Mise en place d'un réseau distant avec Windows Server 2003 via TSE

Net-Pro Par : GHAOUTI Mohamed

03/02/2009 1/15 [email protected]

Resume

Cette présentation nous fera découvrir Une configuration complète d’un server sous Windows 2003 avec Terminal Server.Nous aborderons comment mettre en réseau deux site distant à l’aide d’une liaison VPN. Nous étudierons les problèmes liésà un cas spécifique de liaison entre un site en ADSL et RNIS.

Sommaire

Introduction 1 Configuration du server

o 1.1 Choix du système d’exploitation

o 1.2. Configuration du système

o 1.3. Gestion des sauvegardes

2 Installation et Configuration Terminal Server sous Windows Server 2003o 2.1 Pré requis et installation

o 2.2. Configuration des services Terminal server

o 2.3. La gestion des licences Terminal Server

o 2.4. Le gestionnaire des services Terminal Server

o 2.5. Gestion des stratégies

o 2.6. Protocole RDP et installation des applications

3 Mise en service des routeurso 3.1. Configuration du VPN avec IPSEC

o 3.2. Avantage d’utiliser IKE

o 3.3. Choix du protocole VPN

o 3.4. Point Important lors du paramétrage

4 Présentation VPNo 4.1. Différent cas d’utilisation

o 4.2. Protocoles de tunnelisation et leurs origines

o 4.3. Définitions des protocoles

o 4.4. Protocole IPSEC et PPTP

o 4.5. Détails liés au cryptage

5 Problèmes lors d’une installation spécifique ADSL RNISo 5.1. Problèmes et solutions choisit

o 5.2. Présentation des profiles Internet

Conclusion

Introduction

Micro Tonnerre à mis en place de nombreux serveurs Tse pour ces clientsmaisons de retraite. Pour plusieurs raisons :

- La rapidité d’exécution des logiciels.- Les logiciels installés uniquement sur le serveur.- La sauvegarde des données simplifiées.- La possibilité de travailler à distance.- La sécurisation grâce au Vpn.



A travers notre présentation nous allons comment paramétrer un serveurs 2003avec Terminal Server en détail. Nous devrons donner accès aux clients distants auTerminal Server. Puis nous verrons la configuration des routeurs. Lors de cetteconfiguration nous aborderons le sujet des liaisons VPN.

Dans un quatrième temps nous entrerons en détail sur la notion de tunnelisation etces différentes possibilités. Enfin nous orienterons notre sujet sur un problèmespécifique lié à la connexion de deux sites avec des connexions différentes ADSLet RNIS pour en faire ressortir des points essentiels.

Nous conclurons sur une ouverture vers le monde des clients légers.

Le schéma ci-dessous illustre globalement le résultat que nous désirons obtenir.

1 Configuration du server

1.1 Choix du système d’exploitation

Nos serveurs (AcerG320, serveurs assez classiques, sans Raid5, ni bi-processeurs… Nouschoisissons ce type de configuration pour plusieurs raisons, le taux de pannes très faible, leur coûtintéressant, et leur puissance) arrivent sans système d'exploitation, ce qui nous permet de choisir laversion de Windows 2003.

Windows 2003 standardWindows Small Businnes Server 2003

Windows SBS 2003 Server comprend tous les composants réseaux pour déployer ActiveDirectory, DNS, DHCP, WINS, RRAS/VPN, Pare-feu, et tous les composants pour effectuer uneconnexion Internet sécurisée au sein d'une entreprise, Windows Exchange Server, WindowsSharePoint Server. La version Premium contient deux produits majeurs supplémentaires SQL



Server 2000 et ISA 2000 Server (Proxy/Pare-feu pour une meilleure sécurisation et un meilleurcontrôle de l'accès Internet), le client Outlook 2003 et Microsoft FrontPage 2003. Cependant SBSen version 2003 est limité à 75 utilisateurs. Mono domaine, il ne peut pas exécuter de serveurTerminal Server, mais supporte le gestionnaire de licences de TSE. Il supporte TSE en modeAdministration avec 2 licences de connexion. Chaque serveur supplémentaire doit avoir une CALd'accès client pour SBS. Vous pouvez utiliser les CAL SBS pour chaque client ou chaqueordinateur, le total ne pouvant dépasser 75 CALS.

