Escolar Documentos
Profissional Documentos
Cultura Documentos
Sommaire : ----------------------------------------------------------------------------------------------------------------------------------- 1 Remerciement : ----------------------------------------------------------------------------------------------------------------------------- 3 Introduction : -------------------------------------------------------------------------------------------------------------------------------- 4 Partie 1 ----------------------------------------------------------------------------------------------------------------------------------------- 5 VPN (Virtual Private Network) ------------------------------------------------------------------------------------------------------- 6 Quest-ce que VPN ? -------------------------------------------------------------------------------------------------------------------- 7 Cas d'utilisation de VPN --------------------------------------------------------------------------------------------------------------- 7 Les moyens techniques de VPN : ----------------------------------------------------------------------------------------------------- 8 Avantages et inconvnients du VPN : ----------------------------------------------------------------------------------------------- 8 Principe de fonctionnement : --------------------------------------------------------------------------------------------------------- 9 Fonctionnement d'un VPN : ------------------------------------------------------------------------------------------------------- 9 Principe de fonctionnement de l'accs distance --------------------------------------------------------------------------- 10 Les protocoles de tunnelisation -------------------------------------------------------------------------------------------------- 11 Le protocole PPTP --------------------------------------------------------------------------------------------------------------- 12 Le protocole L2TP--------------------------------------------------------------------------------------------------------------- 12 Le protocole IPSec -------------------------------------------------------------------------------------------------------------- 12 Fonctionnalits des VPN -------------------------------------------------------------------------------------------------------------- 13 Le VPN d'accs ---------------------------------------------------------------------------------------------------------------------- 13 L'intranet VPN ----------------------------------------------------------------------------------------------------------------------- 14 L'extranet VPN ----------------------------------------------------------------------------------------------------------------------- 15 Bilan des caractristiques fondamentales d'un Vpn --------------------------------------------------------------------------- 15 Partie 2 ---------------------------------------------------------------------------------------------------------------------------------------- 16 Mise en place dun serveur VPN sous Windows 2008 Server -------------------------------------------------------------- 17 Introduction :----------------------------------------------------------------------------------------------------------------------------- 18 Installation des serveurs sous Windows 2008 Server : ------------------------------------------------------------------------ 20 DNS : ----------------------------------------------------------------------------------------------------------------------------------- 20 Active Directory : ------------------------------------------------------------------------------------------------------------------- 24 DHCP : --------------------------------------------------------------------------------------------------------------------------------- 34 Services de stratgie et daccs rseau : --------------------------------------------------------------------------------------- 41 Cration des utilisateurs et des groupe : --------------------------------------------------------------------------------------- 50 NPS (stratgies rseau) : ----------------------------------------------------------------------------------------------------------- 55 Installation du client :------------------------------------------------------------------------------------------------------------------ 62 Installation de la connexion VPN cliente : ------------------------------------------------------------------------------------ 62 Phase de test du client -------------------------------------------------------------------------------------------------------------- 67 Conclusion ----------------------------------------------------------------------------------------------------------------------------------- 70 Bibliothque : ------------------------------------------------------------------------------------------------------------------------------- 71
2011-2012 |
Remerciement :
Tout dabord, je profite de cette occasion pour exprimer toute ma gratitude tous ceux qui ont contribu la ralisation de ce Modest travail, tenant compte la bonne stratgie de linstitut ISTA qui nous offre une occasion dattaquer le secteur pratique suite celui de la thorie, afin damliorer nos connaissances dans le domaine. Nous tenons remercier nos formateurs de linstitut, pour leur bien vaillance et leur disponibilit pour nous fournir leurs Soutiens et en plus des conseils.
Nous tenons remercier tout particulirement ceux qui, de prs ou de loin, nous ont aids laborer ce travail. Nous les remercions galement pour leurs pilotages efficaces, pour leurs conseils les plus prcieux, leurs commentaires les plus pertinents tout au long de cette priode. Ensuite, nous souhaitons que ce travail soit la hauteur de nos ambitions et lattente de notre encadreur.
