Mise en Place d'Une Solution VPN Entre Deux Sites

5/20/2018 Mise en Place d'Une Solution VPN Entre Deux Sites

1/32

Prpar par Encadr par:

RAPPORT DE PROJET DE FIN DEFORMATION

mise en place d'une solution vpnentre deux sites

Rafai Khadija

El Haji Mohamed

HachamJaber

Aytouna Fouad


2/32

RAPPORT DE PROJET DE FIN DE FORMATION BTS SRI

1

Nous ddions ce modeste travail :

Nos chers parents

Nos formateurs qui ont fournis un grand effort pour que nous

soyons la hauteur.

tout le corps de la direction de la division administrative

dINSTITUTPIMAS.

Nos collgues de la filire.

Et tous nos amis.

Et nous ddions ce travail aussi tous ceux qui nous ont aids pendant Cette

formation, avec nos sincres sentiments de respect et de reconnaissance.


3/32


2

Au terme de ce projet de fin dtudes, nous adressons nos sincres

remerciements Monsieur AYTOUNA Fouad , notre encadrant, ses avis

critiques sur lensemble du projet, sesconseils, et le temps quils nous

ont consacr malgr un emploi du temps dj bien charg,et tous les

professeurs qui nous a aids durant ces deux ans de formation,

Ainsi que tout le staff du service informatique pour les moyens quils

ont mis notre disposition afin dlaborer ce travail.

Nous souhaitons exprimer enfin notre gratitude et nos vifs

remerciements nos familles et nos amis pour leurs soutiens.


4/32


3

Pour finir, je remercie les membres du jury qui ont accept dvaluer

mon projet. Je leurs prsente toutes mes gratitudes et mes profonds

respects.


5/32


4

Introduction................................................................................................................................................... 4

Partie 1 :installation de windows server 2003 ............................................................................................. 5

Partie 2 :installation et configuration de serveur dacce distance........................................................... 12

Installation et activation du vpn .............................................................................................................. 12

Partie 3 : configuration dun client pour la connexion au serveur.............................................................. 18

Pourquoi VPN ( et non autres solution) .................................................................................................. 24

Protocoles de cryptage ............................................................................................................................ 24

Mthodes dauthenfication..................................................................................................................... 24

11SOLUTIONS ENVISAGEABLES ............................................................................................................... 25

1. Etude de solution ............................................................................................................................ 25

2. Choix de la solution ......................................................................................................................... 26

PROTOCOLES DE CRYPTAGE .................................................................................................................... 26

Diffrences entre PPTP et L2TP/IPSec ................................................................................................. 26

Scurit et authentification..................................................................................................................... 19

Conclusion ................................................................................................................................................... 31

Bibliographie et webographie ..................................................................................................................... 31

Commencer par methodes

dauthentification et apres les protocoles

de cryptage


6/32


5

Introduction

Aujourdhui, une grande majorit des grandes entreprises possdent leurs propres rseaux

Il sagit bien souvent de rseaux tendues Wan quelles constituent en reliant leurs diffrents sites.

Pour permettre leurs interconnections, elles sappuient sur desliaisons loues longues distances,sur des rseaux SMDS, des liaisons spcialises, des lignes numriques fibres optiques typesSONET/SDH

On la bien compris, les entreprises communiquent ainsi de plus en plus dannes en annes.Dans

ces conditions, linternet fournit des solutions idales dinterconnections avec une disponibilit de

couverture mondiale.

La solution VPN est idale pour pouvoir exploiter au mieux les capacits de ces rseaux des rseauxet relier des sites distants lchelle de la plante.

Nous nous proposons ici de prsenter le plus clairement possibles les enjeux qui endcoulent, les diffrentes offres proposes, les diffrents services possibles mais galement unetude prcise des technologies sur lesquelles ces solutions sappuient et en quoi elles sontessentielles pour lentreprise.

Essayer de parler sur votre travail. Ce que vous aller faire ?


7/32


6

Partie 1 :installation de windows server 2003

Windows Server 2003 est dsormais aussi facile installer que Windows XP.

C'est bien et assez rapide, mais il ne faudrait pas oublier que Windows Server 2003est un produit professionnel dont l'administration ncessite des connaissances, cecipourrait bien expliquer les problmes de scurit dont sont victimes les produits

Microsoft : tellement faciles installer que tout le monde peut le faire .

