User Tools

Site Tools


formationsecurite:vpnwindows

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

formationsecurite:vpnwindows [2013/01/30 17:52]
127.0.0.1 external edit
formationsecurite:vpnwindows [2021/10/26 16:29] (current)
carl migration
Line 1: Line 1:
-Annuaire [[LDAP]] améliore la sécurité?+====== VPN Windows ====== 
 + 
 +Annuaire [[:LDAP]] améliore la sécurité?
 Permet le single sign on (SSO). Permet le single sign on (SSO).
 Avant, soit synchronisation par script, soit hacks pas très propres. Avant, soit synchronisation par script, soit hacks pas très propres.
Line 11: Line 13:
   * pas intégré windows (SAM locale)   * pas intégré windows (SAM locale)
  
-Je boote, je dois m'authentifier (avec un serveur [[Windows]]) -> je reçois un token.+Je boote, je dois m'authentifier (avec un serveur [[:Windows]]) -> je reçois un token.
 J'accède aux shares (avec ACLs et mon token). J'accède aux shares (avec ACLs et mon token).
 Je dois accéder à une DB (peu importe le protocole). Soit l'auth permet d'y accéder, soit pas -> je dois de nouveau m'authentifier -> problème: l'admin réseau ou sécurité doit gérer 2 DBs: recréer des users, des groupes, etc. Quand un user part, on l'enlève de la 1ere DB, mais pas de la 2e (on oublie) -> sécurité baisse (et c'est le bordel). Je dois accéder à une DB (peu importe le protocole). Soit l'auth permet d'y accéder, soit pas -> je dois de nouveau m'authentifier -> problème: l'admin réseau ou sécurité doit gérer 2 DBs: recréer des users, des groupes, etc. Quand un user part, on l'enlève de la 1ere DB, mais pas de la 2e (on oublie) -> sécurité baisse (et c'est le bordel).
  
-Tous les serveurs d'authentification sont [[Windows]]: pour les clients (postes de travail).+Tous les serveurs d'authentification sont Windows : pour les clients (postes de travail).
  
 Ferme: ensemble de serveurs qui fournissent le même type de services. Comment la securiser? Ferme: ensemble de serveurs qui fournissent le même type de services. Comment la securiser?
Line 24: Line 26:
  
 Comment gérer 200 PCs portables (pas dit qu'ils passent au bureau régulièrement)? -> en local (= tu as un problème) Comment gérer 200 PCs portables (pas dit qu'ils passent au bureau régulièrement)? -> en local (= tu as un problème)
- 
- 
  
 On a vu: On a vu:
Line 37: Line 37:
 cf. la journée sécurité cf. la journée sécurité
  
-Les 3 jours ici: [[VPN]] = une forme de réseau.+Les 3 jours ici: [[:VPN]] = une forme de réseau.
 Sécurisation réseau -> comment s'intègrent les VPNs? Sécurisation réseau -> comment s'intègrent les VPNs?
  
Line 46: Line 46:
   * de plus en plus utilisé   * de plus en plus utilisé
  
-=== Public Key Infrastructure ===+===== Public Key Infrastructure =====
 slide 17 slide 17
 Toute la sécurisation est basée sur la notion de confiance. Toute la sécurisation est basée sur la notion de confiance.
Line 53: Line 53:
 ==== Exemples de vie courante ==== ==== Exemples de vie courante ====
 Est-ce qu'internet est sécure? non. Est-ce qu'internet est sécure? non.
-Achat chaussures sur le site de Kickers: paiement par Visa.+Achat chaussures sur le site de Kickers : paiement par Visa.
 On doit faire confiance à Kickers puisqu'on leur donne le numéro de carte Visa. On doit faire confiance à Kickers puisqu'on leur donne le numéro de carte Visa.
  
Line 86: Line 86:
 Il y a des rustines. PKI en est une. Il y a des rustines. PKI en est une.
  
-EFS [[Windows]]: il faut un PKI.+EFS Windows: il faut un PKI.
 Rappel: EFS système d'encryption de fichier Rappel: EFS système d'encryption de fichier
 Encrypte des fichiers sur NTFS. Encrypte des fichiers sur NTFS.
Line 93: Line 93:
 DRF = data recovery field qu'on ajoute aussi au cyphertext. il contient aussi la clef symétrique, encryptée avec la clef asymétrique du recovery agent DRF = data recovery field qu'on ajoute aussi au cyphertext. il contient aussi la clef symétrique, encryptée avec la clef asymétrique du recovery agent
  
-Dans [[Windows]] XP, c'est pareil mais il n'y a pas de PKI. Donc, l'autorité de certification c'est soi-même (le PC local).+Dans Windows XP, c'est pareil mais il n'y a pas de PKI. Donc, l'autorité de certification c'est soi-même (le PC local).
  
