Routage et accès distant – Windows 2003 Server

Net-Pro Par : GHAOUTI Mohamed

03/02/2009 1/31 [email protected]

Introduction

1. Présentation des routeurs

2. Principe du routage

3. Configuration du routage sous Windows 2003 Server

4. Routage statique

5. Routage Dynamique

6. Routage à la demande

7. Routage de multidiffusion

8. Filtrage de paquets

9. Accès distant

10. Serveur d'authentification Radius

Conclusion

Introduction

Lors de l’implémentation d’une infrastructure réseau Microsoft Windows 2003 Server, de

nombreux éléments et services demeurent indispensables à l’activité réseau.

Au sein d’une infrastructure réseau, il existe une diversité d’équipements qui demeurent capables

de procéder à l’interconnexion des réseaux locaux et globaux.

Cette opération s’effectue au niveau des différentes couches du modèle OSI (Open Systems

Interconnection).

Grâce à l’implémentation de plusieurs protocoles de routage et d’autres fonctionnalités de

routage, Windows 2003 Server peut donner à un serveur, la capacité de jouer, de manière

performante, le rôle de routeur.

Nous allons donc, à travers cet article, présenter les différentes fonctionnalités de routage ainsi

que les entités du service routage et accès distant intégrées à l’environnement Windows 2003

Server.

1. Présentation des routeurs :

Les routeurs sont des dispositifs réseau de couche 3 (il s'agit de la couche réseau qui redirige

les données à travers un réseau à commutation, et dont l'unité de données est en général, le

paquet) du modèle OSI.

On fait appel à un routeur en vue de réaliser la liaison des réseaux locaux de technologies

différentes notamment. Ce dernier est capable d'acheminer des paquets d'informations au

travers d'un vaste ensemble de réseaux interconnectés.

Cela concerne particulièrement l'interconnexion des réseaux LAN (Local Area Network) et WAN

(Wide Area Network). De plus, un routeur est capable de réaliser la segmentation d'un réseau, et

ainsi, se donner la capacité de passer d'un segment de réseau à un autre, préservant ainsi la

bande passante.



Il existe au sein des routeurs, différentes catégories :

On distingue les routeurs matériels, dont la seule tâche consiste au routage des paquets

d'informations dans le monde TCP/IP au sein d'un réseau,

Mais aussi et c'est ce qui nous intéresse le plus ici, les routeurs logiciels, dont le rôle est

d'acheminer les données vers une destination voulue. Cependant, à la différence du routeur

matériel, le routeur logiciel est implémenté au sein d'un serveur (Windows 2003 Server en ce

qui nous concerne), qui lui, peut détenir d'autres fonctionnalités, comme la gestion du

spooling par exemple.

2. Principe du routage :

A. Le routage :

Au sein d'une infrastructure réseau, l'activité du routeur se limite à la couche 3, c'est-à-dire, la

couche réseau. Ainsi, il est donc capable, lorsqu'il reçoit une trame, de la décapsuler jusqu'au

niveau 3.

De ce fait, le routeur est alors capable d'extraire de la trame, l'adresse IP de destination. Dès

lors, le paquet peut être acheminé jusqu'à une interface capable d'atteindre cette destination.

Afin de réaliser cette opération, le routeur doit au préalable consulter sa table de routage.

Cette dernière constitue un espace où sont stockées les différentes routes dont le routeur a

connaissance, c'est-à-dire, les différents réseaux qu'il est capable de joindre. Son rôle est de

déterminer le chemin le plus court pour acheminer les paquets, de la source à la destination.

Il peut arriver qu'un paquet ne soit pas acheminé à sa destination et dès lors, qu'il soit détruit

par le routeur. L'explication à ce problème est tout à fait abordable : au sein de la table de

routage, chaque réseau de destination est associé à une interface qui achemine les paquets.

Cependant, lorsque aucune information concernant le réseau de destination de figure dans la

table de routage, le routeur se retrouve inefficace pour déterminer le chemin à emprunter. De

ce fait, il se retrouve contraint à envoyer un message d'erreur à la source et de mettre fin au

paquet.

B. La table de routage :

Pour afficher la table de routage d'une station ou d'un routeur lorsqu'on utilise la plate-forme

Windows 2003 Server, il suffit de lancer l'invite de commande (Démarrer->Exécuter->cmd) et

ensuite de taper route print.

Il s'affiche alors une fenêtre semblable à celle-ci :



La table de routage regroupe trois types d'entrées :

Itinéraire réseau : Il s'agit d'un chemin indiquant l'interface réseau, c'est-à-dire, le

dispositif permettant l'acheminement des paquets, afin de joindre un autre réseau.

Itinéraire hôte : C'est un chemin personnalisé (dispositif administrable à distance, comme un

serveur par exemple) permettant de contrôler et optimiser le trafic réseau.

Itinéraire par défaut : Il s'agit du chemin définit pour l'acheminement par défaut des

paquets d'informations, notamment lorsque ces derniers n'arrivent pas à emprunter un

chemin donné.