2011-2012 |
Introduction :
Les rseaux locaux d'entreprise (LAN ou RLE) sont des rseaux internes une organisation, c'est--dire que les liaisons entre machines appartiennent l'organisation. Ces rseaux sont de plus en plus souvent relis Internet par l'intermdiaire d'quipements d'interconnexion. Il arrive ainsi souvent que des entreprises prouvent le besoin de communiquer avec des filiales, des clients ou mme du personnel gographiquement loignes via internet. Pour autant, les donnes transmises sur Internet sont beaucoup plus vulnrables que lorsqu'elles circulent sur un rseau interne une organisation car le chemin emprunt n'est pas dfini l'avance, ce qui signifie que les donnes empruntent une infrastructure rseau publique appartenant diffrents oprateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le rseau soit cout par un utilisateur indiscret ou mme dtourn. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La premire solution pour rpondre ce besoin de communication scuris consiste relier les rseaux distants l'aide de liaisons spcialises. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux rseaux locaux distants par une ligne spcialise, il est parfois ncessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste utiliser Internet comme support de transmission en utilisant un protocole d'"encapsulation" (en anglais tunneling, d'o l'utilisation impropre parfois du terme "tunnelisation"), c'est--dire encapsulant les donnes transmettre de faon chiffre. On parle alors de rseau priv virtuel(not RPV ou VPN, acronyme de Virtual Private Network) pour dsigner le rseau ainsi artificiellement cr. Ce rseau est dit virtuel car il relie deux rseaux "physiques" (rseaux locaux) par une liaison non fiable (Internet), et priv car seuls les ordinateurs des rseaux locaux de part et d'autre du VPN peuvent "voir" les donnes. Le systme de VPN permet donc d'obtenir une liaison scurise moindre cot, si ce n'est la mise en uvre des quipements terminaux. En contrepartie il ne permet pas d'assurer une qualit de service comparable une ligne loue dans la mesure o le rseau physique est public et donc non garanti.
2011-2012 |
Partie 1
2011-2012 | Mise en uvre du VPN sous Windows 2008 Server 5
VPN
(Virtual Private Network)
2011-2012 |
Un rseau VPN repose sur un protocole appel "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le rseau de leur entreprise. Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi l'metteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou aux extranets d'entreprise, les rseaux privs virtuels d'accs simulent un rseau priv, alors qu'ils utilisent en ralit une infrastructure d'accs partage, comme Internet. Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip. Dans Ce cas, le protocole de tunneling encapsule les donnes en ajoutant une en-tte. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.
2011-2012 |
Connexion de sites distants. Pour en entreprise possdant plusieurs sites, il est parfois avantageux de les relier. Une premire solution serait d'utiliser une LS. Mais cette solution un coup, et le VPN ne cote pas plus que 2 connexion d'accs internet.
2011-2012 |
La mise en uvre dun Intranet tendu et homogne permettant tous les utilisateurs daccder distance des ressources partages ou des services de types ASP, quelle que soit leur localisation. Laccs de vos partenaires ou vos clients votre rseau ainsi que la possibilit de communiquer entre eux. Lextension de votre rseau local en toute scurit par lutilisation de tunnels de communication crypts. Les inconvnients :
Dpendant du rseau : a contrario des connexions la demande, les performances de labonnement Internet de lun ou lautre des deux parties (socit ou nomade) ont un impact non ngligeable sur la qualit des transmissions. Tout problme chez le fournisseur daccs de lun ou de lautre peut provoquer une incapacit totale communiquer. Confidentialit des donnes : bien quutilisant des systmes de chiffrement il nen reste pas moins que les donnes transitent au travers dInternet. Du coup, elles sont potentiellement visibles de tous et ce bien quelles soient chiffres.
Principe de fonctionnement :
Fonctionnement d'un VPN :
Un rseau priv virtuel repose sur un protocole, appel protocole de tunnelisation (tunneling), c'est--dire un protocole permettant aux donnes passant d'une extrmit du VPN l'autre d'tre scurises par des algorithmes de cryptographie.
Le terme de "tunnel" est utilis pour symboliser le fait qu'entre l'entre et la sortie du VPN les donnes sont chiffres (cryptes) et donc incomprhensible pour toute personne situe entre les deux extrmits du VPN, comme si les donnes passaient dans un tunnel. Dans le cas d'un VPN tabli entre deux machines, on appelle client VPN l'lment permettant de chiffrer et de dchiffrer les donnes du ct utilisateur (client) et serveur VPN (ou plus gnralement
2011-2012 |
serveur d'accs distant) l'lment chiffrant et dchiffrant les donnes du ct de l'organisation. De cette faon, lorsqu'un utilisateur ncessite d'accder au rseau priv virtuel, sa requte va tre transmise en clair au systme passerelle, qui va se connecter au rseau distant par l'intermdiaire d'une infrastructure de rseau public, puis va transmettre la requte de faon chiffre. L'ordinateur distant va alors fournir les donnes au serveur VPN de son rseau local qui va transmettre la rponse de faon chiffre. A rception sur le client VPN de l'utilisateur, les donnes seront dchiffres, puis transmises l'utilisateur ...
