SIO/SISR Mission 7 PPE

LMD 1

CONTEXTE GSB - MISSION NUMERO SEPT

CONFIGURER UN ACCES DISTANT SECURISE A UNE

RESSOURCE LOCALE DE GSB

Préambule

GSB veut donner un accès distant sécurisé aux ordinateurs locaux de leurs collaborateurs nomades.

Ainsi ceux-ci pourront facilement, quel que soit l'endroit où ils se trouvent accéder à toutes leurs

ressources locales.

Vous êtes chargés d'élaborer le prototype de la solution.

Le prototype sera considéré comme valide si un poste distant peut ouvrir un bureau distant sur le

poste local et que vous démontrez que cet échange est sécurisé dans un tunnel VPN.

Objectifs de la 7ème

mission

Il y a 3 grandes étapes dans la mission :

mise en place de l'infrastructure actifs et adressage du prototype

mise en place des services (serveur VPN, client VPN, bureau à distance)

validation (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse

de trames montrant le tunnel)

Le prototype est simplifié par rapport à la réalité et au plan d’adressage de GSB. Ainsi par exemple

le serveur VPN qui est dans la DMZ fait aussi office de serveur AD, or si un serveur VPN se trouve

généralement dans une DMZ, un serveur AD ne s’y trouvera jamais.

Compte rendu : Un compte rendu sous Word montrant les différentes étapes commentées

(imprime-écran), les tests de validation, et répondant de façon argumentée aux dernières questions

doit être rédigées il doit intégrer les analyses de trames commentées.

SIO/SISR Mission 7 PPE

LMD 2

Schéma du prototype

Matériel nécessaire :

1 switch 2960 ou 2950 côté local (GSB) : la connexion au poste distant peut se faire directement le routeur distant 2911 qui croisera électroniquement

2 routeurs : routeur 1841 côté local, 2911 côté distant

1 câble croisé (ou pas) entre les 2 routeurs : le routeur 2911 est capable de croiser électroniquement

3 PC sous Windows seven (PC accès distant, PC Intranet, PC Analyseur)

1 Serveur 2008 R2 (serveur AD + VPN).

SIO/SISR Mission 7 PPE

LMD 3

Travail à faire

1. Mise en place de l'infrastructure actifs et adressage

Sur le commutateur local, il faut déclarer les 2 VLAN DMZ et Intranet et le lien trunk.

Sur le routeur local, il faut déclarer les interfaces mais aussi le NAT/PAT et la redirection vers le

serveur VPN (port 1723).

Sur le routeur Internet, il faut déclarer les règles de filtrage qui empêchent le routage des adresses

privées.

Après avoir procédé au câblage et à la configuration, branchez les 3 postes et configurez leurs

paramètres IP, faites les tests nécessaires pour valider l'infrastructure.

2. Mise en place des services (serveur VPN, client VPN, bureau à distance)

Il y a 3 choses à faire :

configurer le serveur VPN

configurer le client VPN

configurer le poste offrant le bureau à distance

Voir les différentes annexes.

3. Validations (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de

trames montrant le tunnel)

Pour capturer les différents échanges dans le réseau local, il faut tout d'abord configurer le

"monitoring" de ports sur le commutateur local

Mais il faudra aussi certainement lancer un ping continu à partir du poste distant et déplacer

l'analyseur de trames pour le connecter aux différents commutateurs.

Les éléments suivants permettent de valider la solution

Vérification dhcp l’adresse du poste distant doit être donnée par le serveur VPN dans le plan

d'adressage de ce serveur.

Vérification accès poste local à partir du poste distant On « ping » sur les 2 postes du réseau

local (serveur et client). On observe dans l'échange que le « ping » vers le poste dans l'Intranet est

relayé par le serveur VPN

Ouverture bureau distant On lance un « ping » à partir du bureau distant du poste local ouvert

sur le poste distant vers le serveur VPN. Réfléchissez à ce qu’implique cet échange. Que capture-t-

on?

Mais il faut aussi comprendre ce qui se passe, en répondant aux questions suivantes :

Pourquoi le poste distant doit-il obtenir une adresse dans le réseau du serveur VPN et non dans le

réseau du poste bureau Distant ?

Sur quelle liaison l'échange est-t-il "tunnelisé" ?

