Présentation de l'accès distant sous Windows 2000 Server

Introduction

Dès lors qu'un utilisateur d'un réseau d'entreprise se déplace, il peut être confronté au problème de ne plus avoir accès aux ressources informatiques de la société. La fonctionnalité d'accès distant de Windows 2000 Server, intégrée au service Routage et accès distant, permet de palier ce problème en proposant de relier les utilisateurs mobiles à des réseaux d'entreprise.
Une fois connecté, l'utilisateur distant peut alors travailler comme si sa machine était physiquement relié au réseau. Il a donc accès à tous les services classiques d'un réseau (partage de fichier et d'imprimante, accès aux serveurs web, messagerie, etc…).
Un serveur d'accès distant Windows 2000 propose deux types de connexion à distance :

Liaison commutée
La liaison commutée est la plus souvent utilisée. Il s'agit en fait de se connecter directement à un port du serveur via une connexion non permanente grâce à un modem analogique, RNIS, X25 ou autres…
Ce type de connexion représente un liaison physique et directe entre le client et le serveur. Il n'est donc pas nécessaire de chiffrer les données dans la mesure où les informations ne circulent pas sur un réseau intermédiaire.

Tous les protocoles peuvent circuler à travers un connexion à distance commutée. La connexion étant physique entre le client et le serveur, le protocole utilisé peut-être aussi bien du TCP/IP que de l'IPX ou encore du Netbeui. Le protocole de transport PPP utilisés lors de connexions commutées est en effet capable de transporter n'importe quel type de paquet.

Réseau privé virtuel (VPN)
Contrairement à une liaison d'accès distant commutée, un VPN représente une connexion logique et non physique entre deux points. Il est donc nécessaire de chiffrer les données pour assurer une confidentialité totale des échanges.

Un VPN consiste en une connexion point à point en utilisant un réseau privé ou public comme internet. Un client VPN emploie des protocoles spéciaux basés sur TCP/IP appelés protocoles de tunnel. Le service d'accès distant permet 4 modes de tunnelage par défaut:

 PPTP

(Point to Point Tunneling Protocol) Il permet de chiffrre et d'encapsuler dans un entête IP le trafic IP, IPX ou NetBEUI pour l'envoyer ensuite à travers un interreseau IP (ex : Internet)

 L2TP

(Layer Two Tunneling Protocol): Il s'agit en fait d'une évolution du protocole PPTP car il combine à la fois la technologie L2F (Layer Two Forwarding) de Cisco et la Technologie PPTP crée par Microsoft.

 

Mode Tunnel IPSec : Permet de chiffrer puis d'encapsuler dans un entête IP des données utiles IP, pour les envoyer ensuite à travers un inter-réseau d'entreprise ou public

 

Tunnel IP dans IP : En capsule un datagramme IP dans un entête IP supplémentaire. Ce procédé permet notamment à un paquet multicast de se faire acheminer sur des portions de réseau incompatibles avec le routage multidiffusion.

Le procédé d'encapsulation qu'offrent ces protocoles de tunnelage permettent ainsi d'acheminer n'importe quel protocole en se servant d'une couche IP déjà installée.

Différence entre Accès distant et Contrôle à distance

Attention de ne pas confondre ces deux services. Le contrôle à distance repose sur le partage, via la connexion à distance, du clavier, de l'ecran et des ressources d'un ordinateur. L'accès distant, comme décrit plus haut, permet de se connecter à un réseau, via un serveur d'accès distant qui sera chargé de router les paquets du client vers les ressources du réseau. Il ne s'agit donc pas du tout du même service !

Installation du service d'accès à distance

La mise en place d'un serveur d'accès distant et de routage est relativement simple. Elle s'effectue grâce à la console MMC Routage et accès distant placée dans les outils d'administration communs.

Puisque rien a été encore configuré, le service routage et accès distant est arrêté et la console est encore vierge. Seul le nom du serveur apparaît (associé à une flèche rouge indiquant que le service n'est pas démarré).

Mode opératoire pour l'installation simple du service d'accès distant

Cliquer avec le bouton droit sur le nom de la machine (ici ROUTEUR), puis exécuter la commande Configurer et Activer le routage et l'accès distant

 

Dans la mesure où nous désirons accepter les connexions sur tous les types de ports (RNIS, RTC, X25, etc...) configurés sur le serveur, mais aussi les connexions PPTP ou L2TP (c'est à dire VPN), selectionner Serveur d'accès distant.