 Donc, la clef est dans le système -> si doit récupérer fichier encrypté, il faut aussi le système. Donc, la clef est dans le système -> si doit récupérer fichier encrypté, il faut aussi le système.
Line 127: Line 127:
 Mais c'est la banque qui doit nous faire confiance: accès à mon compte personnel: la banque me fait confiance: c'est bien moi qui utilise le certificat. Mais c'est la banque qui doit nous faire confiance: accès à mon compte personnel: la banque me fait confiance: c'est bien moi qui utilise le certificat.
  
-On va chez Amazon: je donne mon compte Visa: c'est moi qui fait confiace à Amazon.+On va chez tartes.be : je donne mon numéro de carte Visa : c'est moi qui fait confiace à tartes.
  
 Mettre le root injoignable: pour être sûr du root (vérifier). Mettre le root injoignable: pour être sûr du root (vérifier).
Line 135: Line 135:
 ==== Comment obtenir un certificat? ==== ==== Comment obtenir un certificat? ====
  
-Monde [[Windows]].+Monde Windows.
  
 Distribution / attribution de certificats Distribution / attribution de certificats
  
-===== Online (MS uniquement) =====+=== Online (MS uniquement) ===
  
 l'autorité de certification est joignable -> ouvrir MMC et rajouter un objet certificate -> clic droit -> nouveau certificat l'autorité de certification est joignable -> ouvrir MMC et rajouter un objet certificate -> clic droit -> nouveau certificat
Line 161: Line 161:
   * c'est pas pour ça que que tu sais le mettre en oeuvre   * c'est pas pour ça que que tu sais le mettre en oeuvre
  
-===== Offline =====+=== Offline ===
 Quand on installe un certificat, il faut que ça marche avec des applications non Microsoft -> demande offline. Quand on installe un certificat, il faut que ça marche avec des applications non Microsoft -> demande offline.
 Marche aussi avec des produits MS. Marche aussi avec des produits MS.
Line 173: Line 173:
  
  
-=== Installation [[Windows]] 2000 Server ===+==== Installation Windows 2000 Server ====
 Ma machine: Ma machine:
   * member server   * member server
Line 208: Line 208:
 17/05/2005 17/05/2005
  
-Comment faire un request online et un request offline+===== Comment faire un request online et un request offline =====
  
-=== Online ===+==== Online ====
  
-==== Methode [[Windows]] ====+=== Methode Windows ===
 <code>mmc</code> <code>mmc</code>
 add / remove snap-in: certificates snap-in add / remove snap-in: certificates snap-in
Line 219: Line 219:
 On peut installe des certificats On peut installe des certificats
  
-==== Methode traditionnelle ====+=== Methode traditionnelle ===
 Avec un browser: Avec un browser:
-URL: site web par défaut de la machine ~/certsrv+URL: site web par défaut de la machine /certsrv
  
 === Exercice === === Exercice ===
Line 227: Line 227:
   * autres machines: demander un certificat pour un user (faire une requête) et l'installer   * autres machines: demander un certificat pour un user (faire une requête) et l'installer
  
-==== Root ====+== Root ==
 D'abord installer IIS: D'abord installer IIS:
-Start -> settings -> control panel -> Add / Remove Programs -> Add / Remove [[Windows]] Components -> IIS (tout)+Start -> settings -> control panel -> Add / Remove Programs -> Add / Remove Windows Components -> IIS (tout)
 Ensuite, installer les services de certificats: Ensuite, installer les services de certificats:
-Start -> settings -> control panel -> Add / Remove Programs -> Add / Remove [[Windows]] Components -> cocher certificates services (tout)+Start -> settings -> control panel -> Add / Remove Programs -> Add / Remove Windows Components -> cocher certificates services (tout)
 (on ne peut plus renommer la machine, OK) (on ne peut plus renommer la machine, OK)
-Wizard: enterprise root CA + cocher advanced options -> CSP: MS Base Cryptographic Provider; hash: SHA-1; key length: 1024 -> remplir l'information d'identification -> sauver ~C:WINNT\system32\CertLog -> OK+Wizard: enterprise root CA + cocher advanced options -> CSP: MS Base Cryptographic Provider; hash: SHA-1; key length: 1024 -> remplir l'information d'identification -> sauver C:WINNT\system32\CertLog -> OK
  