On observe qu'au sein de la table de routage, plusieurs informations apparaissent, notamment

cinq colonnes qui affichent les informations sur les entrées par défaut de la table :

Destination réseau : Affiche l'adresse IP des réseaux de destination.

Masque réseau : Indique le masque de sous réseau utilisé sur le réseau de destination et

associé à ce dernier.

Adresse passerelle : Représente l'adresse de l'élément arbitraire le plus proche, c'est-à-

dire, l'adresse de routeur qui sera traversée par le paquet avant d'atteindre sa destination.

Il s'agit là d'une adresse qui doit nécessairement être accessible par le routeur.

Métrique : Représente en quelque sorte, une échelle de mesure. En effet, il s'agira de

l'élément qui permettra au routeur de « décider » de choisir une route plutôt qu'une autre.

Plus cet indice est faible, plus la route semblera fiable pour le routeur.

Il semble nécessaire de préciser que l'espace de stockage de la table de routage est une

mémoire de type RAM (Random Access Memory), c'est-à-dire, une mémoire qui est vidée à

chaque redémarrage du système.

3. Configuration du routage sous Windows 2003 Server :



A. Descriptions des fonctionnalités du routage :

Comme énoncé au préalable, Windows 2003 Server intègre, au sein de son infrastructure, de

nombreuses fonctionnalités de routage, capables de donner à un serveur (en l'occurrence,

Windows 2003) le rôle de routeur.

On distingue parmi ces fonctionnalités :

Configuration des filtres de paquets,

Translation d'adresse,

Implémentation de protocoles de routage comme : - le RIP 1 et 2(Routing Information

Protocol) qui est un protocole de routage à vecteur de distance, c'est-à-dire qu'il permet le

transfert de la table de routage d'un routeur à son voisin.

l'OSPF (Open Shortest Path First) qui est un protocole de routage à état de lien.

Contrairement au RIP, l'OSPF permet une allégeance de la bande passante, en envoyant les

informations uniquement lorsque cela est nécessaire, à la différence du RIP, qui l'effectue

de manière périodique.

L'élément indispensable implémenté à Windows 2003 Server et nécessaire au routage, est la

console du service Routage et Accès distant. Cette console est utilisée notamment pour

paramétrer le routeur.

B. Configuration du routage :

Afin de configurer le routage sur votre serveur Windows 2003 Server, faites :

Démarrer,

Outils d'administration,

Puis, cliquez sur Routage et accès distant.

Une console semblable à celle-ci dessous, s'affiche alors. Faites alors un clique droit sur votre

serveur, situé en dessous de Etat du serveur dans Routage et accès distant .

Ensuite, choisissez la commande Configurer et activer le routage et l'accès distant.



La fenêtre suivante s'affiche alors. Cliquez sur suivant afin de continuer l'opération de

configuration du serveur.



Voilà ensuite la fenêtre qui vous est présentée.

Il vous est alors proposé plusieurs types de connexion pour personnaliser votre serveur.

En ce qui concerne notre partie de configuration du serveur en routeur, il vous faut sélectionner

l'option Configuration personnalisée qui permettra d'attribuer au serveur Windows 2003,

différents rôles.

Ensuite, nous voilà avec l'affichage ci-dessous.

Il vous suffit de cliquer sur Routage réseau , puis ensuite de cliquer sur Suivant , puis Terminer

, afin de finir la définition du routage.



4. Routage statique :

Il existe différents types de routage administrables sous Windows 2003 Server. On distingue

notamment le routage statique dont nous allons parler, ainsi que le routage dynamique, le routage

à la demande, le routage de multidiffusion que seront abordés un peu plus loin.

Le routage statique est configuré manuellement par l'administrateur sous Windows 2003 Server.

Il permet d'entrer manuellement un route dans la table de routage, configurant ainsi de manière

personnelle, le chemin souhaité. Cependant, un problème demeure : si un problème survient au

niveau du réseau et que le route devient inaccessible, l'administrateur se retrouve contraint de

reconfiguré manuellement une nouvelle route.

Ce type de routage prend réellement son importance dans un système d'interconnexion de deux

réseaux. Au-delà, cela devient plus difficile à gérer en cas de problème.

Il existe deux manières de configurer un routage statique :

Au travers de la table de routage en utilisant la commande route add :



Route add –p [réseau_de_destination], MASK [masque_du_réseau_de_destination passerelle],

METRIC [métrique_associée_à_la_route], IF [interface_utilisée]

Les éléments essentiels de cette commande sont les deux premières lignes. Le commutateur –p

permet de rendre une route persistante, c'est-à-dire qu'elle sera stockée dans le registre afin

de subsister. Cela est important puis la table de routage étant stockée en RAM (Random Acces

Memory) est perdue à chaque redémarrage du système, puisque la RAM est vidée lors du

redémarrage.