2011-2012 |
10
PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco, Northern Telecom et Shiva. Il est dsormais quasi-obsolte L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP.
2011-2012 |
11
Le protocole PPTP Le Point-To-Point Tunneling Protocol (PPTP) travaille que sur des rseaux IP. Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de crer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP. Ainsi, dans ce mode de connexion, les machines distantes des deux rseaux locaux sont connects par une connexion point point (comprenant un systme de chiffrement et d'authentification, et le paquet transite au sein d'un datagramme IP.
De cette faon, les donnes du rseau local (ainsi que les adresses des machines prsentes dans l'en-tte du message) sont encapsules dans un message PPP, qui est lui-mme encapsul dans un message IP. Le protocole PPTP consiste en deux flux de communication entre le client et le serveur, s'appuyant directement sur le protocole IP : Le premier flux a pour rle la gestion du lien entre les deux parties, il sagit l dune connexion sur le port 1723 du serveur en TCP. Le second flux concerne les donnes changes entre les deux parties, bien entendu ce flux peut et doit tre chiffr, ce dernier transite en utilisant le protocole GRE.
PPTP ne concerne que le transport des donnes, un de ces deux protocoles intervient ensuite pour scuriser l'authentification Password Authentification Protocol (PAP): consiste mettre en place une authentification entre le client et le serveur VPN. Les informations d'authentification (nom d'utilisateur et mot de passe) transitent en clair, Ce qui n'est pas l'idal si l'on veut scuriser au maximum... Challenge Handshake Authentification Protocol (CHAP): consiste en un mcanisme d'authentification crypt, il est donc scuris.
Le protocole L2TP Le protocole L2TP est un protocole standard de tunnelisation (standardis dans un RFC) trs proche de PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant elles-mmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS). Le protocole IPSec IPSec est un protocole dfini par l'IETF permettant de scuriser les changes au niveau de la couche rseau. Il s'agit en fait d'un protocole apportant des amliorations au niveau de la
2011-2012 | Mise en uvre du VPN sous Windows 2008 Server 12
scurit au protocole IP afin de garantir la confidentialit, l'intgrit et l'authentification des changes. Le protocole IPSec est bas sur trois modules :
IP Authentification Header (AH) concernant l'intgrit, l'authentification et la protection contre le rejeu. des paquets encapsuler Encapsulating Security Payload (ESP) dfinissant le chiffrement de paquets. ESP fournit la confidentialit, l'intgrit, l'authentification et la protection contre le rejeu. Security Assocation (SA) dfinissant l'change des cls et des paramtres de scurit. Les SA rassemblent ainsi l'ensemble des informations sur le traitement appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algo de scurit utiliss par les protocoles, les cls utilises,...). L'change des cls se fait soit de manire manuelle soit avec le protocole d'change IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur les SA.
Le VPN d'accs
Le VPN d'accs est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une connexion Internet pour tablir la connexion VPN. Il existe deux cas: L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le NAS (Network Access Server) du fournisseur d'accs et c'est le NAS qui tablit la connexion crypte. L'utilisateur possde son propre logiciel client pour le VPN auquel cas il tablit directement la communication de manire crypte vers le rseau de l'entreprise.
2011-2012 |
13
Les deux mthodes possdent chacune leurs avantages et leurs inconvnients : La premire permet l'utilisateur de communiquer sur plusieurs rseaux en crant plusieurs tunnels, mais ncessite un fournisseur d'accs proposant un NAS compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le NAS n'est pas crypte Ce qui peut poser des problmes de scurit. Sur la deuxime mthode Ce problme disparat puisque l'intgralit des informations sera crypte ds l'tablissement de la connexion. Par contre, cette solution ncessite que chaque client transporte avec lui le logiciel, lui permettant d'tablir une communication crypte. Nous verrons que pour pallier Ce problme certaines entreprises mettent en place des VPN base de SSL, technologie implmente dans la majorit des navigateurs Internet du march. Quelle que soit la mthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une vrification "login / mot de passe", par un algorithme dit "Tokens scuriss" (utilisation de mots de passe alatoires) ou par certificats numriques.