 Start -> Programs -> Administrative Tools -> Certification Authority: pour voir ceux émis Start -> Programs -> Administrative Tools -> Certification Authority: pour voir ceux émis
Line 241: Line 241:
  
  
-==== Autres machines ====+== Autres machines ==
  
 <code>mmc</code> <code>mmc</code>
 Add / Remove Snap-in -> Certificates -> manage certificates for my user account Add / Remove Snap-in -> Certificates -> manage certificates for my user account
 Certificates  -> Current user -> Personal -> Certificates -> click droit -> all tasks -> request new certificate Certificates  -> Current user -> Personal -> Certificates -> click droit -> all tasks -> request new certificate
-Erreur: [[Windows]] cannot find a a certification authority that will process the request.+Erreur: Windows cannot find a a certification authority that will process the request.
  
 Problème: le root CA du domaine n'est pas dans le certificate store: Problème: le root CA du domaine n'est pas dans le certificate store:
Line 259: Line 259:
 Si pas possible d'avoir le Root CA distribué comme ça, exporter le certificat root, distribuer le root CA par GPO. Si pas possible d'avoir le Root CA distribué comme ça, exporter le certificat root, distribuer le root CA par GPO.
  
-Surfer sur ~http://dc11.domain1.be/certsrv/+Surfer sur http://dc11.domain1.be/certsrv/
 S'identifier comme administrateur -> Request a certificate -> User certificate request -> key strength: 1024 -> rentrer un mot de passe (toto123*) -> cliquer sur "install this certificate" S'identifier comme administrateur -> Request a certificate -> User certificate request -> key strength: 1024 -> rentrer un mot de passe (toto123*) -> cliquer sur "install this certificate"
 Ceci est une requête online. Ceci est une requête online.
Line 268: Line 268:
   * high assurance: il faut centraliser le codage des smart cards (machine dédiée) -> problème: on doit coder la smart card pour qqn d'autre -> donner le pouvoir -> enrollment agent (il faut donc un enrollment agent certificate)   * high assurance: il faut centraliser le codage des smart cards (machine dédiée) -> problème: on doit coder la smart card pour qqn d'autre -> donner le pouvoir -> enrollment agent (il faut donc un enrollment agent certificate)
     * attention: choix du module crypto: celui du lecteur de cartes (installé avec drivers)     * attention: choix du module crypto: celui du lecteur de cartes (installé avec drivers)
-    * activer l'indentification par smart card: AD [[Users]] & Computers -> user -> click droit -> tab account -> account options -> cocher: smart card is required for interactive logon+    * activer l'indentification par smart card: AD Users & Computers -> user -> click droit -> tab account -> account options -> cocher: smart card is required for interactive logon
  
 Pour l'administrateur, on ne peut pas utiliser de smart card. Pour l'administrateur, on ne peut pas utiliser de smart card.
Line 279: Line 279:
 < 75 machines: outsourcing < 75 machines: outsourcing
 75-200: un admin 75-200: un admin
-~> 200: 2 admins+> 200: 2 admins
  
 100 machines XP, 4 DC. 100 machines XP, 4 DC.
Line 292: Line 292:
   * désactiver le cache logon   * désactiver le cache logon
  
-=== Encryption mail === +===== Encryption mail ===== 
-exchange + SP3 à installer sur ma machine (dual boot, pas l'install [[VPN]])+exchange + SP3 à installer sur ma machine (dual boot, pas l'install VPN)
 avec: avec:
 user1@domain1.be: password (mailbox: mailbox1) user1@domain1.be: password (mailbox: mailbox1)
Line 299: Line 299:
  
  
-== Network Communication Security ==+==== Network Communication Security ====
  
-~S/MIME: applicatif+S/MIME: applicatif
 SSL (pas un standard) / TLS (un standard, pas les mêmes algorithmes d'encryption): SSL (pas un standard) / TLS (un standard, pas les mêmes algorithmes d'encryption):
  
-=== IIS ===+==== IIS ====
  
 Propriétés du Default Website Propriétés du Default Website
Line 330: Line 330:
 Conclusion: on se retrouve dans un canal sécurisé avec les 2 bouts qui se sont authentifiés = bon niveau de sécurité Conclusion: on se retrouve dans un canal sécurisé avec les 2 bouts qui se sont authentifiés = bon niveau de sécurité
  