1.2. Configuration du système

De nombreux services peuvent êtres amenés à êtres configurés, tels le Dns, Active Directory,Terminal Server et les stratégies de sécurité. Active Directory gère les utilisateurs, il suffit alors decréer deux UO pour séparer les utilisateurs classiques et les utilisateurs Terminal Server. Lesutilisateurs peuvent ne pas faire partie du domaine, c'est-à-dire que ce réseau est un Workgroup.Ils n'ont donc pas d'utilisateurs classiques dans Active Directory pour la plupart. C'est lorsqu'ilsouvrent la connexion réseau à distance qu'ils doivent s'identifier et non à l'initialisation de lamachine. La mise en place de Tse nécessite plusieurs étapes, il faut d'abord installer vial'ajout/suppression de programmes de Windows, la Gestion des licences Terminal Server. Puisréaliser la suite de l'installation avec l'outil configuration de serveur qui propose de mettre en placeTerminal Server. Pour finaliser l'installation il faudra ajouter les utilisateurs désirant se connecteren Tse au groupe Utilisateur du bureau à distance.

1.3. Gestion des sauvegardes

Notre système de sauvegarde se réalise avec des lecteurs REV de Iomega. Ce système desauvegarde se branche en USB. Lors d’une panne il suffit de connecter un autre exemplaire sur lemême port (évite de démonter toute la machine). Ce lecteur est fourni en standard avec uneversion cd d’Iomega Backup Tools, qui nous permet de gérer notre sauvegarde système, en faitederrière ce nom se cache l'utilitaire Ghost de Symantec. Grâce à cet utilitaire nous pouvons faireune sauvegarde de la totalité du serveur quand nous le voulons. Celle-ci prend en moyenne 5-10minutes car on ne prend que la partition C où nous installons tous les logiciels, les données de ceslogiciels quant à elles se trouvent sur la seconde partition, laquelle est sauvegardée tous les soirs à22:00. Les lecteurs REV offrent un accès quasi instantané aux données, alors que les lecteursclassiques doivent parcourir la totalité de la bande d’une extrémité à l’autre.

2 Installation et Configuration Terminal Server sous Windows Server 2003

2.1 Pré requis et installation

Pour commencer il faut tout d'abord vérifier que vos connexions réseaux sont bien configurées.Ensuite vous pouvez lancer l'utilitaire « Configurer votre serveur » dans les outils d'administration

Ainsi vous pouvez très facilement vérifier les rôles effectués par votre serveur. Sélectionner le rôleTerminal Server puis cliquer sur suivant. L'installation va s'effectuer et vous demandera deredémarrer.



Nous pouvons configurer Terminal Server. Trois programmes s'offrent alors à nous :

Afin de gérer de manière correct votre TSE, il est conseillé de prévoir une OU à cet effet. Danscelle-ci il vous suffit :

Créer vos différents utilisateurs qui vont appartenir à un GG (GroupGlobal).

Ce GG va être membre d'un DL (DomainLocal), le DL à donc pour membre le GG.

2.2. Configuration des services Terminal server

Ceci nous donne accès aux paramètres RDP ou ICA (dans le cas de citrix).

Nous pouvons limiter les temps de session.Nous choisissons le niveau de cryptage :



- client compatible- élevé- compatible FIPs

Nous pouvons même y ajouter l'utilisation d'un certificat ...Il ne faut pas oublier de mettre la valeur "Par utilisateur" au paramètre Licence.

2.3. La gestion des licences Terminal Server

Il suffit d'effectuer l'installation de la gestion de licences Terminal Server.

Relancer la console et vous obtiendrez :



Il vous suffit désormais d'activer votre serveur : Clic droit - activer le serveur

Renseignement des informations de la société.Choisissez le type de licence (Licence Pack, Pack de licence ici).