L'option METRIC permettra au routeur de choisir la meilleure route, si plusieurs chemins sont

possibles pour l'envoi d'un paquet d'information. En effet, au plus l'indice de la métrique est

faible, au plus la route associée à cette dernière a de chances d'être choisie.

Quant à l'option IF : cette dernière permet de choisir une interface locale au routeur. Dans le

cas contraire, la meilleure interface pour une passerelle serait recherchée afin de transférer le

paquet.

En utilisant la console du service Routage et accès distant :

Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils

d'administration.

Déroulez ensuite le menu Routage IP sous votre serveur, et faites un clic droit Itinéraires

statiques et sélectionnez Nouvel itinéraire statique.

5. Routage dynamique :



Lors de l'interconnexion de plusieurs routeurs, il est nécessaire de prévoir un changement de

topologie du réseau. Ainsi, le routage statique est quasiment inefficace puisqu'il serait fastidieux

de procéder à la reconfiguration des nombreuses routes établies au sein d'un tel réseau,

notamment dans lorsque ce réseau est constitué de nombreux sous réseaux émaillés. De ce fait,

un nouveau type de routage : le routage dynamique, est mis en place. Ce dernier permet

d'attribuer dynamiquement, en ce basant sur un algorithme, la meilleure route, modifiable de

manière dynamique par le routeur, en vue d'atteindre une destination.

Afin de permettre à différents routeurs d'échanger des informations, il existe des protocoles

de routage.

On distingue sous Windows 2003 Server, deux types de protocoles de routage dynamique :

Les protocoles de routage à vecteur de distance,

Les protocoles de routage à état de lien.

A. Protocole de routage à vecteur de distance :

Basés sur des algorithmes dis de Bellman-Ford, les protocoles de routage à vecteur de distance

permettent aux routeurs de transmettre, et ce de manière périodique, le contenu de leur table

de routage à leurs voisins.

Ce type de routage pose cependant des problèmes. En effet, le caractère périodique du

transfert des tables de routage d'un routeur à un autre, entraîne un ralentissement dans la mise

à jour et la vérification des tables de routage, c'est-à-dire qu'il existe un allongement des temps

de convergence sur un réseau utilisant ce type de protocole. Cela peut notamment entraîner la

perte de paquets d'IP en cas de mise à jour tardive de la table de routage.

Il ne s'agit pas là du seul inconvénient du routage à vecteur de distance. On distingue aussi le

problème des boucles de routage.

Sous Windows 2003 Server, on distingue diverses versions de protocoles de routage à vecteur

de distance. On distingue notamment le RIP (Routing Information Protocol).

a. RIP (Routing Information Protocol) :

Windows 2003 Server implémente deux version de RIP pour IP : RIPv1 et RIPv2.

Il faut préalablement souligné qu'un réseau Windows 2003 Server ne doit pas avoir un diamètre

physique de plus de 14 routeurs. En effet, il est définit un nombre de sauts (hot count qui est la

métrique utilisée par RIP) maximum de 15 afin de résoudre les problèmes de bouclage.

Ainsi, on ne pourra pas utiliser le protocole RIP s'il est possible qu'au sein du réseau, un paquet

d'IP doit être amener à travers plus de 16 routeurs. Notons notamment que Windows 2003

considère qu'à un tronçon fixe de 2 sauts, se trouvent tous les itinéraires de la table de routage

non RIP, comme un itinéraire statique par exemple.



Il existe des différences entre RIPv1 et RIPv2. On peut notamment souligner les deux

différences suivantes :

RIPv1 n'accepte pas de protocole d'authentification. Cependant, il est capable d'envoyer un

message à un ensemble de machines, c'est-à-dire, d'annoncer les mises à jour la table de

routage au moyen du multicast.

RIPv2 lui accepte, contrairement au RIPv1, le protocole d'authentification.

b. Configuration du RIP pour IP :

Nous allons dans cette partie, procéder à l'installation du protocole RIP pour IP sous Windows

2003 Server.

Tout d'abord, comme ci-dessous, ouvrez la console de Routage et accès distant .

Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils

d'administration.

Déroulez ensuite le menu Routage IP située sous votre serveur, et faites un clique droit sur

Général et cliquez ensuite sur Nouveau protocole de routage.

Choisissez ensuite le Protocole RIP version 2 pour Internet.



Cliquez ensuite sur OK.

Il faut ensuite définir les interfaces du routeur.

Pour cela, faites un clic droit sur RIP situé sous Routage IP.



La fenêtre suivante vous permet alors de configurer le mode de fonctionnement de RIP par

interface :



B. Protocole de routage à état de lien :

Contrairement au routage à vecteur de distance où les routeurs n'ont pas connaissance de la

topologie physique du réseau, le routage à état de lien met en œuvre des routeurs qui disposent

d'une vue complète sur la topologie physique du réseau. De même, à la différence du routage à

vecteur de distance où les routeurs s'échangent les tables de routage, les routeurs implémentés

dans une topologie réseau de routage à état de lien, s'échangent quant à eux, des informations

qui leurs permettront de construire cette table de routage.