-=== Exchange 2000 ===+==== Exchange 2000 ====
 Sur l'install SecuriteWindows, installer exchange 2000, créer 2 utilisateurs dans l'AD: user1 et user2 et leur faire une boîte email. Sur l'install SecuriteWindows, installer exchange 2000, créer 2 utilisateurs dans l'AD: user1 et user2 et leur faire une boîte email.
 Sur une autre machine d'un autre domaine, on génère les certificats user pour user1 et user2 pour permettre l'encryption et la signature. Sur une autre machine d'un autre domaine, on génère les certificats user pour user1 et user2 pour permettre l'encryption et la signature.
Line 342: Line 342:
 -> les certificats n'ont rien à voir avec le serveur -> les certificats n'ont rien à voir avec le serveur
  
-Le gros avantage [[Windows]], c'est que c'est super facile de retrouver l'utilisateur et son certificat (clef publique) parce qu'il sont publiés dans l'AD.+Le gros avantage Windows, c'est que c'est super facile de retrouver l'utilisateur et son certificat (clef publique) parce qu'il sont publiés dans l'AD.
  
  
Line 371: Line 371:
  
 Exercice 2: Exercice 2:
-Installer IIS: Start -> [[Settings]] -> Control Panel -> Add / Remove Programs -> Add / Remove [[Windows]] Components -> sélectionner IIS -> Details -> sélectionner WWW Server (le dernier)+Installer IIS: Start -> Settings -> Control Panel -> Add / Remove Programs -> Add / Remove Windows Components -> sélectionner IIS -> Details -> sélectionner WWW Server (le dernier)
 Configurer IIS: Start -> Programs -> Administrative Tools -> Internet Information Services Configurer IIS: Start -> Programs -> Administrative Tools -> Internet Information Services
 ms11 -> Default Website -> click droit -> propriétés ms11 -> Default Website -> click droit -> propriétés
Line 378: Line 378:
 sauver la requête: E:\certreq.txt sauver la requête: E:\certreq.txt
 Regénérer un certificat comme au début de l'exercice 1. Regénérer un certificat comme au début de l'exercice 1.
-Aller sur ~https://dc11.domain1.be/certsrv/ (il faut s'être authentifié comme administrator pour pouvoir faire une demande de certificat de type webserver, donc il faut que sur ce site de ce serveur anonymous soit désactivé)+Aller sur https://dc11.domain1.be/certsrv/ (il faut s'être authentifié comme administrator pour pouvoir faire une demande de certificat de type webserver, donc il faut que sur ce site de ce serveur anonymous soit désactivé)
 Request a certificate -> advanced -> Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file -> copier le contenu de E:\certreq.txt et le coller dans la text area //Saved Request// -> submit -> Download CA Certificate -> **ne pas double-cliquer sur certnew.cer qu'on vient de sauver** Request a certificate -> advanced -> Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file -> copier le contenu de E:\certreq.txt et le coller dans la text area //Saved Request// -> submit -> Download CA Certificate -> **ne pas double-cliquer sur certnew.cer qu'on vient de sauver**
 Retourner dans les propriétés du Default Website dans IIS: onglet Directory Security -> bouton Server Certificate -> Process pending request and install the certificate -> retrouver certnew.cer (sur le bureau) et l'installer Retourner dans les propriétés du Default Website dans IIS: onglet Directory Security -> bouton Server Certificate -> Process pending request and install the certificate -> retrouver certnew.cer (sur le bureau) et l'installer
  
 onglet Directory Security -> Secure Communication -> Edit -> Require Secure Channel (SSL) onglet Directory Security -> Secure Communication -> Edit -> Require Secure Channel (SSL)
-Ensuite, il faut créer une page default.htm dans ~E:\Inetpub\wwwroot+Ensuite, il faut créer une page default.htm dans E:\Inetpub\wwwroot
  
 Exercice 3: Exercice 3:
Line 399: Line 399:
  
  
-== [[VPN]] ==+==== VPN ====
  
-[[VPN]] = encrypté **FAUX**+[[:VPN]] = encrypté **FAUX**
  
 Faire un réseau privé à travers un tunnel qui passe par un réseau public. Faire un réseau privé à travers un tunnel qui passe par un réseau public.
Line 409: Line 409:
   3. non repudiation: l'utilisateur / l'ordinateur qui essaie de rentrer dans le réseau privé: il doit s'authentifier (on doit être sûr que c'est bien lui)   3. non repudiation: l'utilisateur / l'ordinateur qui essaie de rentrer dans le réseau privé: il doit s'authentifier (on doit être sûr que c'est bien lui)
  