On dmarre le serveur sur le CD d'installation, on suit l'assistant et c'est termin auredmarrage suivant... (compter entre 20 et 50 minutes)

1.1.Boot et Partitions du Disque Dur

Bootez depuis le CD-ROM dinstallationde Windows 2003 Server, vous devez

obtenir ceci :

Aprs le Boot vous obtenez :


8/32


7

Appuyez sur Entre pour installerWindows maintenant :

Partitions du Disque dur :

Nous allons crer maintenant lespartitions pour notre serveur. Pour crerune partition appuyez sur latouche C puis dfinissez la taille. Faitesde mme avec lespace restant.

Appuyez sur la touche Entre pourformater le disque systme C: etdmarrer la copie des fichiers :

Nous formaterons le Disque D: quicontiendra les images Ghost aprs

linstallation.

Une fois la copie des fichiers dinstallation

termine, lordinateur doit redmarrer:


9/32


8

Cette fois-ci dmarrer normalement et non sur le CD-ROM dinstallation. Windowsreprendra la procdure dinstallation en installant les priphriques:

Vrifiez et validez les paramtres rgionaux:

Rentrez votre nom ainsi que votre organisation, votre cl dinstallation, le mode de

licence (licence par serveur, par priphrique ou utilisateur), le nom de lordinateur,votre mot de passe Administrateur, puis rgler la date et lheure :

Organiser le texte avec les captures dcran


10/32


9

Il est recommand de suivre les critres de mots de passe scuriss si vous souhaitezimplmenter la scurit.


11/32


10

Windows dtecte vos priphriques rseau et vous propose de les grer soit avec desparamtres par dfaut (dans le cas ou il y aurait dj un serveur DHCP sur le rseau)ou soit avec des paramtres personnaliss. Dansnotre situation,choisissez Paramtrespersonnaliss

Dans la liste, slectionnez Protocole Internet (TCP/IP) et cliquez sur Proprits, puisconfigurez vos paramtre TCP/IP et validez en cliquant sur OK:

On choisira une adresse IP fixe de classe B : 10.8.20.1 avec un masque de sous desous-rseau : 255.255.0.0


12/32


11

Maintenant on vous demande si vous voulez que cet ordinateur soit membre dun

domaine. Comme notre machine sera un Contrleur de Domaine alors il ne sera pasmembre dun domaine donc gardez par dfaut Non cet ord et WORKGROUP :

Ne charger pas trop votre rapport par des images

Juste le ncessaire

Linstallation se poursuit par la copie des Fin de linstallation de Windows 2003


13/32


12

Partie 2 :installation et configuration de serveur dacce distance

Installation et activation du vpn

Pour installer et activer un serveur VPN sur Windows 2003 serveur, procdezcomme suit :1) Tout d'abord, sur l'unit possdant VPN Microsoft Windows 2003, confirmezque la connexion Internet et la connexion votre rseau local d'entreprise (LAN)sont toutes les deux correctementconfigures, ceci est important pour les tapessuivantes:2) Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur

Routage et accs distant.

Cliquez sur le nom du serveur dans l'arborescence, puis sur Configurer etactiver le service Routage et accs distantdans le menu Action. Cliquez surSuivant.


14/32


13

Si on a une seule carte resau , dans Dans la bote de dialogue Configurations communes, cliquez sur Configurationpersonnalisepuis sur Suivant.

Couche sur accs VPN puis sur suivant.


15/32


14

Clicke sur terminer puis oui .

I. Configuration du serveur d'accs distant en tant que routeur :

1. Cliquezsur Dmarrer, pointezsur Outilsd'administration,puiscliquezsur Routageetaccs distant.


16/32


15

2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Proprits.

3. Cliquez sur l'onglet Gnra,puis activez la case cher Routeursous Activer cetordinateur en tant quepuis Cliquez sur Routage rseau local et de numrotation lademande, puis cliquez sur OKpour fermer la bote de dialogue Proprits.


17/32


16

II. Modification du nombre de connexions simultanes :

1. Double-cliquezsurl'objetserveur, cliquez avec le boutondroitsur Ports,puiscliquezsurProprits.

2. Dans la bote de dialogue Proprits de Ports, cliquezsur Miniportrseautendu WAN (PPTP), puissur Configurer.


18/32


17

3. Dans la zone Nombre maximum de ports, entrez le nombre de connexionsrseau priv virtuel que vous souhaitez autoriser, puis Cliquez sur OK, denouveau sur OK, puis fermez le service Routage et accs distant.