Selectionner Serveur de réseau privé virtuel indique au service accès distant que vous n'acceptez que ce type de connexion à distance. Les connexions RNIS et autres seront alors automatiquement refusées.

Dans la page Protocoles du client distant, vérifier la présence de TCP/IP dans la liste des protocoles.Ici se trouvent tous les protocoles standards installés sur le serveur, et que celui-ci sera à-même de router.

Cocher l'option Oui, tous les protocoles requis sont dans cette liste, puis cliquer sur suivant. Tous les protocoles installés sur le serveur seront affichés dans cette liste. Par défaut, seul TCP/IP est installé.

Si vous disposez d'au moins 2 cartes réseau, il vous faudra séléctionner dans la fenêtre selection du réseau l'interface appartenant au réseau auquel vous souhaitez que votre client accède.

 

 

Dans la page Attribution d'adresses IP, cochez l'option A partir d'un plage d'adresse spécifiée.

 

Spécifier une plage d'adresse IP à assigner aux clients distants. Le nombre de connexions concomitantes et donc le nombre de ports disponibles seront limitées par le nombre d'adresses IP disponibles dans cette plage (outre le nombre de licences d'accès distants que vous possedez…).

Attention toutefois de ne pas créer une plage d'adresse IP déjà existante dans un DHCP éventuel se trouvant sur le réseau. Il serait alors possible qu'il survienne quelques conflits d'adresses IP au sein du réseau.

Si vous disposez d'un DHCP, il serait préférable pour cette raison de cocher l'option utiliser un serveur DHCP existant

 

Dans la page Gestion des serveurs d'accès à distances multiples, selectionner non, je ne veux pas configurer ce serveur pour utiliser RADIUS maintenant. Un serveur RADIUS ou encore IAS possède l'avantage de centraliser les stratégies d'accès distants lorsque plusieurs serveurs d'accès distants sont présents sur un réseau. La configuration et l'utilisation de serveurs RADIUS fait l'objet d'un article séparé

 

Cliquer sur Terminer puis OK si un message d'avertissment apparaît. La console routage et accès distants ressemble maintenant à ceci

Administration des services

La console MMC permet de visualiser plusieurs paramètres :

Ports : Un port est un périphérique virtuel permettant aux clients de se connecter au serveur. Le nombre de ports configurés dépend du nombre d'adresse IP laissées à disposition dans la plage DHCP configurée plus haut.
Il est possible à partir de cette vue de constater l'état actif ou inactif de chaque port.

Client d'accès distant : Cette vue permet de visualiser les client connectés, de consulter leurs propriétés et éventuellement de leur envoyer des messages textuels.

Routage IP : Permet de configurer le routage des paquets IP. Il est possible ici de configurer les interfaces, d'ajouter des protocoles (comme le NAT, OSPF ou RIPv2) afin de permettre la découverte automatique de routeurs. La configuration du routage fait l'objet d'un autre article.
La configuration par défaut est d'autoriser le routage des paquets des utilisateurs distants sur le réseau local.

Connexion par accès à distance : Contient les fichiers journaux pour auditer les connexions.

Stratégies d'accès distant : Une stratégie d'accès distant est un ensemble de conditions définissant qui pourra accéder à distance au réseau et quelles seront les caractéristiques de cette connexion. Les critères d'acceptation ou de refus de connexions sont très variés. Il est possible de configurer une stratégie pour refuser ou accepter un connexion suivant une plage horaire, appartenance à un groupe, type de service, protocole utilisé, temps maximum de connexion etc… L'ordre de placement des stratégies est très importante car c'est la première stratégie concernée qui servira à accepter ou refuser la connexion.

Les stratégies d'accès distant ne sont pas stockées dans l'active Directory, mais dans le fichier local IAS.mdb. Dans le cas de plusieurs serveurs d'accès distants, il faudra donc créer les stratégies sur chacun d'entre eux, ou installer un serveur RADIUS. Il s'agit dans ce dernier cas d'un service supplémentaire fourni par Windows 2000 server capable de centraliser les stratégies accordées aux utilisateurs lors d'une connexion à distance. Lors d'une modification de stratégie (ou ajout ou suppression...), la manipulation sera à effectuer sur cette machine, et non plus directement sur les serveurs d'accès à distance.

