Resume
Cette présentation nous fera découvrir Une configuration complète d’un server sous Windows 2003 avec Terminal Server.
Nous aborderons comment mettre en réseau deux site distant à l’aide d’une liaison VPN. Nous étudierons les problèmes liés
à un cas spécifique de liaison entre un site en ADSL et RNIS.
Sommaire
Introduction
1 Configuration du server
o 1.1 Choix du système d’exploitation
o 1.2. Configuration du système
o 1.3. Gestion des sauvegardes
2 Installation et Configuration Terminal Server sous Windows Server 2003
o 2.1 Pré requis et installation
o 2.2. Configuration des services Terminal server
o 2.3. La gestion des licences Terminal Server
o 2.4. Le gestionnaire des services Terminal Server
o 2.5. Gestion des stratégies
o 2.6. Protocole RDP et installation des applications
3 Mise en service des routeurs
o 3.1. Configuration du VPN avec IPSEC
o 3.2. Avantage d’utiliser IKE
o 3.3. Choix du protocole VPN
o 3.4. Point Important lors du paramétrage
4 Présentation VPN
o 4.1. Différent cas d’utilisation
o 4.2. Protocoles de tunnelisation et leurs origines
o 4.3. Définitions des protocoles
o 4.4. Protocole IPSEC et PPTP
o 4.5. Détails liés au cryptage
5 Problèmes lors d’une installation spécifique ADSL RNIS
o 5.1. Problèmes et solutions choisit
o 5.2. Présentation des profiles Internet
Conclusion
Introduction
Micro Tonnerre à mis en place de nombreux serveurs Tse pour ces clients
maisons de retraite. Pour plusieurs raisons :
Nous conclurons sur une ouverture vers le monde des clients légers.
1 Configuration du server
Server 2000 et ISA 2000 Server (Proxy/Pare-feu pour une meilleure sécurisation et un meilleur
contrôle de l'accès Internet), le client Outlook 2003 et Microsoft FrontPage 2003. Cependant SBS
en version 2003 est limité à 75 utilisateurs. Mono domaine, il ne peut pas exécuter de serveur
Terminal Server, mais supporte le gestionnaire de licences de TSE. Il supporte TSE en mode
Administration avec 2 licences de connexion. Chaque serveur supplémentaire doit avoir une CAL
d'accès client pour SBS. Vous pouvez utiliser les CAL SBS pour chaque client ou chaque
ordinateur, le total ne pouvant dépasser 75 CALS.
De nombreux services peuvent êtres amenés à êtres configurés, tels le Dns, Active Directory,
Terminal Server et les stratégies de sécurité. Active Directory gère les utilisateurs, il suffit alors de
créer deux UO pour séparer les utilisateurs classiques et les utilisateurs Terminal Server. Les
utilisateurs peuvent ne pas faire partie du domaine, c'est-à-dire que ce réseau est un Workgroup.
Ils n'ont donc pas d'utilisateurs classiques dans Active Directory pour la plupart. C'est lorsqu'ils
ouvrent la connexion réseau à distance qu'ils doivent s'identifier et non à l'initialisation de la
machine. La mise en place de Tse nécessite plusieurs étapes, il faut d'abord installer via
l'ajout/suppression de programmes de Windows, la Gestion des licences Terminal Server. Puis
réaliser la suite de l'installation avec l'outil configuration de serveur qui propose de mettre en place
Terminal Server. Pour finaliser l'installation il faudra ajouter les utilisateurs désirant se connecter
en Tse au groupe Utilisateur du bureau à distance.
Notre système de sauvegarde se réalise avec des lecteurs REV de Iomega. Ce système de
sauvegarde se branche en USB. Lors d’une panne il suffit de connecter un autre exemplaire sur le
même port (évite de démonter toute la machine). Ce lecteur est fourni en standard avec une
version cd d’Iomega Backup Tools, qui nous permet de gérer notre sauvegarde système, en faite
derrière ce nom se cache l'utilitaire Ghost de Symantec. Grâce à cet utilitaire nous pouvons faire
une sauvegarde de la totalité du serveur quand nous le voulons. Celle-ci prend en moyenne 5-10
minutes car on ne prend que la partition C où nous installons tous les logiciels, les données de ces
logiciels quant à elles se trouvent sur la seconde partition, laquelle est sauvegardée tous les soirs à
22:00. Les lecteurs REV offrent un accès quasi instantané aux données, alors que les lecteurs
classiques doivent parcourir la totalité de la bande d’une extrémité à l’autre.