III. Accs par un compte d'utilisateur

1. Cliquezsur Dmarrer, pointezsur Outilsd'administration,puiscliquezsurUtilisateursetordinateurs Active Directory.


19/32


18

2. Cliquez avec le boutondroitsur le compted'utilisateur, puiscliquezsur Proprits,puisCliquezsurl'onglet Appel entrant, puisCliquezsur Autoriserl'accspourautoriserl'utilisateur effectuer un appel entrant. Cliquezsur OK.

Reorganiser le texte :

Police : time new roman

Taille des titres : 14

Sous titres : 13

Taille de exte : 12


20/32


19

Partie 3 : configuration dun client pour la connexion au serveur

1. Cliquezsur Dmarrer, sur Panneau de configuration, puissur Connexionsrseau.Cliquezsur Crerune nouvelle connexionsous Gestion du rseau, puissur Suivant.


21/32


20

2. Cliquezsur Connexion au rseaud'entreprisepour crer laconnexiond'accs distance. Cliquezsur Suivantpour continuer.


22/32


21

3. Cliquezsur Connexionrseauprivvirtuel, puissur Suivant.

4. Tapezun nom descriptif pour la connexiondans la bote de dialogue Nom dela socit, puiscliquezsur Suivant.


23/32


22

5. Tapezl'adresse IP ou le nom d'hte du serveur derseauprivvirtuel.puisterminer.

6. Cliquez sur Terminerpour enregistrer la connexion.


24/32


23


25/32


24

Partie 4 : tude de cas (solution propos par vous-mme)

Pourquoi VPN (et non autres solution)

Protocoles de cryptage

Mthodes dauthentification

Si une entreprise a vu que le nombre de ses employs voluer de faon significative. De plus, le

Matriel disposition tait obsolte. Il devenait ncessaire de mettre de nouvelles

Technologies en place. Cependant, la raison essentielle de la refonte du WAN est lie

Louverture dune nouvelle filiale.

En effet, lintrt des changes dinformations lectroniques entre cette entreprise et

La nouvelle filiale est un lment majeur. Lentreprise doit pouvoir fournir les outils et informations

ncessaires sa filiale pour accrotre son activit, et faciliter le retour dinformations de la filiale et

lintgration de cellesci dans les systmes du groupe.

Or, larchitecture actuellement mise en place ne permet datteindre lobjectif fix : savoir

la mise en place dune interconnexion de site fiable, scuris et performante. De plus dans

une perspective dvolution les dirigeants souhaiteraient pouvoir accder aux informations

privs de lentreprise depuis nimporte quel endroit, tant sur le plan nationalquinternational.

Facilit : La solution choisie se doit dtre simple daccs pourles utilisateurs

Scurit : La solution retenue doit permettre de protger efficacement laccs auxInformations. Pour

cela, il doit y avoir une authentification des utilisateurs assure par des login et des mots de passe. On

pourrait galement utiliser les certificats numriques de faon simple laide dune interface

dadministration accessible depuis Internet. De plus, ilfaut protger l'intgrit des informations enajoutant, en plus de ceux effectus sur le cur de rseau, des contrles toutes les phases : filtrage,

cryptage, certificat. Il en va de mme pour la confidentialit des donnes qui est garantie par les droits

daccs qui sontrigoureusement contrls et administrs, mais aussi par les outils mis en place (pare

feu, passerelle VPN).

Reporting: On doit pouvoir tout moment :

connatre ltat du rseau local.

visualiser les moyennes de trafic sur les flux entrants et sortants.

Utilisateurs potentiels : Employs de lentreprise et la nouvelle filiale. De plus la solution doit

permettre laccs aux informations prives de lentreprise depuis un PC portable, quelquesoit le pays.

Connexion Internet et lentreprise: Lutilisateur devra pouvoir de son poste accder

simultanment Internet et au rseau interne mis en place.

Management : La future solution doit tre entirement administre distance laide dunsite web.

Lentreprise doit pouvoir administrer les comptes dutilisateur de ses filiales.

Capacit et volutivit : Dans le cadre de lvolution de son rseau, CARIBIKESsouhaite sappuyer

sur la solution pour dployer lavenir lensemble de ses connexions Intranet. Lasolution qui sera

choisie devra tre dune grande flexibilit et offrir plusieurs services.

Exigences oprationnelles :


26/32


25

pas dinterruptions de servicessuprieures 4 heures.

mise jour des nouvelles versions logicielles.

11SOLUTIONS ENVISAGEABLES

1. Etude de solutionIl existe beaucoup de solutions dinterconnexion de sites, jai donc effectu dans unpremier temps des

recherches sur les solutions mises disposition sur le march.