-=== Historique ===+==== Historique ====
 Dans le temps, les besoins étaient simples: une société veut connecter ses différents sites puisque c'est une seule entité. Dans le temps, les besoins étaient simples: une société veut connecter ses différents sites puisque c'est une seule entité.
 Problèmes: Internet: 1980. Les besoins des sociétés sont antérieures. Jusqu'au début des années 90, pas le choix: ligne louée chez gros providers. Ligne louée: liaison point à point entre 2 sites. Très coûteux. Problèmes: Internet: 1980. Les besoins des sociétés sont antérieures. Jusqu'au début des années 90, pas le choix: ligne louée chez gros providers. Ligne louée: liaison point à point entre 2 sites. Très coûteux.
 Internet = les gros providers (colt, AT & T, Belgacom...) Internet = les gros providers (colt, AT & T, Belgacom...)
 Les gros ISP ont construits des backbones; autant les utiliser pour remplacer les lignes louées. Les gros ISP ont construits des backbones; autant les utiliser pour remplacer les lignes louées.
-[[VPN]] des providers = MPLS (frame relay)+VPN des providers = MPLS (frame relay)
 Plus du point à point, mais une BP garantie, personne ne peut la lire (pas encrypté, passe par le réseau privé des providers) et qu'elle arrivera à bon port,  etc. Jusqu'au début des années 2000, c'était comme ça. Plus du point à point, mais une BP garantie, personne ne peut la lire (pas encrypté, passe par le réseau privé des providers) et qu'elle arrivera à bon port,  etc. Jusqu'au début des années 2000, c'était comme ça.
-Scindé: connectivité et l'aspect [[VPN]]. Toujours très coûteux.+Scindé: connectivité et l'aspect VPN. Toujours très coûteux.
 free internet en dialup: 1998 free internet en dialup: 1998
 1998-99, début du l'idée du télé-travail. Soit ISDN, soit MPLS avec un accès rapide qui se connecte dessus (ex: chez Belgacom: Bilan). 1998-99, début du l'idée du télé-travail. Soit ISDN, soit MPLS avec un accès rapide qui se connecte dessus (ex: chez Belgacom: Bilan).
 2000-2002: les providers avaient le monopole des VPNs. 2000-2002: les providers avaient le monopole des VPNs.
-Ensuite, arrivé du broadband et du [[VPN]] IP: créer un tunnel encrypté sur IP (IP SEC) et donc les providers sous-jacents importent peu.+Ensuite, arrivé du broadband et du VPN IP: créer un tunnel encrypté sur IP (IP SEC) et donc les providers sous-jacents importent peu.
 Ca a fait mal aux ISPs: "chez nous, ça marche. Qui garantit qu'en passant n'importe où c'est secure?" Ca a fait mal aux ISPs: "chez nous, ça marche. Qui garantit qu'en passant n'importe où c'est secure?"
-En 2002-2003, les ISPs sont passés au [[VPN]] IP, ils ont bien dû faire le saut.+En 2002-2003, les ISPs sont passés au VPN IP, ils ont bien dû faire le saut.
 Le seul dénominateur commun: internet. On crée des tunnels encryptés entre les sites. Le seul dénominateur commun: internet. On crée des tunnels encryptés entre les sites.
 Avantage: Avantage:
Line 428: Line 428:
 Inconvénients: Inconvénients:
   * si besoin de qualité de service, bof   * si besoin de qualité de service, bof
-    * quand on garanti 2 ~Mb/s, c'est juste sur le backbone du provider; une fois dehors, plus de garantie -> si on utilise plusieurs providers, pas de garantie de BP+    * quand on garanti 2 Mb/s, c'est juste sur le backbone du provider; une fois dehors, plus de garantie -> si on utilise plusieurs providers, pas de garantie de BP
     * solution: prendre le même ISP: je veux accès backbone entre les différents sites -> pareil qu'avant, mais beaucoup moins cher     * solution: prendre le même ISP: je veux accès backbone entre les différents sites -> pareil qu'avant, mais beaucoup moins cher
  
Line 435: Line 435:
  
 Les lignes louées sont appelées disparaître. Les lignes louées sont appelées disparaître.
-SDSL:  2 ~Mb/s max+SDSL:  2 Mb/s max
  
-Qu'est-ce qu'un VLAN?+==== Qu'est-ce qu'un VLAN? ====
 802.1.Q: tagging 802.1.Q: tagging
 Quand on a une trame, elle est taggée "VLAN1". Elle est routée sur un switch. Quand on a une trame, elle est taggée "VLAN1". Elle est routée sur un switch.
Line 444: Line 444:
 Chez Microsoft: IPSEC policies Chez Microsoft: IPSEC policies
  
