Google
 

/Technologie/VPN IPSEC sous Windows 2003 

VPN Sous Windows 2003 - Mise en pratique

Auteur: Olivier Borgeaud, Informaticien Diplômé Version 2, le 14 avril 2008

Table des matières

Introduction

Qu'est-ce qu'un VPN ?

A propos de ce tutoriel…

Pré requis et configuration initiale des machines

Disposer de deux machines, un serveur Windows 2003 et un client XP

Paramètres réseau du serveur DC1

Paramètres réseau du pc PC1Test de connectivité

Installer Active Directory sur le serveur DC1

Installation du serveur VPN et configuration des options générales

Introduction

Activer et configurer le routage et l’accès distant sur DC1

Configurer le serveur VPN pour attribuer des adresses IP aux clients

Créer un compte VPN autorisé

Créer une connexion PPTP de test

Installer un serveur de certificat

Introduction

Installez le serveur Web IIS

Installez le service de certificats

Ajouter le modèle IPSEC

Installer le certificat pour le VPN L2TP sur le serveur DC1

Récupérer le certificat depuis le client par le WEB

Installer la chaine de certificats de l’autorité de certification

Certificat de l'Autorité de certification

Installer le certificat pour le VPN L2TP sur le client PC1

Pour contrôler où se trouve le certificat installé pour le VPN Configurer le VPN depuis le client

Contrôle sur le serveur des connexions

Installation automatique du certificat

Introduction

Mettre la machine en domaine

GPO pour l’allocation automatique de certificat

GPO pour la confiance des machines à l’autorité de certification racine d’entreprise

Lier et appliquer les deux GPO Rafraîchir les stratégies de groupe

Contrôler que le certificat a bien été installé sur PC1

Contrôler que le certificat a bien été délivré par DC1

Révoquer un certificat Introduction…à un scénario catastrophe

Révoquer le certificat

Configurez le serveur Routage et Accès distant

Désactiver PPTP

Réduisez le nombre de ports L2PT / IPSEC

Mise en place d’une stratégie d’accès distant

Stratégie d’accès distant

Groupe global de sécurité

Créez une stratégie d’accès

Essais de la connexion

Réservation d’une IP fixe

Créer un compte spécifique

Ajoutez l’utilisateur fix_app_ip au groupe de sécurité VPN

Vérifier le fonctionnement du profil

Enregistrement des évènements sur le serveur d’accès réseau

Effacez les évènements du journal Système

Configurez les évènements à auditer

Vérifiez que les évènements sont bien enregistrés dans le journal Système

Configurez l’enregistrement de la gestion des comptes

Etablissez la connexion VPN

Vérifiez que le fichier journal a bien été créé

Configuration de la journalisation pour les connexions L2TP/IPSec

Créez une stratégie de groupe

Liez et appliquez la GPO

Rafraichissez les paramètres

Tester la journalisation

Visualisez le journal Sécurité

Activez l’enregistrement Oakley

Erreurs et mitigation

Erreur 781

Erreur 786

Erreur 789

Conclusion

Tarifs pour l’emploi de ce document

Introduction

Beaucoup de sociétés souhaitent disposer d’un VPN (Virtual Private Network ou réseau virtuel privé), et bien qu’il existe des appliances dédiés à cela, il est aussi intéressant de montrer que Windows 2003 server est capable d’offrir cette fonctionnalité avec une sécurité n’ayant rien à envier aux périphériques spécialisés, avec en plus une intégration particulièrement réussie avec l’Active Directory, permettant de gérer finement machines et utilisateurs

Qu'est-ce qu'un VPN ?

