’échanger des clefs de façon sûre.
- Dans la première version de IPSec (1995), cette gestion était manuelle par un administrateur. Elle ne peut donc convenir qu'à une gestion statique, sans renouvellement de clés et pour un réseau de petite taille.
- La seconde solution proposée est la gestion automatique au moyen d’un protocole approprié. Les développements dans ce domaine ont abouti à un protocole de gestion des paramètres relatifs à IPSec connu sous le nom de IKE(Internet Key Exchange). Bien que ce nom insiste sur le rôle d’échange de clefs, IKE se charge en réalité de la gestion (négociation, mise à jour, suppression) de tous les paramètres relatifs à la sécurisation des échanges.
IV-C-iii-c-i- SA
Afin de stocker et de manipuler facilement l’ensemble des paramètres gérés par IKE et utilisés par les mécanismes de sécurisation, IPSec a recours à la notion d’association de sécurité (Security Association, SA). Une association de sécurité est une structure de données qui regroupe l’ensemble des paramètres de sécurité associés à une communication donnée unidirectionnelle. Pour une connexion bidirectionnelle, il faut 2 SA. Pour stockerl’ensemble des associations de sécurité actives, on utilise une base de données des associations de sécurité(Security Association Database,SAD). Les éléments stockés dans cette base de donnéessont créés et modifiés par IKE puis consultés par la couche IPSec pour savoir comment traiter chaque paquet reçu ou à émettre.
IV-C-iii-d- La configuration
Les protections offertes par IPSec sont basées sur des choix définis par l’administrateur du réseau par le biais de politiques de sécurité. Ces politiques sont généralement stockées dans une base de données de politique de sécurité(Security Policy Database,SPD) et se présentent sous forme d’une liste ordonnée de règles, chaque règle comportant un certain nombre de critères qui permettent de déterminer quelle partie du trafic est concernée. La consultation de la base de données des politiques de sécurité permet de décider, pour chaque paquet, s’il se verra apporter des services de sécurité, sera autorisé à passer outre ou sera rejeté. C’est également cette base qui indique à IKE quelles associations de sécurité il doit négocier, et, en particulier, quels tunnels sécurisés il doit établir.
IV-C-iii-e- Synthèse
La figure 27 représente les différents composants d’IPSec et leurs interactions. On y retrouve notamment :
- AH et ESP, les mécanismes de sécurisation au niveau IP qui protègent les données transférées.
Les paramètres relatifs à l’utilisation de ces mécanismes sont stockés dans des associations de sécurité.
- ?IKE, le protocole orienté connexion utilisé par les équipements IPSec pour gérer les associations de sécurité. Une configuration manuelle des associations de sécurité est également possible.
- Un ensemble de politiques de sécurité, qui sont les règles à appliquer au trafic traversant un équipement donné. C’est par elles que l’administrateur du réseau configure IPSec et notamment indique à IKE quels sont les tunnels sécurisés à créer.
IV-C-iii-f- Exemples d'utilisation de IPSec
IV-C-iii-f-i- Réseaux privés virtuels
Une première utilisation possible d’IPSec est la création de réseaux privés virtuels (VPN) entre différents réseaux privés séparés par un réseau non fiable comme Internet. Les matériels impliqués sont les passerelles de sécurités en entrée/sortie des différents réseaux (routeurs, firewalls, serveurs). Cette configuration nécessite donc l’installation et la configuration d’IPSec sur chacun de ces équipements afin de protéger les échanges de données entre les différents sites.
Figure 32 : IPSec utilisé pour établir des VPNs.
Vous noterez que la protection ne se fait qu'entre les passerelles (pour le réseau public), mais pas de bout en bout.
IV-C-iii-f-ii- Pour les connexions distantes commutées
IPSec peut être utilisé dans le cas où les communications à sécuriser ne sont pas fixes, mais au contraire intermittentes et d’origines variables. C’est le cas lorsqu’on désire permettre à des utilisateurs itinérants ou situés à l'extérieur de l'entreprise d’accéder au réseau interne sans diminuer le niveau de sécurité. Les matériels impliqués sont les portes d’entrées du réseau (serveur d’accès distants, liaison Internet ) et les ordinateurs utilisés par les employés (ordinateur portable, ordinateur personnel au domicile ). Ces configurations nécessitent l’installation d’IPSec sur les postes de tous les utilisateurs concernés et la gestion d’une éventuelle base de données adaptée pour stocker les profils individuels.
Figure 33 : Utilisation d'IPSec pour sécuriser des accès distants.
IV-C-iii-f-iii- Protection de serveur
IPSec pour protéger l’accès à un ordinateur (un serveur) qui contient des données importantes ou confidentielles. IPSec permet de mettre en oeuvre un contrôle d’accès fort et un chiffrement des données pendant leur transfert sur le réseau local. Les matériels impliqués dans ce type de configuration sont le serveur sensible et les ordinateurs de toutes les personnes devant accéder aux données.
Figure 34 : IPSec utilisé pour sécuriser une liaison sur un réseau local.
IV- C- iv-
IP-IP ou IP dans IP est une technique simple d'encapsulation de couche réseau (3). IP-IP est surtout utilisé pour l'encapsulation du trafic multidiffusion pour les sections de réseaux qui ne supportent pas la multidiffusion.
V -
La gestion du service RRAS est gérée à partir de la console "Routage et Accès distant", mais aussi par un outil en mode commande netsh.
V-A-
Ce composant se trouve dans les "Outils d'administration". Pour activer cet outil voir le début de ce document. Utiliser l'aide en ligne selon le type de connexion distante ou le type de routage à assurer.
Figure 35 Console avec le composant logiciel Routage et Accès Shell
V-B-
Net Shell est un utilitaire par lignes de commandes (qui peuvent être mises dans un script) destiné aux composants réseaux des ordinateurs locaux et distants Windows 2000. Le nom du programme est et se trouve dans %systemroot%system32.
__________________________
FIN
Centre d’Angers Réseaux -- A.C -- W2000 Routage et Accès 3/6/2018
VPN = Virtual Private Network
PPTP = Point to Point Tunneling Protocol
L2TP = Layer 2 Tunneling Protocol
IPSec = Internet Protocol Security
FAI = Fournisseur d’accès Internet. ISP= Internet Service Provider
InterNIC = Internet Network Information Center et IANA = Internet Assigned Numbers Authority
CIDR = Classless Internet Domain Routing (Voir cours IP=)
RADIUS = Remote Authentication Dial-In User Service.
GRE (Generic Routing Encapsulation)
DES –CBC : Data Encryption Standard – Cypher Block Chainaing
3DES : Triple DES
HMAC- MD5 : A MAC mechanism based on encryption Hash functions – Message Digest 5
SHA 1 : Secure Hash Algorithm 1