-Bien comprendre que [[VPN]] et VLAN, c'est différent.+Bien comprendre que VPN et VLAN, c'est différent.
 VLAN = interne: dans un LAN (dans un réseau privé) VLAN = interne: dans un LAN (dans un réseau privé)
-[[VPN]] = externe: dans un réseau public (ex: internet), tout le trafic passe par un tunnel (tout les applicatifs)+VPN = externe: dans un réseau public (ex: internet), tout le trafic passe par un tunnel (tout les applicatifs)
  
  
-=== IPSEC ===+==== IPSEC ====
 slide 33 slide 33
   * AH: authentication header: rajoute un header avec signature du paquet   * AH: authentication header: rajoute un header avec signature du paquet
Line 470: Line 470:
 ==== MS IPSEC Policies ==== ==== MS IPSEC Policies ====
 Chez MS, il y a des policies (machines) pré-existantes. Nous allons les voir. Chez MS, il y a des policies (machines) pré-existantes. Nous allons les voir.
-===== Machine par machine=====+=== Machine par machine ===
 TCP / IP -> Advanced -> Options -> IP Security TCP / IP -> Advanced -> Options -> IP Security
   * type d'IPSEC   * type d'IPSEC
Line 483: Line 483:
   * secure server: demande toujours du sécurisé   * secure server: demande toujours du sécurisé
  
-===== Globalement: GPO =====+=== Globalement: GPO ===
 On peut créer des GPOs soi-même. On peut créer des GPOs soi-même.
  
Line 490: Line 490:
 Problème: on crée une règle IPSEC, on déploie, et puis ça foire: il y a des machines qui ne communiquent plus -> il faut aller manuellement sur toutes les machines désactiver ou corriger. Donc, tester avant (de préférence en labo, même si on n'en n'a pas souvent à disposition). Problème: on crée une règle IPSEC, on déploie, et puis ça foire: il y a des machines qui ne communiquent plus -> il faut aller manuellement sur toutes les machines désactiver ou corriger. Donc, tester avant (de préférence en labo, même si on n'en n'a pas souvent à disposition).
  
-==== Exercice ====+=== Exercice ===
 Member server (moi): client IPSEC Member server (moi): client IPSEC
 DC (Dimitri): server request DC (Dimitri): server request
Line 501: Line 501:
 <code>ipsecmon</code> <code>ipsecmon</code>
  
-My Network Places -> click droit -> properties -> Local Area connexion -> click droit -> properties -> ~TCP/IP -> Properties -> Advanced... -> tab Options -> IP Security -> Properties -> use this IP security policy -> client+My Network Places -> click droit -> properties -> Local Area connexion -> click droit -> properties -> TCP/IP -> Properties -> Advanced... -> tab Options -> IP Security -> Properties -> use this IP security policy -> client
  
 Dimitri fait pareil mais au lieu de client, il met Server (request). Dimitri fait pareil mais au lieu de client, il met Server (request).
Line 541: Line 541:
 Share: Share:
 <code>iexplore</code> <code>iexplore</code>
-path: ~\\DC11+path: \\DC11
 J'ai toujours accès aux shares. J'ai toujours accès aux shares.
  
Line 555: Line 555:
 S'assurer qu'un serveur peut accéder aux ressources dont il a besoin -> planifier S'assurer qu'un serveur peut accéder aux ressources dont il a besoin -> planifier
  
-La partie [[VPN]] de [[Windows]] se configure dans le RAS (Remote Access Security).+La partie VPN de Windows se configure dans le RAS (Remote Access Security).
  
-=== Routing and Remote Access Security ===+===== Routing and Remote Access Security =====
 En 2003, pareil qu'en 2000 (sauf pour NAT-T est natif en 2003). En 2003, pareil qu'en 2000 (sauf pour NAT-T est natif en 2003).
 Routing en NT4: IP forwarding. Routing en NT4: IP forwarding.
 Avec NT4: RAS (Remote Access Security) = dialup Avec NT4: RAS (Remote Access Security) = dialup
 dialup et routing: c'est pareil -> RAS = Routing and Remote Access Security dialup et routing: c'est pareil -> RAS = Routing and Remote Access Security
-Dialup: accès distant à travers un lieu permanent = [[VPN]] (on ajoute)+Dialup: accès distant à travers un lieu permanent = VPN (on ajoute)
 Routing: inclus le NAT Routing: inclus le NAT
 En NT4: dialing oui ou non, ensuite callback ou pas? En NT4: dialing oui ou non, ensuite callback ou pas?
  