Puis renseigné le code se trouvant sur la petite feuille à l'intérieur de la pochette : Licence code,celui ci détecte votre type de licence, vous êtes enfin activé...

2.4. Le gestionnaire des services Terminal Server



Le gestionnaire des services Terminal Server vous permet de voir où en sont vos différentessessions :

Les utilisateurs connectés.la durée de connexion.

Vous pouvez les déconnecter à partir de cette console...2.5. Gestion des stratégies

Pour que les utilisateurs puissent se connecter au serveur, il est nécessaire de modifier certainsparamètres de sécurité au niveau du contrôleur de domaine. Il faut alors sélectionner lesutilisateurs ou groupes auxquels vous désirez donner accès au TSE :

Faire un gpupdate

2.6. Protocole RDP et installation des applications

C'est un protocole qui permet à un utilisateur de se connecter sur un ordinateur faisant tournerMicrosoft Terminal Services. Le serveur écoute sur le port 3389. Il en existe plusieurs versions :

La première version 4.0 à été introduite dans Windows NT4.0 Server, Terminal ServerEdition

La version 5.0 était celle fournie sous Windows 2000 server, avec plus de fonctionnalité :support de l'impression; amélioration utilisation de la bande passante ...

La version 5.1, fournit avec Windows XP professionnel, inclus le support du son et descouleurs 24 bits

La version 5.2 introduite avec Windows Server 2003 inclus le support pour le mappage deressources locales.



Il existe de nombreux clients pour Windows. Il est bon de savoir aussi qu'un client libre pour leservice RDP existe. Il fonctionne sous les versions 4 et 5 de RDP et donc avec les serveursNT,2000 et 2003. Son nom : Rdesktop

Dans le cas d'application pour TSE, lors du lancement de l'installation il faut changer de mode.

Change user /install : désactive le mappage de fichier .ini vers le répertoire debase. Tous les fichiers .ini sont lus et écrits dans le répertoire système. Il fautdésactiver le mappage lors d'installation d'application sur le serveur TSE (aprèsinstallation repassez en mode execute). change user /execute : active le mappage de

fichier .ini vers le répertoire de base. Il s'agit du paramètre par défaut.

Exemple :

3 Mise en service des routeurs

3.1. Configuration du VPN avec IPSEC

Se connecter en telnet au routeur. Ajouter un profil de connexion.



Ci-dessous, on choisit le type de connexion, le plus important est le type d'encapsulation, pour une sécuritéaccrue nous choisirons IPsec.

Ensuite il faut définir comment les clefs seront générés, ici nous utiliserons le protocole IKE qui génèreautomatiquement les clés. Celui-ci nécessite une clé secrète de 16 caractères minimum. L'encapsulation sera enESP avec Des, et possible en 3Des.

C'est ici que l'on va préciser les différents réseaux, le réseau local et le réseau distant.

3.2. Avantage d’utiliser IKE

Avantages d'utiliser IKE :

Configuration automatisée des Sas du tunnel IPSec.Durée de vie des clés d'authentification et de cryptage.Evite la saisie manuelle des clés d'authentification et de cryptage.

3.3. Choix du protocole VPN

Tunneling L2TP :



Convient lorsque le cryptage n'est pas nécessaire.

Tunneling PPTP avec Cryptage MPPE :

Equivalent à L2TP, performances légèrement inférieures.

Tunneling IPSec avec Cryptage DES ou 3DES :

Authentification très efficace, confidentialité importante.

Relativement complexe à configurer sur les postes clients.

3.4. Point Important lors du paramétrage

Le point important dans la configuration est de laisser en marche le firewall du routeur mais d'yrenseigner les ports nécessaires au VPN.

Autorisation en entrée des paquets GRE .Autorisation des paquets UDP port 500 pour IKE.Il suffira ensuite d'appliquer cette configuration à l'interface Wan du routeur.

4 Présentation VPN

4.1. Différent cas d’utilisation

Les utilisateurs nomades auxquels on souhaite fournir un accès aux ressources du réseau de l'entreprise. C'estce qu'on appelle VDPN, pour Virtual Dial-up Private Networking.