VPNLe but de la solution VPN (Virtual Private Network) est de pouvoir faire communiquer distance les

employs distants et les partenaires de l'entreprise de faon confidentielle, et ceci en utilisant Internet.

Il s'agit de crer un canal de communication protg traversant un espace public non protg. Chacun

des membres du rseau VPN peut tre un rseau local (LAN) ou un ordinateur individuel.

Un VPN fonctionne en encapsulant les donnes d'un rseau l'intrieur d'un paquet IP ordinaire et en le

transportant vers un autre rseau. Quand le paquet arrive au rseau de destination, il est dcapsul et

dlivr la machine approprie de ce rseau. En encapsulant les donnes et en utilisant des techniques

de cryptographie, les donnes sont protges de l'coute et de toute modification pendant leur

transport au travers du rseau public.

Avantages de la solut ion:

Favorise l'volutivit et offre de vastes possibilits grce Internet. Le VPN permet l'ouverture du

rseau selon les besoins ou les ncessits, en y ajoutant une grande souplesse et une grande ractivit.

Plus facile grer que les rseaux bass sur des technologies classiques car c'est loprateur de

services qui est charg de lexploitation du rseau VPN.

Rduction des ressources humaines et financires de lentreprise affectes lutilisation du VPN. Do

une baisse du cot global, en particulier pour les entreprises possdant un rseau avec une

configuration complexe.

Solution trs avantageuse conomiquement parlant. Internet VPN a t conu pour relier unmoindre cot les employs distants et les partenaires de l'entreprise, puisque l'entreprise ne paye que

l'accs Internet.

Solution scurise puisque le VPN est un rseau priv reposant sur 2 lments : lauthentification et

lencryptage.

Inco nvnien ts de la so lut ion :

Le VPN doit tre tabli entre chaque station. En effet une station ne possdant pas l'application VPN

ne pourra pas communiquer avec les autres, et la scurisation entre cette station et l'entre du VPN ne

sera pas active. Pour les clients nomades, il faut installer un logiciel sur les PC portables et maintenir le

parc niveau de faon rgulire. Il est savoir que plus le nombre de sites est important, plus la stabilit

dela solution s'amoindrie et plus VPN est lourd dployer. Dsavantages lis lencryptage gnr par le VPN : le branchement est lgrementplus lent,

lordinateur consomme plus de ressource, et il faut ajouter une tape pourse brancher au point de

destination.

Ncessit de respecter les rglementations nationales en vigueur sur le chiffrement, sans compter que

la gestion des cls est assez complexe. De mme, la qualit de service est difficilement grable et la mise

en place de QoS trs limite.


27/32


26

Cot des passerelles VPN relativement levs. En effet, le matriel ncessaire la mise en place de

VPN est relativement cher, mme si par la suite cette solution permet l'entreprise de nombreuses

conomies tant dans la gestion que dans la maintenance du rseau VPN.

2. Choix de la solution

En dfinitif, CARIBIKES a choisi la solution VPN car elle sappuie sur Internet, ce quipermet un rseaumondial, premire exigence des dirigeants. De plus, Lentreprise souhaitait que la solution choisie soit

facile daccs, ce que permetgalement le VPN.

Pour prendre la dcision qui semblait la plus adapte l'entreprise, lentreprisea regard autant le cot

d'achat de matriel, que celui de la mise en place, et de l'exploitation.

La solution VPN est certes plus chre l'achat, mais permet des conomies importantes, notamment

par rapport la solution anciennement en place. En effet, avec VPN et l'utilisation de lADSL il s'agit de

payer un abonnement, ce qui est relativement moins onreux.

PROTOCOLES DE CRYPTAGE

Dans Windows 2003, le protocole de rseau priv virtuel est constitu des composants suivants :

1 serveur VPN, 1(n) client(s) VPN, 1 connexion VPN (ceci est la partie de la connexion o lesdonnes sont cryptes) et du tunnel (la partie de la connexion o les donnes sont encapsules).La tunnellisation est effectue grce l'un des protocoles de tunnellisation inclus dans Windows2003 (existant dj sous 2000), qui sont tous les deux installs avec le service Routage et accsdistant, ou service appel "RRAS" (Routing and Remote Access). Les deux protocoles principaux detunnellisation inclus avec Windows 2003 sont :- PPTP (Point-to-Point Tunneling Protocol) qui assure le cryptage des donnes l'aide du Cryptagepoint point Microsoft Corporation.- L2TP (Layer Two Tunneling Protocol) qui lui assure le cryptage, l'authentification et l'intgritdes donnes l'aide du protocole IPSec.Notons cependant qu'il est recommand que votre connexion Internet utilise une ligne spcialisede type T(n) fractionnel ou relais de trames. La carte WAN doit tre configure avec l'adresse IP etle masque de sous-rseau attribus votre domaine ou fournis par un provider, ainsi qu'avec lapasserelle par dfaut du routeur ISP.