La table de routage, lorsqu'elle est maintenue par des protocoles à état de lien, fonctionne avec

un algorithme dit SPF (Short Path First) qui permet de construire, à l'aide des paquets SPF

reçus, une arborescence du réseau.

Les paquets utilisés par les protocoles à état de lien sont des paquets d'état de lien, appelés LSP

(Link State Packet). De même, ces protocoles utilisent en dehors de ces paquets LSP et de

l'algorithme SPF, une base de données topologiques.

On sait de même, que le temps d'établissement d'une table de routage lors de l'utilisation d'un

protocole à état de lien est très rapide, c'est-à-dire que ce type de protocole converge très vite.

Windows 2003 Server implémente un type de protocole de routage à état de lien nommé OSPF

(Open Shortest Path First).



a. OSPF (Open Shortest Path First):

L'OSFP est un protocole de routage à état de lien. Contrairement au RIP, l'OSPF ne possède

théoriquement aucune limite de routeurs et peut donc être appliqué dans un environnement

réseau, où sont implantés une multitude de routeurs.

L'OSPF utilise un métrique se basant sur la vitesse du lien et ne présente pas de problème de

bouclage. De même, comme dit précédemment, l'OSPF présente une rapidité de convergence et

permet entre autre, d'alléger la bande passante puisque les paquets d'informations sont envoyés

uniquement en cas de nécessité et non pas de manière périodique, ce qui est le cas du protocole

RIP.

Afin de pouvoir créer la table de routage lors de l'utilisation d'un protocole de routage OSPF, il

faudra passer par deux étapes.

Tout d'abord, il faudra commencer par créer une base de données adjacente. Cette dernière

permettra ensuite de construire la base de données topologique qui conduira à la création de la

table de routage.

Base de données adjacente : un routeur envoi des messages Hello à ses voisins à l'aide du

multicast à l'adresse 224.0.0.5 et ce, en vue de les découvrir et d'établir une communication

bidirectionnelle.

Ce message contient de nombreuses informations parmi lesquelles on distingue :

l'identifiant du routeur émetteur,

les voisins connus par le routeur émetteur,

l'intervalle d'envoi qui permet de supprimer le message envoyé au bout d'un certain laps de

temps si aucune réponse ne parvient à l'émetteur,

un identifiant de zone : tous les routeurs qui « souhaitent » communiquer entre eux, doivent

se situer dans la même zone et sur le même segment réseau,

une priorité ;

un mot de passe d'authentification.

Lorsque le message Hello envoyé par le routeur émetteur par multicast parvient à d'autres

routeurs voisins, les routeurs recevant ce message ajoutent à leur base de données adjacente les

routeurs émetteurs. Par la suite, chaque routeur ayant reçu ce message par multicast, renvoi un

message en unicast, c'est-à-dire qu'il envoi un paquet vers une seule destination, au routeur

émetteur qui ajoute à son tour le routeur précédent à sa base de données adjacente.

Le transfert du message Hello va permettre notamment, aux différents routeurs, de pouvoir

comparer la priorité de ses voisins. Ainsi, on définira deux types de routeurs :

Le routeur DR qui est celui disposant de la plus forte priorité,

e routeur BDR qui correspond au routeur ayant la seconde plus forte priorité.



Base de données topologique : Lors de la phase création de cette base de données, une relation

maître-esclave doit être établie. Cette relation est établie entre le DR et un autre routeur. Afin

d'établir cette relation, un mécanisme d'échanges est instauré : il s'agit de l'envoi de paquets

LSA (Link State Advertisement) entre le DR ainsi que le BDR et les autres routeurs. Ce paquet

d'informations envoyé par le DR contient notamment son identifiant. Ainsi, si l'identifiant du DR

est plus grand que l'identifiant du routeur qui reçoit le paquet, alors il sera défini comme le

maître. Inversement s'il possède l'identifiant le plus faible, il sera désigné comme esclave.

Pour que les routeurs ajoutent des informations à leurs bases de données à état de lien, ils

s'envoient des informations. Ainsi, l'esclave recevant le paquet, compare les informations de la

base de données du maître et si ce dernier détient plus d'informations, il envoi une requête au

maître afin d'obtenir plus d'informations, des informations qu'il ajoutera à sa propre base de

données à état de lien.

A cette étape, ils possèdent tous les mêmes informations et peuvent donc commencer à créer

leur propre table de routage afin de router le trafic IP.

b. Configuration de l'OSPF :

Nous allons dans cette étape, procéder à la mise en route de l'OSPF.

Allez dans la console du service Routage et accès distant , déroulez le menu Routage IP du

serveur, puis faites un clic droit sur Général puis un clic sur Nouveau protocole de routage.

Choisissez alors Ouverture du chemin d'accès le plus court en priorité (OSPF).