La liaison au moyen d'un tunnel sécurisé de deux sites distants.

La constitution d'un extranet global permettant à un ensemble de sites distants de communiquer via un réseauvirtuel auxquels ils sont raccordés.

Il existe plusieurs protocoles pour établir des liaisons VPN. Les trois principaux sont PPTP, L2TP et IPSEC.

4.2. Protocoles de tunnelisation et leurs origines

PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com,Ascend, US Robotics et ECI Telematics.

L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva.Il est désormais quasi-obsolète

L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faireconverger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffréespour les réseaux IP.

4.3. Définitions des protocoles

PPTP (Point to Point Tunneling Protocol) :



Développé par Microsoft, ce protocole est à présent un standard public (RFC 2637). Il permetl'établissement d'un lien PPP au dessus du protocole IP. L'authentification est réalisée par leprotocole MsCHAP. Le transport des données est assuré par une variante améliorée du protocoleGRE (Generic Routing Encapsulation, développé par Cisco). L'établissement et le contrôle dutunnel sont assurés par une connexion TCP parallèle. N'offrant pas à l'origine de mécanisme dechiffrement des données véhiculées, PPTP s'est vu étendu. Il supporte à présent le chiffrement desdonnées via le protocole RC4, avec des clés de 40 ou 128 bits. Cependant, PPTP n'offre aucunmécanisme de contrôle d'intégrité des paquets.

Le protocole L2TP :(Layer 2 Tunneling Protocol)

L2TP est une évolution d'un protocole initialement développé par Cisco, L2F, pour y ajoutercertaines idées de PPTP. Il est standardisé par la RFC 2661. Comme L2F, il permet d'établit unlien PPP sur un protocole de niveau 2, ou sur UDP dans le cas d'un transport sur IP. CommePPTP, il utilise un flux pour transporter les données, et un flux de contrôle. L'authentification estréalisée par MsCHAP. Si un mécanisme de chiffrement et de contrôle d'intégrité doit être mis enplace, on utilisera les mécanismes fournis par IPSEC, en particulier ESP.

Le protocole IPsec :

AH permet d'assurer l'intégrité des paquets IP entiers (entête et données) impliqués dans letransport des paquets du tunnel, à l'aide de résumés cryptographiques de 96 bits calculés à l'aide devariantes des algorithmes MD5 ou SHA. ESP permet d'assurer l'intégrité des données transportéespar le tunnel par les mêmes procédés que AH, et la confidentialité de ces données soit paralgorithme DES-CBC, avec clé à 56 bits, soit par son successeur, 3DES-CBC, par clés 168 bits.AH peut être utilisé seul si on ne souhaite pas chiffrer. ESP peut lui aussi être utilisé seul, auquelcas on ne vérifie pas l'intégrité des paquets IP sous-jacents. L'association de AH et ESP permetd'atteindre le niveau maximum de sécurité. En raison de la vérification d'intégrité des paquets,IPSEC pose des problèmes de compatibilité avec les équipements réalisant de la traductiond'adresses (NAT) et ne fonctionne qu'avec ESP en mode tunnel. En effet, la modification desentêtes du paquet IP n'est ni compatible avec AH, ni avec ESP en mode transport. C'est pourquoiles fonctions IPSEC sont le plus souvent réalisées par les équipements qui gèrent la traductiond'adresses.

Pour notre projet, nous allons étudier plus précisément les protocoles IPSec et PPTP, pourquoi ?Tout simplement car nous utiliseront IPSec pour relier les deux réseaux lorsque l'adsl sera en placepuis PPTP avec MMPE pour la connexion des personnes qui voudront se connecter de l'extérieur,comme les commerciaux ou le directeur.

4.4. Protocole IPSEC et PPTP

IPSEC :Le protocole IPSec est basé sur trois modules :

Module 1 :AH (authentication header) :

C'est le premier des protocoles de protection des données de la spécification IPsec.

Il garantit :

L'authenticité des datagrammes IP reçus.