Un VPN est un lien virtuel créé entre un réseau d'entreprise LAN et un utilisateur extérieur relié à ce réseau par un accès utilisant Internet

Il se compose d’un serveur VPN (dans l’entreprise) qui gère les différentes autorisations, et d’un ou plusieurs clients VPN (les employées), qui s’y connectent pour utiliser les ressources internes du réseau LAN de l’entreprise
Les applications sont multiples, et cela peut concerner le télétravail de la secrétaire qui souhaite accéder à l’entreprise depuis son domicile, en passant par le représentant d’assurance qui se connecte directement à l’ordinateur central par le réseau UMTS afin de proposer des offres directement depuis son laptop

A propos de ce tutoriel…

Ce tutoriel n’est pas gratuit ! Les conditions sont indiquées tout à la fin de ce document. Je l’ai rédigé dans le cadre d’un cours système que je donne dans un institut de formation. Il est fait pour que tout un chacun puisse installer un VPN, et fournit quelques explications, ainsi que la correction aux messages d’erreurs survenant fréquemment dans cette exercice délicat

Pré requis et configuration initiale des machines

Disposer de deux machines, un serveur Windows 2003 et un client XP

Le serveur Windows 2003 doit avoir été installé avec le service pack 2 ainsi que les dernières mises à jour. Son nom de machine est DC1

Le client XP doit avoir été installé avec le service pack 2 ainsi que les dernières mises à jour. Son nom de machine est PC1

La version Windows 2003 serveur peut être téléchargée chez Microsoft et utilisée gratuitement pendant 120 jours pour vos essais

La version Windows XP nécessite une licence

Ces machines peuvent parfaitement avoir été installées dans une machine virtuelle VMWARELa version VMWARE SERVER est téléchargeable gratuitement, et peut être installée sur un poste de travail XP. Il est nécessaire en plus d’installer sur ce même poste la console afin de pouvoir gérer les machines virtuelles

Paramètres réseau du serveur DC1

Le serveur Windows 2003 doit être installé avec les paramètres réseaux suivants

IP  192.168.1.12

MASK 255.255.255.0

DNS 192.168.1.12 (le serveur deviendra DNS lors de l’installation d’Active Directory)

Paramètres réseau du pc PC1

PC1 doit être installé avec les paramètres réseaux suivants

IP  192.168.1.24

MASK 255.255.255.0

DNS 192.168.1.12 (le serveur deviendra DNS lors de l’installation d’Active Directory)

Test de connectivité

Les deux machines doivent pouvoir communiquer sur le réseau. Tester la connectivité avec la commande ping et les machines doivent se répondre

Tapez cmd dans la boite de dialogue Exécuter, puis cliquez sur le bouton OK

Utilisez la commande ipconfig /all pour afficher les paramètres TCP/IP et vérifiez que votre ordinateur est bien dans le même sous-réseau que celle de votre partenaire

Depuis DC1 ping 192.168.1.24

Depuis PC1 ping 192.168.1.12

Installer Active Directory sur le serveur DC1

Le serveur DNS est évidemment un pré requis pour l’Active Directory, et il s’installera lors du processus d’installation

Ouvrez le menu Démarrer puis sélectionnez Exécuter

Tapez dcpromo puis validez Suivez l’assistant d’installation

Après le redémarrage, contrôler que vous avez bien les Outils d'administration dans la console correspondante

Installation du serveur VPN et configuration des options générales

Introduction

Le premier test de connexion d’accès distant se fera depuis PC1 en utilisant le protocole VPN PPTP (Point To Point Tunneling protocol), très simple à configurer mais moyennement sécuriséEnsuite, nous configurerons la connexion d’accès distant en utilisant le protocole VPN L2PT, bien plus sécurisé, mais complexe dans sa mise en œuvre car il nécessite en plus l’installation d’une Autorité de certification

Activer et configurer le routage et l’accès distant sur DC1

Afin de pouvoir authentifier les connexions VPN à distance, il faut activer le service d’accès distant sur le serveur DC1

Ouvrez le menu Démarrer, pointez sur Outils d’administration puis cliquez sur Routage et Accès distant

Dans la console MMC, faites un clic droit sur SERVEUR, puis cliquez sur Configurer et activer le routage et l’accès distant

Dans l’assistant Installation du serveur de routage et d’accès distant, cliquez sur le bouton Suivant

Dans la fenêtre Configuration, choisissez Configuration personnalisée, puis cliquez sur le bouton Suivant

Côchez ensuite la case Accès VPN et cliquez sur le bouton Suivant puis sur le bouton Terminer pour quitter l’assistant

Cliquez sur le bouton Oui pour démarrer le service

Configurer le serveur VPN pour attribuer des adresses IP aux clients

Comme nous n’avons pas de serveur DHCP pour donner des adresses IP aux clients VPN se connectant au réseau, nous allons spécifier une plage d’adresse réservée