Puis, faites un clic droit sur OSPF dans Routage IP . Ensuite, cliquez sur Nouvelle interface.



ID de zone : Zone OSPF dans laquelle l'interface du routeur va être connectée. Tout comme

une adresse IP, cette zone est représentée par 4 octets.

Priorité du routeur : Comme vu précédemment, la priorité d'un routeur permet de sélectionner

le DR et le BDR. La priorité est d'autant plus élevée que l'indice l'est.

Mot de passe : Mot de passe circulant en clair dans l'implémentation Microsoft OSPF et utilisé

pour l'authentification.

Coût : Indice influençant la métrique.

Type de réseau : Permet le choix entre les trois types de réseau que sont : le réseau broadcast,

point-to-point, NBMA Access.

6. Routage à la demande :

Le routage à la demande permet d'établir des connexions uniquement lorsque cela est nécessaire.

C'est-à-dire que lorsqu'un routeur « désire » établir une connexion vers un autre routeur afin de

pouvoir faire acheminer des paquets d'IP sur une liaison, il y a mise en place d'une interconnexion

de réseaux par des liaisons temporaires (comme RTC ou RNIS). Ce type de routage a pour

avantage de déconnecter la liaison au bout d'un certain temps d'inactivité afin notamment, de

préserver les ressources système.



A. Configuration du routage à la demande :

Avant tout mise en route du routage à la demande, il faut au préalable s'assurer du bon

fonctionnement et de la bonne configuration des périphériques qui seront nécessaires à la

connexion tels que le modem, la carte modem…

→ Lancez ensuite, la console Routage et accès distant et faites un clic droit sur votre serveur,

et ensuite allez dans ses Propriétés .

→ Sélectionnez ensuite l'option Routage réseau local et de numérotation à la demande si tel

n'est pas le cas. Faites ensuite un clic droit/ Propriétés sur Ports dans le console Routage et

accès distant . Choisissez alors le port que vous souhaitez utiliser pour la numérotation à la

demande, puis cliquez sur le bouton Configurer .

→ Dans la fenêtre apparaissant, cochez la case Connexions de routage à la demande .

→ Retournez dans la console Routage et accès distant , et effectuez un clic droit Interfaces

réseau et sélectionnez Nouvelle interface de numérotation à la demande .

→Puis, cliquez sur Suivant , nommez l'interface puis cliquez sur Suivant , dans la fenêtre de

bienvenue.

Indiquez ensuite le type d'interface de numérotation à la demande que vous voulez créez pour la

connexion.



→ Sélectionnez ensuite les options de transport et de sécurité pour la connexion créée.

→ Si vous avez coché la case Ajouter un compte d'utilisateur pour qu'un routeur distant

puisse effectuer un appel entrant , un nom d'utilisateur portant le nom de la connexion est

automatiquement créé.

Il vous est ensuite demandé d'entrer un mot de passe pour le compte qui sera utilisé pour

l'authentification des appels entrants.

→ Il vous faut ensuite entrer le nom d'utilisateur, son domaine ainsi que son mot de passe, afin

de procéder à l'identification pour les appels sortants.

7. Routage de multidiffusion :

Le routage de multidiffusion est le routage permettant d'envoyer à plusieurs destinataires, le

même message.

L'énorme avantage du multicast est de permettre l'envoi d'un même message à plusieurs

destinataires, évitant ainsi tout pollution du réseau.

L'utilisation d'un protocole de routage de multidiffusion tel que DVMRP (Distance Vector

Multicast Routing Protocol), est nécessaire au bon fonctionnement du multicast dans un

environnement routé.

Windows 2003 Server implémente le protocole IGMPv3 qui permet à un hôte IP de rejoindre une

multidiffusion. Il n'implémente pas directement de protocole de routage de multidiffusion mais

est capable cependant, grâce à la prise en charge du protocole IGMP (Internet Group

Management Protocol), d'être à l'écoute de tous les hôtes utilisateurs du multicast présents sur

le réseau.

Lorsque les stations utilisant la multidiffusion sont à l'écoute de la multidiffusion sur une

adresse particulière, ces dernières envoient à leur routeur local un paquet IGMP Membership

Report. Lors de l'installation du protocole de routage IGMP, il faut spécifier le rôle joué par les

interfaces réseau du routeur. On distingue alors deux modes :

Mode routeur IGMP : Tous les paquets IGMP Membership Report envoyés par les hôtes

utilisant la multidiffusion sont écoutés par l'interface configurée de ce manière.

Mode Proxy IGMP : Les paquets IGMP Membership Report reçus par l'interface configurée

en mode routeur IGMP, sont envoyés sur les l'interface configurée en mode Proxy IGMP,

permettant ainsi aux autres routeurs de mettre à jour leur table de routage.

A. Configuration de l'IGMP :

Nous allons ici, procéder à la configuration de l'IGMP sur un routeur Windows 2003 Server.

Pour cela :

→ Ouvrez la console Routage et accès distant .