Ainsi vous pouvez très facilement vérifier les rôles effectués par votre serveur. Sélectionner le rôle
Terminal Server puis cliquer sur suivant. L'installation va s'effectuer et vous demandera de
redémarrer.
Nous pouvons configurer Terminal Server. Trois programmes s'offrent alors à nous :
Afin de gérer de manière correct votre TSE, il est conseillé de prévoir une OU à cet effet. Dans
celle-ci il vous suffit :
Ceci nous donne accès aux paramètres RDP ou ICA (dans le cas de citrix).
- client compatible
- élevé
- compatible FIPs
Il vous suffit désormais d'activer votre serveur : Clic droit - activer le serveur
Puis renseigné le code se trouvant sur la petite feuille à l'intérieur de la pochette : Licence code,
celui ci détecte votre type de licence, vous êtes enfin activé...
Le gestionnaire des services Terminal Server vous permet de voir où en sont vos différentes
sessions :
Faire un gpupdate
2.6. Protocole RDP et installation des applications
C'est un protocole qui permet à un utilisateur de se connecter sur un ordinateur faisant tourner
Microsoft Terminal Services. Le serveur écoute sur le port 3389. Il en existe plusieurs versions :
La première version 4.0 à été introduite dans Windows NT4.0 Server, Terminal Server
Edition
La version 5.0 était celle fournie sous Windows 2000 server, avec plus de fonctionnalité :
support de l'impression; amélioration utilisation de la bande passante ...
La version 5.1, fournit avec Windows XP professionnel, inclus le support du son et des
couleurs 24 bits
La version 5.2 introduite avec Windows Server 2003 inclus le support pour le mappage de
ressources locales.
Il existe de nombreux clients pour Windows. Il est bon de savoir aussi qu'un client libre pour le
service RDP existe. Il fonctionne sous les versions 4 et 5 de RDP et donc avec les serveurs
NT,2000 et 2003. Son nom : Rdesktop
Dans le cas d'application pour TSE, lors du lancement de l'installation il faut changer de mode.
Change user /install : désactive le mappage de fichier .ini vers le répertoire de
base. Tous les fichiers .ini sont lus et écrits dans le répertoire système. Il faut
désactiver le mappage lors d'installation d'application sur le serveur TSE (après
installation repassez en mode execute). change user /execute : active le mappage de
fichier .ini vers le répertoire de base. Il s'agit du paramètre par défaut.
Exemple :
Ci-dessous, on choisit le type de connexion, le plus important est le type d'encapsulation, pour une sécurité
accrue nous choisirons IPsec.
Ensuite il faut définir comment les clefs seront générés, ici nous utiliserons le protocole IKE qui génère
automatiquement les clés. Celui-ci nécessite une clé secrète de 16 caractères minimum. L'encapsulation sera en
ESP avec Des, et possible en 3Des.
C'est ici que l'on va préciser les différents réseaux, le réseau local et le réseau distant.
4 Présentation VPN
Les utilisateurs nomades auxquels on souhaite fournir un accès aux ressources du réseau de l'entreprise. C'est
ce qu'on appelle VDPN, pour Virtual Dial-up Private Networking.
La constitution d'un extranet global permettant à un ensemble de sites distants de communiquer via un réseau
virtuel auxquels ils sont raccordés.
Il existe plusieurs protocoles pour établir des liaisons VPN. Les trois principaux sont PPTP, L2TP et IPSEC.
PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com,
Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva.
Il est désormais quasi-obsolète
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire
converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées
pour les réseaux IP.
Développé par Microsoft, ce protocole est à présent un standard public (RFC 2637). Il permet
l'établissement d'un lien PPP au dessus du protocole IP. L'authentification est réalisée par le
protocole MsCHAP. Le transport des données est assuré par une variante améliorée du protocole
GRE (Generic Routing Encapsulation, développé par Cisco). L'établissement et le contrôle du
tunnel sont assurés par une connexion TCP parallèle. N'offrant pas à l'origine de mécanisme de
chiffrement des données véhiculées, PPTP s'est vu étendu. Il supporte à présent le chiffrement des
données via le protocole RC4, avec des clés de 40 ou 128 bits. Cependant, PPTP n'offre aucun
mécanisme de contrôle d'intégrité des paquets.