Diffrences entre PPTP et L2TP/IPSec

Nous venons de voir que Windows 2003 supporte deux protocoles VPN qui sont les suivants:- Le protocole PPTP (point to point tunneling protocol)- Le protocole L2TP (layer 2 tunneling protocol).Le protocole PPTP utilise la mthode de chiffrement MPPE (Microsoft Point to point encryption)tandisque L2TP est bas sur IPSec. Cependant, pour avoir une communication chiffre avec le protocole

PPTPil est ncessaire d'avoir utilis l'une des mthodes suivantes d'authentification:- MS-CHAP v1 ou v2- EAP/TLS pour les cartes puces.(IPSec ne requiert aucune mthode d'authentification particulire)


28/32


27

La mthode MPPE permet de chiffrer sur 40,56 et 128 bits; pour pouvoir utiliser le cryptage sur 128 bitsil tait ncessaire d'avoir installer le High encryption pack (inclus dans le service pack3) et d'installer un

patch correcteur pour les versions 95 et 98 de Windows mais avec Windows 2003 cela est rsolu.

Voici un tableau des principales caractristiques des protocoles PPTP et L2TP3.

Cette image a traiter

Et attention au copie /coller


29/32


28

Scurit et authentification

La scurit est une proccupation essentielle des VPNs.

Les tunnels quils utilisent peuvent tre bass sur une solution de niveau 2 type PPTP, L2T, de niveau 3 type IPSecou de niveau 7 type HTTPS.

a ) Comment scuriser tout type de flux ?

Comment accder aux applications dentreprises en toute scurit?

Au niveaupaquets avec IPSEC

Pour grer ce type de besoins pour un accs partir de nimporte quel portable chez soi ou sur internet, on peut

utiliser une solution de niveau 3 via IPSec .

IPSec se situe juste au dessus dIP.Il est possible aussi bien sur Ipv6 que sur Ipv4.

La confidentialit et lintgrit des donnes est assure par des tunnels IPSec et ce pour tout type de flux quelqui

soit.

Cette scurit se gre au niveau paquet et est indpendante de lapplication.

IPSec fournit un encryptage flexible et lauthentification etle contrle dintgrit des messages.

IPSecgre aussi la gestion des cls de cryptage .


30/32


29

Ce mcanisme est celui le plus utilis pour la gestion des VPNs dentreprises.

Enfin, lauthentification est gre par token ou carte puce.

Voici un rsum des technologies quon peut rencontrer dans sa mise en oeuvre.

Au niveau 2 : PPTP, L2TP

PPTP Point To Point Tunneling Protocol

Les accs distants peuvent tre grs par une solution de niveau 2 VPN grce PPTP.

Les produits windows distribuent cette solution .

PPTP correspond une volution de PPP.

Encryption

Message

Authentication

Entity

Authentication

Key Management

DES, 3DES, and more

HMAC-MD5, HMAC-SHA-1, or others

Digital Certificates, Shared Secrets,Hybrid

Mode IKE


31/32


30

Il permet de de grer une multitude de protocole de la couche suprieure rseau (commectait dj le cas avec

PPP : IPX,IP).

Il utilise un encryptage et une authentification cependant on sait que ses scurits sont vulnrables.

L2TP Layer 2 Tunneling Protocol

Il sagit dun autre protocole daccs distant VPN de niveau 2. Il combine et tend L2F (Cisco) et PPTP.

Lencryptage et lauthentification restent faibles.Il ne gre pas lauthentification des paquets, lintgrit des

donnes ou la gestion des cls.

Il doit tre combin avec IPSec si on souhaite atteindre un niveau de scurit suffisant pour lentreprise.

Remote PPTPClient

Corporate Network

ISP Remote Access

Switch

Internet

L2TP Server

Corporate Network

Remote L2TP Client

ISP L2TP Concentrator


32/32


31

Attention au copie coller , vous devez rediger votre travaille par vous-

mmeReorganiser votre texte (police et taille)

Minimiser le nombre dimages que possibleIl ne faut pas ecrire ce vous ne connaissez pas.

Vous serez questionn le jour de la soutenance.

Conclusion

Bibliographie et web

Documents

Mise en Place d'Une Solution VPN Entre Deux Sites