Administration des utilisateurs

La console MMC permet de visualiser plusieurs paramètres :

Lorsque le serveur d'accès distant ne se situe pas dans un domaine, donc dans un environnement Active Directory, chaque ordinateur possède localement une banque de données des utilisateurs afin d'autoriser ou non l'accès à la machine. Le serveur d'accès distant ne fait pas exception et les utilisateurs autorisés à se connecter à distance doivent être présent dans la base locale du serveur.

Les utilisateurs se configurent dans la console gestion de l'ordinateur puis utilisateurs et groupes locaux

Dans le cas d'un serveur VPN se situant dans un domaine, la configuration des accès distants se fait au sein de la console Utilisateurs et objets Active Directory

Pour autoriser un utilisateur à se connecter à distance au serveur, il suffit de cliquer avec le bouton droit sur l'utilisateur en question, propriétés, puis de cliquer sur l'onglet appel entrant

Il est possible d'autoriser l'accès (permettre l'accès), interdire l'accès (Refuser l'accès) ou le contrôler via la stratégie d'accès distant. Cette dernière option permet donc de ne pas administrer les autorisations d'accès à distance à partir de cette console, mais à partir de la MMC Routage et acces distant en configurant les stratégies.

Plusieurs points sont à noter :
- Il n'est pas possible de configurer une stratégie pour un utilisateur à partir de la console routage et accès distant. L'acceptation ou le refus de connexion distante se fait sur des groupes et non sur des utilisateurs. Il faut donc créer 2 groupes, le premier servant à accepter ses membres, le second permettant de refuser ses membres.
- Le paramètre par défaut lors de la création de nouveaux utilisateurs est contrôler l'accès via la stratégie d'accès distant.
- Le paramètre Refuser l'accès est prioritaire par rapport à toute stratégie existante.
- Le paramètre autoriser l'accès n'est pas prioritaire par rapport aux stratégies existante.

Création d'une stratégie d'accès distant

Une stratégie par défaut, crée lors de la mise en place du service d'acces distant, concerne les restrictions horaires. Il est évidemment possible d'ajouter d'autre stratégies en cliquant droit sur le fichier de stratégie, puis propriétés

Les stratégies fonctionnent de façon positives ou négatives. C'est à dire que suivant une configuration effectuée au sein d'une stratégie (appartenance à un groupe par exemple), il est possible d'interdire ou d'accepter la connexion. L'association de plusieurs stratégies formant alors une configuration complète des restrictions.

Un utilisateur désirant se connecter au serveur d'accès distant devra alors remplir l'ensemble des stratégies avant de se voir accepter au sein du réseau virtuel.

Chaque stratégie possède un profil qui lui est propre et configurable séparément. Il est par conséquent possible de configurer un protocole de tunnelage spécifique à utiliser (par exemple L2TP), avec certains ports interdits, et/ou encore une plage d'adresses IP non-accessibles par le VPN, le tout en rapport à l'appartenance à un groupe d'utilisateur. C'est ce qu'on appelle un profil de stratégie d'accès distant.

Ce profil se configure à partir de la fenetre profil, accessible en cliquant droit sur le fichier de stratégie.

Il est ainsi possible, à partir de cette fenêtre, d'obliger l'utilisation de protocoles d'authentification et des protocoles de cryptage. Il est également possible de filtrer les paquets du client (à partir de l'onglet IP) et donc d'interdire l'utilisation de certains ports, ou de certaines IP...

Conclusion

L'association des profils d'appel entrant permet donc de sécuriser totalement une connexion en utilisant un réseau public comme internet. Les problèmes de sécurité ne se posent pas lors de l'utilisation de lignes commutés dans la mesure où il s'agit dans ce cas d'une connexion physique entre les deux protagonistes, et qu'aucun problème d'écoute du réseau ne peut survenir.

Le VPN est donc une alternative fortement interessante lorsque l'on est confronté à des utilisateurs mobiles qui souhaitent pouvoir avoir accès aux ressources du réseau de l'entreprise de manière sécurisée. L'utilisation d'internet comme réseau public intermédiaire permet de plus de proposer aux utilisateurs du réseau un accès à l'entreprise pour un coût modique, puisque partout dans le monde, les seuls frais d'accès à un provider local seront à prendre en compte...