-Remote Access Permission (Dial-in or [[VPN]]): 3 options:+Remote Access Permission (Dial-in or VPN): 3 options:
   * allow access   * allow access
   * deny access   * deny access
Line 573: Line 573:
     * permissions     * permissions
     * profil     * profil
-  ~-> gestion fine du RAS+  -> gestion fine du RAS
  
-=== Comment mettre en place le routage? ===+==== Comment mettre en place le routage? ====
  
 Conseil d'ami: utiliser le wizard, puis corriger à la main. Conseil d'ami: utiliser le wizard, puis corriger à la main.
  
-==== Installer le driver de la carte ethernet ====+=== Installer le driver de la carte ethernet ===
   * chercher sur CD-ROM, cocher en bas à gauche   * chercher sur CD-ROM, cocher en bas à gauche
-  * sélectionner le driver pour [[Windows]] XP+  * sélectionner le driver pour Windows XP
  
 RAS installé, il faut juste le configurer. RAS installé, il faut juste le configurer.
  
-==== Configurer RAS pour le routage ====+=== Configurer RAS pour le routage ===
 Start -> Program -> Administrative Tools -> Routing and Remote Access Start -> Program -> Administrative Tools -> Routing and Remote Access
 Server -> Click droit -> Configure and Enable Routing and Remote Access -> Wizard -> choisir le profil désiré (ici routeur) Server -> Click droit -> Configure and Enable Routing and Remote Access -> Wizard -> choisir le profil désiré (ici routeur)
Line 600: Line 600:
 <code>route</code> <code>route</code>
  
-==== Exercice ==== +=== Exercice === 
-[[R]]éaliser la topologie suivante:+Réaliser la topologie suivante:
  
 http://callendor.zongo.be/wiki/images/ex_routage.png http://callendor.zongo.be/wiki/images/ex_routage.png
  
-==== Routage ====+== Routage ==
 Sur DC11 (+activer le routage): Sur DC11 (+activer le routage):
 <code>route add 10.10.3.0 mask 255.255.255.0 10.10.2.2 <code>route add 10.10.3.0 mask 255.255.255.0 10.10.2.2
Line 645: Line 645:
 route add 10.10.5.0 mask 255.255.255.0 10.10.3.1</code> route add 10.10.5.0 mask 255.255.255.0 10.10.3.1</code>
  
-==== Internet ====+== Internet ==
 Connecter le switch à la prise murale Connecter le switch à la prise murale
 Sur MS12: Sur MS12:
Line 695: Line 695:
 Sur MS 12, arrêter le routage et redémarrer le RAS, mais choisir NAT (network address translation) plutôt que routage réseau. Sur MS 12, arrêter le routage et redémarrer le RAS, mais choisir NAT (network address translation) plutôt que routage réseau.
  
-==== Remarques ====+===== Remarques =====
 metric: poids: plus metric est grand, plus la priorité est faible metric: poids: plus metric est grand, plus la priorité est faible
  
Line 704: Line 704:
   * quand on a une erreur: s'arrêter et réfléchir: appliquer la logique   * quand on a une erreur: s'arrêter et réfléchir: appliquer la logique
  
-=== [[VPN]] ===+===== VPN =====
 Topologies: Topologies:
   * gateway to gateway: 2 réseaux avec chacun une situation géographique. Faire un tunnel avec adressage public, et à l'intérieur, on a les données avec les adresses privées.   * gateway to gateway: 2 réseaux avec chacun une situation géographique. Faire un tunnel avec adressage public, et à l'intérieur, on a les données avec les adresses privées.
Line 719: Line 719:
     * authentification (faible): login + password     * authentification (faible): login + password
       * ajouter des policies (numéros d'appel, etc.)       * ajouter des policies (numéros d'appel, etc.)
-  * ~L2TP/IPSec + ajouter NAT-T en 2000+  * L2TP/IPSec + ajouter NAT-T en 2000
     * configuration que PPTP sauf qu'il y a les certificats en plus     * configuration que PPTP sauf qu'il y a les certificats en plus
     * origine: PPTP (MS) et L2TF (Cisco)     * origine: PPTP (MS) et L2TF (Cisco)
Line 739: Line 739:
 Interopérabilité possible, mais c'est mieux en général de bosser tout de la même marque (sinon risque de problème matching paramètres client / serveur). Interopérabilité possible, mais c'est mieux en général de bosser tout de la même marque (sinon risque de problème matching paramètres client / serveur).
 Si on choisit Microsoft, il vaut mieux un firewall Microsoft: ISA. Pas recommandé en général car: PPTP trop basse sécurité et sinon il faut IPSEC avec donc PKI. Si on choisit Microsoft, il vaut mieux un firewall Microsoft: ISA. Pas recommandé en général car: PPTP trop basse sécurité et sinon il faut IPSEC avec donc PKI.
-Avec Netscreen, il y a un soft client (pour tous les paramètres), mais il ne tourne que sous [[Windows]].+Avec Netscreen, il y a un soft client (pour tous les paramètres), mais il ne tourne que sous Windows.
 Si on veut un autre OS, il faut trouver un soft pour paramètrer (MCG l'a fait pour un portable MAC). Si on veut un autre OS, il faut trouver un soft pour paramètrer (MCG l'a fait pour un portable MAC).
  