Le protocole IPsec :
AH permet d'assurer l'intégrité des paquets IP entiers (entête et données) impliqués dans le
transport des paquets du tunnel, à l'aide de résumés cryptographiques de 96 bits calculés à l'aide de
variantes des algorithmes MD5 ou SHA. ESP permet d'assurer l'intégrité des données transportées
par le tunnel par les mêmes procédés que AH, et la confidentialité de ces données soit par
algorithme DES-CBC, avec clé à 56 bits, soit par son successeur, 3DES-CBC, par clés 168 bits.
AH peut être utilisé seul si on ne souhaite pas chiffrer. ESP peut lui aussi être utilisé seul, auquel
cas on ne vérifie pas l'intégrité des paquets IP sous-jacents. L'association de AH et ESP permet
d'atteindre le niveau maximum de sécurité. En raison de la vérification d'intégrité des paquets,
IPSEC pose des problèmes de compatibilité avec les équipements réalisant de la traduction
d'adresses (NAT) et ne fonctionne qu'avec ESP en mode tunnel. En effet, la modification des
entêtes du paquet IP n'est ni compatible avec AH, ni avec ESP en mode transport. C'est pourquoi
les fonctions IPSEC sont le plus souvent réalisées par les équipements qui gèrent la traduction
d'adresses.
Pour notre projet, nous allons étudier plus précisément les protocoles IPSec et PPTP, pourquoi ?
Tout simplement car nous utiliseront IPSec pour relier les deux réseaux lorsque l'adsl sera en place
puis PPTP avec MMPE pour la connexion des personnes qui voudront se connecter de l'extérieur,
comme les commerciaux ou le directeur.
L'intégrité des champs suivants du datagramme IP : données (en mode tunnel, ceci comprend la totalité
des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par AH),
version (4 en IPv4, 6 en IPv6), longueur de l'en-tête (en IPv4), longueur totale du datagramme (en IPv4),
longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut 51 pour
indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du destinataire (sans source
routing). AH assure donc l'intégrité des champs IP qui ne sont pas susceptibles d'être modifiés pendant le
routage, les autres champs (TTL, etc.) ne pouvant être contrôlés.
L'unicité (optionnelle, au choix du récepteur), ce qui empêche le rejeu. Le protocole AH n'assure pas la
confidentialité : les données sont authentifiées mais pas chiffrées.
Enfin, AH ne spécifie pas d'algorithme particulier. Ceux-ci sont décrits séparément, ce qui fait la
souplesse du protocole IPsec.
Module 2 : ESP :
Le protocole ESP (Encapsulating Security Payload) encrypte toutes les données du paquet garantissant
leur confidentialité.
Module 3 : SA :
Security Assocation (SA) définissant l'échange des clés et des paramètres de sécurité. Les SA
rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les protocoles
AH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les protocoles, les clés
utilisées,...). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la
plupart du temps), qui permet aux deux parties de s'entendre sur les SA. . Chaque SA est repérée par un
SPI (security parameter index). La base des SA valides au niveau d'une entité IPsec est la SAD (Security
Association Database).
Pour initier le tunnel – il fonctionne en tant que PPTP Access Concentrator (PAC)
Il est possible d'utiliser la traduction d'adresses IP pour les connexions entrantes comme
sortantes.
PPTP utilise deux types de paquets pour établir le tunnel et envoyer des données :
TCP pour l'établissement du tunnel PPTP – les paquets sont à destination du port 1723
GRE pour l'envoi de données au travers du tunnel, (GRE comme Généric Routing Encapsulation : Protocole de
transport 47)
Pour résumer :
MPPE et DES :
La même clef à l'autre extrémité à l'autre extrémité du tunnel sert à décrypter les paquets échangés entre
les deux partenaires.
3DES ou TripleDES :
Dans la plupart des cas, les clés utilisées pour chiffrer les données d'un tunnel ne sont pas fixées avant sa
mise en place.
Une gestion manuelle des clés de chaque tunnel est d'autant plus fastidieuse qu'il y a de chiffreurs. De
plus, la robustesse des algorithmes cryptographiques n'est garantie que si les clés sont renouvelées
régulièrement (gestion de l'usure et de la cryptopériode). Enfin, la compromission d'un équipement
permet, si la clé peut être récupérée (par exemple sur le disque), de déchiffrer à posteriori tout le trafic
chiffré s'il a été enregistré.