→ Faites un clic droit sur Général sous Routage IP .

→ Sélectionnez ensuite Nouveau protocole de routage , puis Routeur et Proxy IGMP .

→ Alors, sélectionnez Nouvelle Interface en faisant un clic droit sur IGMP . Sélectionnez

ensuite l'interface qui jouera le mode routeur et validez par Ok .

→ Configurez ensuite les propriétés comme ci-dessous :

→ De même, pour le mode Proxy, faites une configuration identique à celle ci-dessous :



8. Filtrage de paquets :

A. Principe :

Il est possible de filtrer les paquets entrants et sortants d'un routeur lorsque par exemple, un

routeur Windows 2003 est configuré en tant que routeur filtrant. Ainsi, le routeur autorise ou

non, des paquets entrants ou sortants, c'est-à-dire qu'il interdit ou autorise, certains types de

trafic IP.

Il existe deux manières de mettre en place un dispositif de filtrage de paquets :

→ Le filtre peut être placé en entrée auquel cas, ce dernier sera traité avant que le routeur

n'accède à la table de routage. Lors de la réception du paquet d'IP, le routeur va notamment

comparer son adresse source et son adresse de destination à celles configurées aux filtres

appliqués. Dans le cas où le filtre est configuré pour bloquer ce type de paquet, ce dernier sera

détruit et un message d'erreur (paquet ICMP) sera envoyé à la source.

→ Le filtre peut être placé en sortie auquel cas, ce dernier sera lu après le traitement de la

table de routage par le routeur. Lorsque le routeur reçoit le paquet d'IP, il « lit » sa table de

routage afin de déterminer l'interface vers laquelle il peut router ce dernier. Ensuite, le routeur

va regardé si un quelconque filtre de sortie est appliqué à cette interface. Si tel est le cas, il va

comparer les paramètres du filtre avec le paquet IP et « décide » ensuite de procéder ou non au

routage du paquet.



B. Configuration du filtrage de paquets :

Nous allons dans cette partie, procéder à la mise en œuvre d'un filtre.

Pour cela :

→ Rendez-vous dans la console Routage et accès distant puis cliquez sur Général sous Routage

IP .

→ Allez ensuite dans les Propriétés de l'interface pour laquelle le filtre sera appliqué.

→ Choisissez ensuite votre type de filtre : filtre d'entrée, de sortie, ou les deux.

→ Puis, cliquez sur le bouton Nouveau .

→ Entrez ensuite une adresse source et une adresse de destination. Puis entrez si vous le

souhaitez, un protocole et un numéro de port à filtrer.

Parmi les différents protocoles existant, il est possible de filtre les protocole TCP, UDP, TCP

[établit], ICMP, ou un autre protocole si vous détenez le numéro de port.

→ Validez ensuite votre sélection en cliquant sur le bouton Ok .

La fenêtre suivante s'affiche alors :



Il vous est alors possible d'agir sur le filtrage en acceptant de recevoir tous les paquets sauf

ceux qui répondent aux critères définis par les filtres, ou alors de rejeter tous les paquets à

l'exception de ceux qui répondent aux critères définis par les filtres.

9. Accés distant :

A. Présentation :

L'accès réseau à distance constitue un élément indispensable permettant à un utilisateur situé en

dehors du réseau de son entreprise (par exemple chez lui), de se connecter à l'environnement

réseau de cette dernière, au travers notamment du service Accès distant ou d'une connexion

VPN (Virtual Private Network), et ainsi, de pouvoir accéder aux ressources du réseau selon les

permissions qui lui sont accordées.

Afin de pouvoir réaliser une connexion d'accès distant, le serveur et le client devront utilisés

réciproquement, un programme d'accès distant et un client d'accès distant, et devront aussi

utilisés les mêmes protocoles permettant la connexion d'accès distant.

Windows 2003 Server implémente justement le service Routage et Accès distant, qui donne à un

serveur le rôle de serveur d'accès distant. Il implémente également un client d'accès distant et

un client VPN, permettant ainsi d'établir réciproquement, des connexions via le protocole PPP et

des tunnels PPTP, L2TP, IPSEC.

B. Protocoles d'accès distant :

Windows 2003 Server est capable de supporter divers protocoles de liaisons de données WAN :

→ Microsoft RAS (Remote Access Service) : Ce protocole permet à des clients Windows

utilisant le NetBEUI d'accéder à un serveur d'accès distant Windows 2003.

→ ARAP (Appletalk Remote Access Protocol) : Ce protocole permet à des clients Macintosh de se

connecter à un serveur Windows 2003.

→ SLIP (Serial Line Internet Protocol) : Ce protocole est utilisé pour se connecter via un modem

à un serveur SLIP au travers du connexion non sécurisée. Seule l'encapsulation d'IP est possible

grâce à ce type de protocole.