Dans la console Routage et accès distant, faites un clic droit sur DC1, puis sélectionnez Propriétés

Dans la section Attribution d’adresses IP de l’onglet IP, sélectionnez Pool d’adresses statiques, puis cliquez sur le bouton Ajouter

Saisissez 192.168.1.40 dans le champ Adresse IP de début et 192.168.1.60 dans le champ Adresse IP de fin

Cliquez deux fois sur le bouton OK pour valider la modification

Créer un compte VPN autorisé

Par défaut, un utilisateur ne possède pas les droits de se connecter à distance, pas plus que l’administrateur du domaine. Comme il est peu recommandé d’autoriser ce dernier aux connexions entrantes, nous allons créer un utilisateur nommé usr_vpn qui possédera le droit de se connecter à distance

Depuis le serveur DC1

Ouvrez le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory

Développez entreprise.lan dans la console Utilisateurs et ordinateurs Active Directory

Faites un clic droit sur le conteneur Users, sélectionnez Nouveau, puis Utilisateur

Dans la fenêtre Nouvel objet – Utilisateur, saisissez la chaîne de caractère usr_vpn dans la zone de texte Nom complet et dans la zone de texte Nom d’ouverture de session de l’utilisateur. Cliquez ensuite sur Suivant

Décochez la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis entrez P@ssw0rd dans les champs Mot de passe et Confirmer le mot de passe

Cliquez sur les boutons Suivant, puis Terminer pour valider la création de l’utilisateur

Faites un clic droit sur l’utilisateur nommé usr_vpn à l’intérieur du conteneur Users, puis sélectionnez Propriétés

Cliquez sur l’onglet nommé Appel entrant

Dans la section Autorisation d’accès distant (appel entrant ou VPN), choisissez Autoriser l’accès. Cliquez ensuite sur le bouton OK pour valider la modification

Créer une connexion PPTP de test

Sur la machine PC1, créer une connexion VPN PPTP afin tester le fonctionnement du serveur de VPN

Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic droit sur Connexions réseau, puis choisissez Ouvrir

Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle connexion
Cliquez sur Suivant >, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant

Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis cliquez sur le bouton Suivant

Saisissez Connexion de test au serveur VPN dans la zone de texte Nom de la société, puis cliquez sur le bouton Suivant

Dans le champ Nom d’hôte ou adresse IP entrez 192.168.1.12, puis validez ce choix en cliquant sur le bouton Suivant

Cliquez sur le bouton Suivant, puis sur le bouton Terminer pour quitter l’assistant

Installer un serveur de certificat

Introduction

Alors qu’il est simple de configurer un VPN avec PPTP, il est plus complexe de configurer un VPN avec L2PT, qui nécessite l’installation d’un serveur de certificats afin d’installer le certificat sur la machine initiant la connexion L2PT

Il y’a plusieurs manière d’installer le certificat sur la machine cliente. Une des possibilités est de se connecter au serveur de certificat par un navigateur WEB, de soumettre une demande de certificat puis de le récupérer et l’installer sur sa machine. Pour cette opération, il n’est pas nécessaire que la machine cliente fasse partie du domaine

Une autre possibilité, qui sera étudiée plus tard, est d’automatiquement installer le certificat sur les postes clients en utilisant une stratégie (GPO) avec l’Active Directory. Pour cela, les machines doivent faire partie du domaine, mais cette solution est plus pratique pour gérer un grand nombre de machine avec le minimum de manipulations

Le serveur de certificats nécessite préalablement l’installation du service IIS (Internet Information Server) pour fonctionner

Installez le serveur Web IIS Installez le serveur Web IIS Sur DC1, il faut installer le serveur IIS (Internet Information Server), qui permettra de distribuer les certificats sur requêtes HTTP

Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes

Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows
Dans la fenêtre Assistant de Composants Windows, côchez la case serveur d’applications, puis cliquez sur le bouton Suivant

