Professional Documents
Culture Documents
Accueil > Articles > Rseaux Aprs les connexions daccs distant par numrotation pour accder au rseau interne de lentreprise depuis lextrieur, le V PN ou RPV (pour Virtual Private Network ou Rseau Priv Virtuel) sest aujourdhui impos comme la solution de rfrence, que ce soit pour ce type daccs comme pour les liaisons site site. Cette technologie permet de rduire les cots lis la mise en place des quipements ncessaires, la complexit de son installation, et accrot la scurit par un chiffrage des communications. En fait, une liaison VPN peut tre reprsente par un cble direct tir entre lutilisateur et le serveur distant. La mise en place dun VPN dentreprise peut prendre plusieurs formes : appliances ddies, routeurs comprenant la fonctionnal it VPN, ou encore serveur. Jusqualors, 2 protocoles taient utiliss : PPTP et L2TP/IPsec. PPTP est connu pour sa simplicit de mise en place et la gar antie de la confidentialit des communications, L2TP/IPSec pour sa scurit optimale et sa complexit dinstallation. Depuis quelques annes apparat une autre sorte de VPN, le SSL VPN. Dj disponible sur des solutions tierces telles quOpenV PN ou des appliances CISCO, SonicWall, le SSL VPN a t implment par Microsoft galement sous le nom de SSTP. Quelles sont les diffrences majeures qui sparent ces protocoles ? Comment mettre en place cette nouvelle solution sur un serveur Windows Server 2008 ? Deux questions auxquelles nous allons essayer de rpondre dans la suite cet article.
Sommaire 1. Gnralits et rappels sur les protocoles VPN 2. Configuration du serveur 3. Configuration du client 4. Considrations notables et dpannage 5. Conclusion
A la fin de la ngociation de la session, un paquet IPv4 transitant dans le tunnel SSTP est encapsul dans un en-tte PPP puis SSTP le tout chiffr avec la cl de session SSL. Sont ajouts ensuite un en-tte TCP puis IPv4.
Configuration du serveur
Configuration initiale
Configuration matrielle
La configuration matrielle ncessite un ordinateur supportant Windows Server 2008 et une capacit de monte en charge si le nombre de clients nomades est lev. On peut galement imaginer la virtualisation du systme dexploitation par le biais dHyper-V ou de Windows Virtual Server 2005 R2. Il devra tre quip dau moins 2 cartes rseau, une oriente vers Internet, lautre vers le rseau local de lentreprise.
Configuration logicielle
SSTP ncessite Windows Server 2008. Doivent y tre installs les Active Directory Domain Services (AD CS). Un utilisateur de test dont on aura autoris laccs distant dans ses proprits est galement requis.
Suivez lassistant en choisissant une autorit Standalone racine et en validant les options par dfaut. Lautorit de certification est dsormais en place. Nanmoins, le certificat associ est de la forme [nom de votre serveur]-DC-CA . Pour ltablissement de la connexion SSTP, il est ncessaire que le certificat ait t dlivr au nom employ lors de la demande de connexion. Nous devons donc en gnrer un qui correspondra au FQDN (Fully Qualified Domain Name) utilis lors de la configuration du client. Ouvrez Internet Explorer 7 en tant quAdministrateur. Allez dans les Options Internet et abaissez au maximum le niveau de sc urit de la zone Intranet. En effet, lors de la procdure, la page permettant de personnaliser le certificat contient des contrles ActiveX qui ne pourraient pas sexcuter par dfaut. Remplissez le formulaire en noubliant pas que le 1er champ doit tre le FQDN du serveur utilis par les clients ! Choisissez Server Authentication Certificate dans la liste qui suite. Marquez la cl comme exportable et donnez un nom familier et explicite au certificat.
Dans la console de lAutorit de certification, dlivrez le certificat en attente. Retournez laccueil de linte rface Web, allez pour regarder les certificats en attente et installez celui que vous avez demand. Ouvrez une MMC et ajoutez-y le composant logiciel enfichable Certificats pointant vers lordinateur local, puis le mme mais pointant vers lutilisateur courant. Dans le magasin personnel de lutilisateur, exportez le certificat et sa cl prive. Allez dans le magasin personnel de lordinateur local et importez le fichier PFX que vous avez sauv juste avant. Exportez le certificat nomduserveur-DC-CA et supprimez-le du magasin.
Afin de scuriser et restreindre laccs VPN, on peut mettre en place une stratgie rseau, anciennement appele stratgie daccs distant. Cela se fait dans la console Network Policy Server sous le nud Stratgies puis Stratgies rseau. Sont ici spcifies des contraintes cumulabl es que la tentative de connexion devra respecter comme les horaires de connexion, lappartenance un groupe pour lordinateur et/ou lutilisateur, lexcution dun systme
dexploitation spcifique ou encore le respect des exigences de scurit avec la technologie NAP (Network Access Protection).
Suivant le souhait ou non de faire passer les proprits daccs distant du compte de lutilisateur avant ces restrictions, il faudra indiquer dans lesdites proprits que son accs est soumis aux rgles dfinies dans NPS.
3. Configuration du client
Via GPO
Dans la GPO souhaite (du domaine par exemple), dveloppez Configuration Ordinateur, Stratgies, Paramtres Windows, Stratgies de scurit, Stratgies de cls publiques et enfin Autorits de confiance. Importez le certificat de lautorit racine. Attendez le cycle de ractualisation des stratgies de groupe ou forcez-la sur le client par gpupdate /target:computer /force .
Ds lors, pour vrifier que le certificat du serveur est toujours valable, lordinateur client doit avoir accs lemplacement de stockage de la CRL. Pour les clients distants, cest le plus souvent une URL vers un serveur Web de lentreprise. Par dfaut, lURL de la CRL est de la fo rme http://nomdevotreserveur.votredomaine/... alors que ce nom nest pas forcment accessible depuis Internet. Il est alors intressant de changer cette adresse et de la mettre sous la forme http://sstp.votredomaine/... pour correspondre avec lURL du VPN par exemple. C ette modification doit tre faite si possible avant lmission du 1er certificat du serveur directement dans les proprits de lautorit de certification. Aprs avoir ind iqu que les certificats doivent intgrs cette nouvelle donne, puis aprs avoir forc la publication de la 1re CRL, les problmes lis devraient disparatre.
Si vous avez plusieurs certificats dauthentification de serveur dans le magasin, entrez ces deux commandes :
Netsh http add sslcert ipport 0.0.0.0:443 certhash=[Thumbprint du certificate sans espaces] appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY Netsh http add sslcert ipport [::]:443 certhash=[Thumbprint du certificat] appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY
3. Conclusion
Le SSL VPN de Microsoft, SSTP, est donc une solution fiable et scurise. Bas sur des certificats et la technologie SSL, il amliorera la scurit des donnes sans pour autant introduire la complexit de mise en place dune solution L2TP/IPSec. En outr e, il permettra de contourner la non-gestion des protocoles ESP ou GRE par certains quipements des autres technologies VPN. On regrettera nanmoins labsence de compatibilit de ce protocole avec Windows XP SP3, encore massivement utilis en entrepr ise.