Le protocole IKE permet une gestion dynamique des clés IPsec reposant sur une architecture de
confiance (PKI/certificats X509, secret pré-partagé, etc.). IKE réalise une négociation des protocoles et
des algorithmes à utiliser pour chaque tunnel, ainsi que les échanges de clés nécessaires à leur mise en
oeuvre dans la durée (incluant les renouvellements). Ces échanges sont protégés par une authentification
reposant sur l'architecture de confiance retenue. Une compromission à posteriori des éléments de cette
architecture ne permet que des attaques actives sur le trafic futur. L'utilisation du mode PFS (Perfect
Forward Secrecy) permet de plus de rendre les différentes clés générées indépendantes les unes des
autres.
SP : Security Policy :
Une politique de sécurité IPsec est une règle indiquant, pour un type particulier de flux, quel traitement
doit être appliqué: autorisation simple (choix par défaut), interdiction, ou traitement IPsec. Les critères
utilisables pour sélectionner un flux sont multiples: adresses, protocoles, ports, etc. Les politiques
indiquant un traitement IPsec renvoient vers les SA disponibles en spécifiant les caractéristiques
requises. La base des SP en vigueur au niveau d'une entité IPsec est la SPD (Security Policy Database).
La SPD définit donc ce que la couche IPsec doit faire des datagrammes IP alors que les SA explicitent le
traitement à leur appliquer.
Lorsque les clés sont gérées dynamiquement par IKE, on définit manuellement des SPD symétriques sur
chaque extrémité du VPN et on laisse les services IKE négocier et établir les SA.
Pour cette installation, nous avons rencontrés différents problèmes. Tout d'abord lors de l'installation,
pour le déploiement du logiciel antivirus car le réseau était un groupe de travail et celui-ci n'arrivait pas à
déployer les antivirus à distance à cause de l'authentification des utilisateurs. Nous avons tout simplement rajouté
des mots de passe aux comptes administrateurs des différents postes.
Ensuite lors de la mise en place des routeurs, aucun problème ne se posait, les routeurs communiquaient bien
ensemble, nous pouvions pinger les uns et les autres. Mais au bout de quelques minutes la liaison était coupée.
Nous avons donc vérifié plusieurs fois la configuration, mais rien n'était erroné.
Nous avons donc décidé de contacter Nétopia. Nous avons alors compris que cela venait du protocole IPsec
crypté avec DES car la ligne numéris était trop faible en bande passante pour le supporter. Nous avons donc
décidé de passer en PPTP, avec cryptage MPPE. Cela n'était pas gênant en soit, mais changeait radicalement le
mode d'utilisation, ce ne sont pas les routeurs qui initient la connexion du VPN mais les utilisateurs eux-
mêmes…
Il a donc fallu configurer les connexions PPTP sur le routeur Numéris de Channes afin que les utilisateurs de
Polisot se connecte dessus via une connexion réseau privé virtuel depuis windows avec les paramètres rentrés
dans le routeur Rnis.
EasySetupProfile correspond au profil internet. IPSec Polisot à la configuration IPSec testée mais inutile
pour le moment. Les différents comptes PPTP correspondent aux profils qui se connecteront depuis
Polisot.
Mais ceci nous pose alors deux ou trois problèmes… Car il y a deux lignes numéris, mais elles
correspondent à la fois à la connexion internet, au standard téléphonique et au fax. Ce qui signifie que la
ligne est très souvent indisponible, ou que le téléphone est bloqué à cause de la connexion TSE.
Nous avons donc décidé de demander la création d'une ligne téléphonique classique avec l'adsl. (Ils
pourront alors y brancher internet et le fax).
Conclusion
Pour conclure, je tiens à préciser que nous sommes en phase de test pour mettre en place des clients
légers, maintenant que nous avons commercialisé de nombreux servers Tse sur lesquelles nous avons
testé et paramétré tous nos logiciels. Cela signifie que la plupart de nos clients n'utilisent plus que les
capacités du server, la station en elle-même n'a plus d'utilité.
Tout cela va nous permettre de remplacer les stations par des clients de type Wyse S10, ces wyse n'ont
n'y disques durs, n'y barrettes mémoires, ni ventilateurs ce qui signifie :
Un gain de place car le wyse est minuscule et peut même être fixé à l'arrière de l'écran.
Un bruit quasi-inexistant.