L'intranet VPN
L'intranet VPN est utilis pour relier au moins deux intranets entre eux. Ce type de rseau est particulirement utile au sein d'une entreprise possdant plusieurs sites distants. Le plus important dans Ce type de rseau est de garantir la scurit et l'intgrit des donnes. Certaines donnes trs sensibles peuvent tre amenes transiter sur le VPN (base de donnes clients, informations financires...). Des techniques de cryptographie sont mises en uvre pour vrifier que les donnes n'ont pas t altres. Il s'agit d'une authentification au niveau paquet pour assurer la validit des donnes, de l'identification de leur source ainsi que leur non-rpudiation. La plupart des algorithmes utiliss font appel des signatures numriques qui sont ajoutes aux paquets. La confidentialit des donnes est, elle aussi, base sur des algorithmes de cryptographie. La technologie en la matire est suffisamment avance pour permettre une scurit quasi parfaite. Le cot matriel des quipements de cryptage et dcryptage ainsi que les limites lgales interdisent l'utilisation d'un codage " infaillible ". Gnralement pour la confidentialit, le codage en lui-mme pourra tre moyen faible, mais sera combin avec d'autres techniques comme l'encapsulation IP dans IP pour assurer une scurit raisonnable.
2011-2012 |
14
L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun sur celui-ci.
Le VPN est un principe : il ne dcrit pas l'implmentation effective de ces caractristiques. C'est pourquoi il existe plusieurs produits diffrents sur le march dont certains sont devenus standard, et mme considrs comme des normes.
2011-2012 |
15
Partie 2
2011-2012 | Mise en uvre du VPN sous Windows 2008 Server 16
2011-2012 |
17
Introduction :
Comme nous le savons, linternet na pas t crer dans un optique de confidentialit, cest pour cela quont t mis au point ces fameux VPN, ils permettent de crer une liaison entre deux points (deux pairs connects linternet) tout en rendant cette connexion priv et crypte donc inaccessible autrui qui ne serait pas autoris afin de protger ces donnes. Dans cette partie de ce projet en va parler sur linstallation dun serveur VPN sous Windows 2008 Server. Exemple dans un rseau local dune entreprise pour permet des utilisateurs de lentreprise daccder daprs linternet en tant que client VPN au rseau local pour permet dassurer la confidentialit des donnes transmises. Et cette topologie prsente lexemple dune entreprise quon va le travailler dans ce projet :
Pour installer un serveur VPN a cette entreprise il est dabord ncessaire dinstaller les serveurs suivant : Serveur DNS (Domaine Name Systme). Serveur DHCP (Dynamic Host Configuration Protocol). Services de domaine Active Directory.
2011-2012 |
18
Dans notre serveur qui appartient aux systme dexploitation Windows 2008 server avec deux cartes rseau : La premire carte avec une adresse IP La deuxime carte avec une adresse IP priv : 10.0.0.0/8 public : 200.200.200.0
2011-2012 |
19
Pour lajoute dun rle on clique sur Dmarrer puis Gestionnaire de serveur.
DNS :
Le serveur DNS (Domain Name System) fournit la rsolution de noms pour les rseaux TCP/IP. Ce serveur est plus facile grer sil est install sur le mme serveur que les services de domaine Active Directory. Si vous slectionnez le rle services de domaine Active Directory, vous pouvez installer et configurer le serveur DNS et les services de domaine Active Directory pour quils fonctionnent ensemble. Pour ajouter le rle Serveur DNS on choisit le menu Rles puis on clique sur Ajouter un rle.
2011-2012 |
20
2011-2012 |
21
On slectionne le rle Serveur DNS dans la liste des rles puis on clique sur Suivant
2011-2012 |
22
2011-2012 |
23
Active Directory :
Les services de domaine Active Directory (AD DS) stockent des informations sur les objets sur le rseau et les rendent disponibles aux utilisateurs et aux administrateurs rseau. Ces services utilisent des contrleurs de domaine pour donner accs aux ressources autorises aux utilisateurs rseau n importe o sur le rseau via un processus douverture de session unique. Pour ajouter le rle Services de domaine Active Directory on choisit le menu Rles puis on clique sur Ajouter un rle.
2011-2012 |
24
On slectionne le rle Service de domaine AD dans la liste puis on clique sur Suivant.
2011-2012 |
25
Pour confirmer linstallation du Services de domaine Active Directory on clique sur Installer.
2011-2012 |
26
Puis on clique sur Fermez cet Assistant et lancez lassistant Installation des services de domaine Active Directory (dcpromo.exe).
2011-2012 |
27
2011-2012 |
28
2011-2012 |
29
2011-2012 |
30
2011-2012 |
31
2011-2012 |
32
2011-2012 |
33
DHCP :
Le serveur DHCP (Dynamic Host Configuration Protocol) permet la configuration, la gestion et lattribution centralises dadresse IP et dinformations connexes pour les ordinateurs clients.