Line 745: Line 745:
  
 Start -> Programs -> Administrative Tools -> Routing and Remote Access Start -> Programs -> Administrative Tools -> Routing and Remote Access
-Configure and enable RRAS -> [[VPN]] serveur -> connexion internet (4) -> IP internes (privées): soit DHCP, soit range, soit range et serveur distribue (dans ce cas, le serveur prend une IP du range pour lui par tunnel, donc prévoir une en plus) -> radius? non si AD ([[LDAP]] utilisé pour s'authentifier)+Configure and enable RRAS -> VPN serveur -> connexion internet (4) -> IP internes (privées): soit DHCP, soit range, soit range et serveur distribue (dans ce cas, le serveur prend une IP du range pour lui par tunnel, donc prévoir une en plus) -> radius? non si AD (LDAP utilisé pour s'authentifier)
  
 En client to gateway, pour chaque client, il faut 2 IPs privées. En client to gateway, pour chaque client, il faut 2 IPs privées.
Line 751: Line 751:
 ON peut configurer ON peut configurer
   * procédure d'authentification   * procédure d'authentification
-  *  
  
 On peut créer des policies avec un profil (si on est en mode natif). On peut créer des policies avec un profil (si on est en mode natif).
-N.B: dans l'AD [[Users]] & Computers, il faut que l'utilisateur puisse faire du dial-in.+N.B: dans l'AD Users & Computers, il faut que l'utilisateur puisse faire du dial-in.
  
 Client: Client:
-Créer une nouvelle connexion, choisir connexion [[VPN]], on peut choisir le type d'authentification, le type de [[VPN]] (pas laisser en automatic, choisir PPTP ou ~L2TP/IPSEC)+Créer une nouvelle connexion, choisir connexion VPN, on peut choisir le type d'authentification, le type de VPN (pas laisser en automatic, choisir PPTP ou L2TP/IPSEC)
  
   * creation tunnel   * creation tunnel
Line 782: Line 781:
 Ensuite, désactiver le routage sur les DCs et le NAT sur MS12. Ensuite, désactiver le routage sur les DCs et le NAT sur MS12.
  
-Le client peut établir sa connexion [[VPN]].+Le client peut établir sa connexion VPN.
  
 My Network Places -> Properties -> make new connection My Network Places -> Properties -> make new connection
Line 789: Line 788:
 dial-in. dial-in.
  
-AD [[Users]] & Computers -> [[Users]] -> sélectionner l'utilisateur -> click droit -> propriétés -> onglet dial-in -> allow (puisqu'on est dans un +AD Users & Computers -> Users -> sélectionner l'utilisateur -> click droit -> propriétés -> onglet dial-in -> allow (puisqu'on est dans un 
  
 domaine mixte, on ne peut pas faire autre chose que allow ou deny) domaine mixte, on ne peut pas faire autre chose que allow ou deny)
Line 796: Line 795:
 En enlevant le DNS secondaire (194.7.1.4), ça marche. En enlevant le DNS secondaire (194.7.1.4), ça marche.
  
-Dans les propriétés de la connexion [[VPN]] -> onglet Type of [[VPN]] server I am calling: PPTP+Dans les propriétés de la connexion VPN -> onglet Type of VPN server I am calling: PPTP
  
 Si on lance ipsecmon, on voit qu'il n'y a pas de paquets IPSEC qui passent: Si on lance ipsecmon, on voit qu'il n'y a pas de paquets IPSEC qui passent:
formationsecurite/vpnwindows.txt · Last modified: 2021/10/26 16:29 by carl