Quels sont les 2 extrémités du tunnel ?

Quels sont les protocoles au dessus D'IP utilisés pour la connexion VPN puis pour le tunnel VPN ?

Quel est le poste qui communique directement avec le poste Bureau Distant ?

Dans l'échange Client distant/bureau distant quelle est la partie tunnelisée et la partie non

tunnelisée ?

Quel sont les 2 fonctions principales du serveur VPN ?

SIO/SISR Mission 7 PPE

LMD 4

ANNEXES

Configuration du serveur VPN

Il s'agit d'un serveur 2008R2. Pour pouvoir installer les stratégies d'accès réseau, il faut qu'il soit

contrôleur de domaine.

Utilisez le serveur AD 2008R2 dont vous disposez.

Attention dans les écrans suivant , le serveur s'appelle W8SISR5LAB il fait partie du domaine

SISR5.org.

Son adresse IP (à vérifier) est 172.16.100.10.

Travail à faire :

Il faut installer le rôle prenant en charge le service de connexion VPN (rappel : Il faut que l'AD soit

installée pour accéder à ce rôle)

Une fois le rôle installé, il faut le configurer et le démarrer

On choisit bien entendu VPN

SIO/SISR Mission 7 PPE

LMD 5

Attention à ce que le service démarre bien.

Il faut maintenant accéder aux propriétés du service

Sur l'onglet IPV4 on va définir une plage d'adresses pour donner des adresses aux clients VPN

autorisés à se connecter.

SIO/SISR Mission 7 PPE

LMD 6

Les autres propriétés sont intéressantes à observer. Notamment on voit que les accès distants sont

gérés par des ports virtuels auxquels sont associés des protocoles.

2 types de port nous intéressent SSTP et PPTP (Secure Socket Tunneling Protocol et Point To Point

Tunneling Protocol).

Il faut maintenant créer dans l'AD un utilisateur qui se connectera à distance (utivpn/Uti.vpn – mot

de passe qui respecte la stratégie de complexité) et l'autoriser à se connecter à distance

Propriétés de

Ports

Propriétés générales de

Routage et accès distant

SIO/SISR Mission 7 PPE

LMD 7

Onglet Appel

entrant

SIO/SISR Mission 7 PPE

LMD 8

Configuration du client VPN

Choisir "configurer une nouvelle connexion ou un nouveau réseau puis "connexion à votre espace

de travail"

Choisir "Utiliser ma connexion Internet (VPN)"

Choisir "Je configurerai une connexion Internet ultérieurement".

SIO/SISR Mission 7 PPE

LMD 9

On donne l'adresse publique du routeur et un nom à la connexion

On donne l'identifiant de l'utilisateur qui a les droits de connexion distante.

On constate maintenant la présence d'une nouvelle connexion (géré encore une fois par un port

virtuel).

On peut observer les propriétés de cette connexion. On voit d'ailleurs

que le protocole sera choisi automatiquement entre les bouts du

VPN.

On se connecte

SIO/SISR Mission 7 PPE

LMD 10

On constate avec ipconfig que la connexion a reçu une adresse IP dans la plage prévue (attention la

capture suivante a été fait après différents tests c'est pourquoi on a 202).

Et que cette adresse lui permet de communiquer avec le réseau 172.16.100.0/24

Coté serveur VPN on doit voir l'utilisateur connecté

SIO/SISR Mission 7 PPE

LMD 11

Configuration du bureau distant sur le poste dans l'Intranet

On paramètre maintenant le poste qui offre son bureau distant. Il faut sélectionner "N'autoriser …".

Attention se poste doit être intégré à l'AD.

On sélectionne l'utilisateur "utivpn" ce qui nécessite une authentification administrateur

On doit obtenir le résultat suivant :

Tes de connexion : On peut maintenant ouvrir un bureau distant à partir du client VPN.

SIO/SISR Mission 7 PPE

LMD 12

Observations

Sur le serveur VPN

Quand un poste est connecté au VPN on va trouver cela (attention ici changement d'adresse car

capture fait à un autre moment) après un ipconfig

Et si on affiche la table de routage, on note le routage vers un poste précis (masque

255.255.255.255)

Notons au passage l'adresse MAC de la carte du serveur car elle sera importante dans nos analyses

de trames.