L'intégrité des champs suivants du datagramme IP : données (en mode tunnel, ceci comprend la totalité

des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par AH),

version (4 en IPv4, 6 en IPv6), longueur de l'en-tête (en IPv4), longueur totale du datagramme (en IPv4),

longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut 51 pour

indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du destinataire (sans source

routing). AH assure donc l'intégrité des champs IP qui ne sont pas susceptibles d'être modifiés pendant le

routage, les autres champs (TTL, etc.) ne pouvant être contrôlés.



L'unicité (optionnelle, au choix du récepteur), ce qui empêche le rejeu. Le protocole AH n'assure pas la

confidentialité : les données sont authentifiées mais pas chiffrées.

Enfin, AH ne spécifie pas d'algorithme particulier. Ceux-ci sont décrits séparément, ce qui fait la

souplesse du protocole IPsec.

Module 2 : ESP :

Le protocole ESP (Encapsulating Security Payload) encrypte toutes les données du paquet garantissantleur confidentialité.

Module 3 : SA :

Security Assocation (SA) définissant l'échange des clés et des paramètres de sécurité. Les SArassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les protocolesAH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les protocoles, les clésutilisées,...). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (laplupart du temps), qui permet aux deux parties de s'entendre sur les SA. . Chaque SA est repérée par unSPI (security parameter index). La base des SA valides au niveau d'une entité IPsec est la SAD (SecurityAssociation Database).

Le PPTP : Point To Point Tunneling Protocol :

Les routeurs netopia peuvent être placés de part et d'autre du tunnel :

Pour le terminer – il fonctionne en tant que PPTP Network Server (PNS)

Pour initier le tunnel – il fonctionne en tant que PPTP Access Concentrator (PAC)

Il est possible d'utiliser la traduction d'adresses IP pour les connexions entrantes commesortantes.

Le routeur peut remplacer le server Microsoft pour les besoins VPN :

Cryptage 40-bit RC4 MPPE

Cryptage 128-bit RC4 MPPE

Compatible avec les serveurs NT à l'autre bout du tunnel.

PPTP utilise deux types de paquets pour établir le tunnel et envoyer des données :



TCP pour l'établissement du tunnel PPTP – les paquets sont à destination du port 1723

GRE pour l'envoi de données au travers du tunnel, (GRE comme Généric Routing Encapsulation : Protocole detransport 47)

Pour résumer :

4.5. Détails liés au cryptage

MPPE et DES :

Ils sont basés sur l'utilisation de clefs de cryptage symétriques :

Une clef sert à crypter les données

La même clef à l'autre extrémité à l'autre extrémité du tunnel sert à décrypter les paquets échangés entreles deux partenaires.

3DES ou TripleDES :

l consiste en 3 passes DES avec des clefs différentes.

IKE (internet key exchange) :

Dans la plupart des cas, les clés utilisées pour chiffrer les données d'un tunnel ne sont pas fixées avant sa

mise en place.

Une gestion manuelle des clés de chaque tunnel est d'autant plus fastidieuse qu'il y a de chiffreurs. De

plus, la robustesse des algorithmes cryptographiques n'est garantie que si les clés sont renouvelées

régulièrement (gestion de l'usure et de la cryptopériode). Enfin, la compromission d'un équipement

permet, si la clé peut être récupérée (par exemple sur le disque), de déchiffrer à posteriori tout le trafic

chiffré s'il a été enregistré.

Le protocole IKE permet une gestion dynamique des clés IPsec reposant sur une architecture de

confiance (PKI/certificats X509, secret pré-partagé, etc.). IKE réalise une négociation des protocoles et

des algorithmes à utiliser pour chaque tunnel, ainsi que les échanges de clés nécessaires à leur mise en

oeuvre dans la durée (incluant les renouvellements). Ces échanges sont protégés par une authentification



reposant sur l'architecture de confiance retenue. Une compromission à posteriori des éléments de cette

architecture ne permet que des attaques actives sur le trafic futur. L'utilisation du mode PFS (Perfect

Forward Secrecy) permet de plus de rendre les différentes clés générées indépendantes les unes des

autres.