→ PPP (Point to Point Protocol) : C'est un protocole qui est en quelque sorte une amélioration du

SLIP. Il peut cependant encapsuler en dehors des protocoles TCP/IP, des protocoles IPX/SPX,

NetBEUI.



C. Authentification pour l'accès distant:

Il est essentiel, lors de l'établissement de connexion d'accès distant, de procéder à la

sécurisation des données qui transitent via un mécanisme d'authentification. Au sein de

l'infrastructure Windows 2003 Server, plusieurs protocoles d'authentification sont proposés.

Ces méthodes diffèrent essentiellement par leur niveau de sécurité.

Il est alors possible de choisir parmi les protocoles d'authentification suivants :

→ PAP (Password Authentification Protocol) : Il s'agit ici d'une méthode d'authentification peut

sécurisée et très simple basée sur une base SAM ou Active Directory. Le login et le mot de passe

sont envoyés en clair par le client d'accès distant au serveur d'accès distant, qui les comparent

aux informations qui sont stockées dans la base SAM locale ou Active Directory.

→ SPAP (Shiva Password Authentification Protocol) : Ce type de protocole d'authentification est

plus sécurisé que le protocole PAP. Il permet de connecter des clients Shiva à un serveur d'accès

distant Windows 2003.

→ CHAP (Challenge Handshake Authentification Protocol) : Il s'agit d'un protocole crypté conçu

pour les échanges de mots de passe via IP ou PPP. Les mots de passes sont stockés en clair sur le

client et le serveur.

→ MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) : Ce type de protocole

est basé sur le même principe que le CHAP à la différence que MS-CHAP stocke les mots de

passes de façon cryptée, grâce à MD4 qui est une fonction de hachage.

→ MS-CHAP 2 : Il s'agit ici d'une version plus récente du MS-CHAP, qui a la différence du MS-

CHAPv1, propose une sécurité plus accrue.

→ EAP (Extensible Authentification Protocol) : Il fait référence à un ensemble de protocoles qui

apportent une extension aux méthodes d'authentification actuelles.



D. VPN:

Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux ressources de son

entreprise par exemple, comme s'il était physiquement connecté au LAN de cette dernière.

Il est important de souligner que le VPN constitue une extension d'un réseau privé à travers un

réseau public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son élément de

base.

Cependant, il est nécessaire de sécuriser les données qui transitent dans ce type de réseau.

Ainsi, Windows 2003 Server gère deux types de protocoles de tunnel qui sont PPTP (Point-to-

Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol) basés sur le protocole PPP

servant pour l'authentification.

L'avantage du VPN par rapport à une connexion d'accès distant « classique » est que ce dernier

peut s'effectuer via une connexion Internet, alors que l'accès distant nécessite quant à lui une

connexion point à point utilisant le RTC ou RNIS, ce qui revient économiquement plus cher. En

effet, cet avantage est notamment dû au fait que le VPN est une simulation de connexion point à

point.

Un autre avantage du VPN est la possibilité d'effectuer une interconnexion de deux réseaux

d'entreprise à travers un réseau public.

Les protocoles de tunnels PPTP et L2TP sont pris en charge par Windows 2003.



→ PPTP : Il s'agit d'un protocole qui rend possible l'interconnexion des réseaux via un réseau IP.

C'est notamment un protocole qui permet l'encapsulation sécurisée sur un réseau public pour

créer un VPN.

→ L2TP : C'est un protocole qui permet d'interconnecter dès réseaux dès qu'une connexion point

à point orientée paquet est offerte par le tunnel. Le L2TP permet une compression des en-têtes

et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les données.

E. Configuration de l'accès réseau à distance:

Nous allons dans cette étape, configurer un serveur VPN.



10. Serveur d'authentification Radius :



La sécurité reste un élément important dans l'établissement de connexions distantes. Certains

serveurs et protocoles permettent une sécurité accrue des échanges d'informations.

Parmi ceux là, on distingue un protocole permettant de centraliser l'authentification et

l'autorisation des utilisateurs distants. Développé par Livingston Enterprise Inc, ce protocole

client/serveur fonctionne sur UDP (Protocol). De ce fait, pour les clients Radius, la gestion de

l'authentification et de l'autorisation sera gérée par un serveur Radius.

Dans notre cadre, un serveur Windows 2000 ou 2003 pourra jouer le rôle de serveur Radius. Le

serveur Radius pourra aussi être représenté par un serveur d'accès distant ou VPN, fonctionnant

sous Windows 2000 ou 2003. Le protocole Radius pourra être utilisé dans plusieurs

circonstances, notamment si vous voulez renforcer la sécurité de votre réseau (par exemple,

l'accès aux bornes de votre réseau WIFI).

De même, lorsqu'un serveur VPN tente d'accéder à un domaine auquel il n'appartient pas, le

serveur Radius peut lui, permettre d'authentifier les clients VPN correspondant.