Choisi le rle Serveur DHCP dans la liste des rles puis cliquer sur Suivant
2011-2012 |
34
2011-2012 |
35
Donner le nom de domaine parent DNS et ladresse IPv4 du serveur DNS prfrer
2011-2012 |
36
Serveur WINS nest pas requis pour les applications sur ce rseau.
2011-2012 |
37
2011-2012 |
38
2011-2012 |
39
2011-2012 |
40
2011-2012 |
41
Choisi le rle Services de stratgie et daccs rseau puis cliquez sur Suivant.
2011-2012 |
42
2011-2012 |
43
2011-2012 |
44
Clic droit sur Routage et accs distant puis Installation dun serveur routage et accs distant
2011-2012 |
45
Choisi Accs distance (connexion distance ou VPN) puis clique sur Suivant
2011-2012 |
46
2011-2012 |
47
2011-2012 |
48
Cette fentre affiche que le routage et accs distance a cr une stratgie de demande de connexion par dfaut qualifie de stratgie du service routage et accs distance.
2011-2012 |
49
2011-2012 |
50
2011-2012 |
51
2011-2012 |
52
Dans le service de domaine Active Directory on ajoute lutilisateur par clic droit sur user et on fait nouveau groupe. On cre un groupe globale de scurit on donne par exemple le nom VPN.
2011-2012 |
53
2011-2012 |
54
On donne un nom pour la stratgie et dans le type de serveur daccs rseau on choisit Serveur daccs distance (VPN-Dial up) puis Suivant.
2011-2012 |
55
2011-2012 |
56
Cliquer sur ajouter des groupes pour ajouter le groupe dans la condition.
2011-2012 |
57
2011-2012 |
58
2011-2012 |
59
2011-2012 |
60
2011-2012 |
61
Installation du client :
Client est un ordinateur Windows XP courante avec SP3 qui fonctionne comme un client daccs distant pour le domaine projet.ma La configuration client consiste dans les tapes suivantes : Installez le systme dexploitation. Configuration TCP/IP. Cration de la connexion VPN.
2011-2012 |
62
2011-2012 |
63
2011-2012 |
64
2011-2012 |
65
2011-2012 |
66
On donne le nom dutilisateur et le mot de passe dun utilisateur quon a cr puis on se connecte.
2011-2012 |
67
2011-2012 |
68
Dans le menu clients daccs distant qui se trouve dans Routage et accs distant on voit lutilisateur qui a accs distant au rseau de lentreprise et on peut voir la dure de la connexion et le nombre de ports et le statut.
2011-2012 |
69
Conclusion :
A travers ce dossier, nous avons vu un aperu des diffrentes possibilits afin de dployer un VPN, et particulirement la solution que reprsente IP Sec. Nous avions en effet pour objectif de vous donner les concepts qui tournent autour de cette solution et de vous montrer un exemple de dploiement. Mais galement que le terme de VPN ne se rfrenait pas qu'a la solution IP Sec. Certes cette solution est la plus utilise et est une rfrence. Mais le VPN est avant tout un concept et ne prcise rien concernant ses moyens. Ainsi s'achve notre tude sur les VPNs. On se rend compte que derrire ce concept, une multitude de protocoles, techniques et architectures existent pour leur dploiement. Nanmoins, le choix d'une solution pour votre VPN dpendra videment de l'utilisation que vous en ferez et de l'investissement financier que vous y mettrez.
Le VPN pris une dimension proportionnelle au dveloppement d'internet. A l'origine pour dployer les rseaux privs, une nouvelle utilisation voit le jour aujourd'hui avec l'arrive des technologies sans file. En effet, ds les premires mises en place du 802.11 (WIFI), on nous dmontr ses failles en matire de confidentialit et de scurit. Un risque parmi d'autres, est de voir ses donnes transitant dans le rseau tre Lues par un homme du milieu . Ses problmes de scurit sont une grande problmatique quand des donnes sensibles sont communiques. Les solutions VPN offre une possibilit de garantir cette scurit et on peut alors penser la possibilit d'allier le confort d'utilisation d'un rseau sans file la scurit des donnes qu'on transmet.
2011-2012 |
70
Bibliothque :
http://free.korben.info/index.php/VPN http://www.frameip.com/vpn/ http://telecomix.ceops.eu/DeReynal-DeRorthais-Tan-VPN.pdf http://www.commentcamarche.net/contents/initiation/vpn.php3 http://www.labo-microsoft.org/articles/win/ras2003/
2011-2012 |
71