SP : Security Policy :

Une politique de sécurité IPsec est une règle indiquant, pour un type particulier de flux, quel traitement

doit être appliqué: autorisation simple (choix par défaut), interdiction, ou traitement IPsec. Les critères

utilisables pour sélectionner un flux sont multiples: adresses, protocoles, ports, etc. Les politiques

indiquant un traitement IPsec renvoient vers les SA disponibles en spécifiant les caractéristiques

requises. La base des SP en vigueur au niveau d'une entité IPsec est la SPD (Security Policy Database).

La SPD définit donc ce que la couche IPsec doit faire des datagrammes IP alors que les SA explicitent le

traitement à leur appliquer.

Lorsque les clés sont gérées dynamiquement par IKE, on définit manuellement des SPD symétriques surchaque extrémité du VPN et on laisse les services IKE négocier et établir les SA.

5 Problèmes lors d’une installation spécifique ADSL RNIS

5.1. Problèmes et solutions choisit

Pour cette installation, nous avons rencontrés différents problèmes. Tout d'abord lors de l'installation,pour le déploiement du logiciel antivirus car le réseau était un groupe de travail et celui-ci n'arrivait pas àdéployer les antivirus à distance à cause de l'authentification des utilisateurs. Nous avons tout simplement rajoutédes mots de passe aux comptes administrateurs des différents postes.

Ensuite lors de la mise en place des routeurs, aucun problème ne se posait, les routeurs communiquaient bienensemble, nous pouvions pinger les uns et les autres. Mais au bout de quelques minutes la liaison était coupée.Nous avons donc vérifié plusieurs fois la configuration, mais rien n'était erroné.

Nous avons donc décidé de contacter Nétopia. Nous avons alors compris que cela venait du protocole IPseccrypté avec DES car la ligne numéris était trop faible en bande passante pour le supporter. Nous avons doncdécidé de passer en PPTP, avec cryptage MPPE. Cela n'était pas gênant en soit, mais changeait radicalement lemode d'utilisation, ce ne sont pas les routeurs qui initient la connexion du VPN mais les utilisateurs eux-mêmes…

Il a donc fallu configurer les connexions PPTP sur le routeur Numéris de Channes afin que les utilisateurs dePolisot se connecte dessus via une connexion réseau privé virtuel depuis windows avec les paramètres rentrésdans le routeur Rnis.

5.2. Présentation des profiles Internet

Voici ce que donne la configuration du routeur RNIS de Channes :

EasySetupProfile correspond au profil internet. IPSec Polisot à la configuration IPSec testée mais inutilepour le moment. Les différents comptes PPTP correspondent aux profils qui se connecteront depuisPolisot.



Mais ceci nous pose alors deux ou trois problèmes… Car il y a deux lignes numéris, mais ellescorrespondent à la fois à la connexion internet, au standard téléphonique et au fax. Ce qui signifie que laligne est très souvent indisponible, ou que le téléphone est bloqué à cause de la connexion TSE.

Nous avons donc décidé de demander la création d'une ligne téléphonique classique avec l'adsl. (Ilspourront alors y brancher internet et le fax).

Conclusion

Pour conclure, je tiens à préciser que nous sommes en phase de test pour mettre en place des clientslégers, maintenant que nous avons commercialisé de nombreux servers Tse sur lesquelles nous avonstesté et paramétré tous nos logiciels. Cela signifie que la plupart de nos clients n'utilisent plus que lescapacités du server, la station en elle-même n'a plus d'utilité.

Tout cela va nous permettre de remplacer les stations par des clients de type Wyse S10, ces wyse n'ontn'y disques durs, n'y barrettes mémoires, ni ventilateurs ce qui signifie :

Un gain de place car le wyse est minuscule et peut même être fixé à l'arrière de l'écran.

Des pannes moins nombreuses et plus simples à résoudre.Moins de configurations à réaliser sur le poste et possibilité de sauvegarder celle-ci.

Un bruit quasi-inexistant.

En cas de panne il suffit de changer le wyse et remonter la configuration via un utilitaire.

Documents

Mise en place d'un réseau distant avec Windows Server 2003 via TSE