A. Installation du serveur Radius :

Afin de procéder à l'installation d'un serveur Radius, il suffit de suivre les étapes décrites ci-

dessous :

Tout d'abord, allez sur le serveur qui vous servira de serveur Radius. Sur ce dernier, rendez-vous

dans l'assistant Ajouter ou supprimer des programmes situé dans Panneau de

configuration/Ajout/suppression de programmes , cliquez ensuite sur le bouton Ajouter ou

supprimer des composants Windows . Sélectionnez ensuite l'option Services de mise en réseau

et cliquez enfin sur Détails .

Dans la fenêtre qui apparaît, cochez la case Service d'authentification Internet .



B. Configuration du serveur Radius :

Afin d'autoriser ou non la connexion de clients d'accès distant et/ou VPN, au client Radius, il est

nécessaire de procéder à la configuration du serveur Radius en créant des stratégies d'accès

distant.

La raison pour laquelle nous devons procéder à cette configuration est que, le client Radius est

alors dépourvu de stratégies d'accès distant, et ceci est du au passage d'un serveur d'accès

distant/VPN à un client Radius, laissant ainsi au serveur Radius, la tâche d'authentifier les

clients.

Tout d'abord, il faut configurer les stratégies d'accès distant afin de mettre au point les

différentes conditions, autorisation et profil à appliquer aux clients VPN. Pour cela, il faut se

rendre dans les Outils d'administration du serveur Radius , Utilisez ensuite la MMC Service

d'authentification Internet . Il suffit ensuite d'utiliser le conteneur Stratégies d'accès

distant de la console Service d'authentification Internet .

Ensuite, il nous faut définir les clients Radius sur lesquels, le serveur Radius va agir. Dès lors, il

nous faut ajouter un client Radius. Pour cela, il suffit d'effectuer un clic droit sur Client radius

et ensuite de cliquer sur Ajouter un client radius .



Remplissez ensuite les champs apparaissant et cliquez sur le bouton suivant . Ensuite, il vous faut

choisir la technologie employée par le client Radius. Différentes technologies vous sont

proposées. Cependant, si la votre n'apparaît pas parmi celles présentées, utilisez l'option Radius

standard .

Le mot de passe saisi dans le champ Secret partagé devra être le même que celui saisi sur le

client Radius correspondant.

Une signature numérique basée sur le secret partagé pour les méthodes d'authentification PAP,

CHAP, MS-CHAP, peut être envoyée par le client Radius. Pour cela, il suffit de cocher la case Les

requêtes doivent contenir l'attribut de l'authentificateur de message .

C. Configuration du client Radius :

Il nous faut maintenant, procéder à la configuration du client Radius, c'est-à-dire, du serveur

d'accès distant/VPN.

Pour cela, il faut ouvrir la console Routage et accès distant située dans Démarrer/Outils

d'administration/Routage et accès distant . Faites ensuite un clic droit->Propriétés sur votre

serveur Radius.

Ensuite, sous Fournisseur d'authentification , sélectionnez Authentification Radius . Cliquez

ensuite sur Configurer .

Il faut ensuite définir le client Radius concerné. Pour cela, il faut cliquer sur le bouton Ajouter .,

et dans la nouvelle fenêtre, il vous faut entrer le nom ou l'adresse IP du serveur Radius, et

finalement cliquer sur le bouton modifier, pour entrer le secret partagé, qui, rappelons-le, doit

être identique à celui entré pour le serveur Radius.

La case Toujours utiliser l'authentificateur de message sera cochée si, il a été imposé au client

d'envoyer l'attribut D'authentificateur de message .

Lorsque l'opération est terminée, il vous faut redémarrer le service Routage et accès distant .

De plus, en dehors de ce rôle, le client Radius est capable de gérer la journalisation.

Pour définir que le serveur Radius sera client pour la journalisation, il vous faut faire un clic droit

sur votre serveur dans la console Routage et accès distant, puis, allez dans les Propriétés de ce

dernier et ensuite, sous l'onglet Sécurité .

Dès lors, il faut sélectionner Gestion de comptes Radius sous Fournisseur de comptes , puis

cliquer sur Configurer . On s'aperçoit alors qu'au sein de la console Routage et accès distant ,

le conteneur Connexion par accès distant n'existe plus. Vous devez ensuite utiliser ce même

conteneur afin de centraliser les logs sur votre serveur Radius.

Conclusion :



Au travers de cet article, il a été montré que Windows 2003 Server implémente au sein de son

infrastructure, de nombreuses entités lui permettant de jouer le rôle de routeur (qu'il s'agisse

de routage de multidiffusion, de routage à la demande…), de serveur ou client VPN, de serveur ou

client Radius…et ceci, directement configurable au travers de la console Routage et accès

distant . Ceci démontre ainsi le caractère modulable de Windows 2003. De même, au-delà de ces

différentes entités, Windows 2003 Server recèle de nombreuses fonctionnalités qui le rendent

d'autant plus complet.

Routage et accès distant – Windows 2003 Server

Documents

Transcript of Routage et accès distant – Windows 2003 Server