Lorsque le programme vous le demande, insérez le CD-ROM de Windows Server 2003

Une fois l’installation arrivée à son terme, cliquez sur le bouton Terminer

Installez le service de certificats

Sur DC1, il faut installer le serveur de certificats, qui permettra de fournir et gérer les différents certificats, comme les répudier au besoin

Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes

Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows

Dans la fenêtre Assistant de Composants Windows, côchez la case services de certificats

Si une fenêtre vous avertissant qu’une modification de l’appartenance au domaine entraînera l’invalidité des certificats, cliquez sur le bouton Oui

Cliquez sur le bouton Suivant, vérifiez que l’option Autorité racine d’entreprise est côchée, puis cliquez de nouveau sur le bouton Suivant

Entrez ROOT-CA dans le champ Nom commun de cette autorité de certification et 10 dans le champ Période de validité, puis cliquez deux fois sur le bouton Suivant

Si un message vous demande de remplacer une clé qui existe déjà, cliquez sur Oui

Si un message vous averti que le service IIS va être temporairement arrêté, cliquez sur le bouton Oui

Lorsque le programme vous le demande, insérez l’image ISO ou le CD-ROM de Windows Server 2003

Si une boite de dialogue vous demande d’activer le support de l’ASP sur le serveur Web, cliquez sur le bouton Oui

Cliquez sur le bouton Terminer pour quitter l’assistant Composants de Windows

Ajouter le modèle IPSEC

Il est préférable d’ajouter un certificat qui ne servira qu’à la connexion VPN L2PT, bien que le certificat administrateur puisse convenir à tous les usages

Pour cela ouvrir la console MMC Autorité de certification

  • Cliquez avec le bouton droit sur l’élément Modèles de certificats, nouveau, modèle de certificat à délivrer

Choisissez IPSEC (requête hors connexion)

Sélectionner IPSEC (requête hors connexion) puis ok

Installer le certificat pour le VPN L2TP sur le serveur DC1

Cette opération ne doit être faite qu’une seule fois !

Ouvrir un navigateur et se connecter sur http://192.168.1.12/certsrv

Dans la fenêtre de sécurité, rentrer l’utilisateur administrateur et son mot de passe (oui seul un administrateur du domaine peut installer un de ses certificats sur une machine ne faisant pas partie du domaine…)

Demander un certificat

demande de certificat avancée

Créer et soumettre une demande de requête auprès de cette Autorité de certification.

Dans l’écran du certificat, choisir

Modèle de certificat : IPSEC (requête hors connexion)

Informations d'identification pour les modèles hors connexion : Entrer un nom

Stocker le certificat dans le magasin de certificats de l'ordinateur local : Cocher l’option

Dans la fenêtre du certificat Certificat émis, cliquer pour installer le certificat

Valider par Oui le message d’avertissement suivant

Ensuite vous recevez un message Votre nouveau certificat a été correctement installé

Cliquez sur le bouton démarrer, puis cliquez Exécuter, et tapez gpupdate pour rafraichir le système

Cliquez sur le bouton démarrer, puis cliquez Exécuter, et tapez cmd puis enter

Dans la boite de commande, tapez Net Stop policyagent puis ensuite Net Start policyagent afin de rafraichir les stratégies IPSEC du serveur

Relancer le service d’accès distant

Ce certificat est installé dans les emplacements suivants

Certificats – Ordinateur local / Personnel / Certificats

Récupérer le certificat depuis le client par le WEB

Le serveur de certificat ayant été installé, nous allons récupérer un certificat afin de configurer cette fois une connexion VPN L2PT. Depuis la machine PC1

Installer la chaine de certificats de l’autorité de certification

Afin d’ajouter le certificat correspondant, nous devons tout d’abord autoriser l’autorité de certification créée précédemment sur notre client PC1, afin de pouvoir par la suite lui faire accepter le certificat correspondant

Ouvrir un navigateur et se connecter sur http://192.168.1.12/certsrv

Dans la fenêtre de sécurité, rentrer l’utilisateur administrateur et son mot de passe (oui seul un administrateur du domaine peut installer un de ses certificats sur une machine ne faisant pas partie du domaine…)

Cliquer sur Télécharger un certificat d'autorité de certification, une chaîne de certificats ou une liste de révocation de certificats

Cliquer sur Installez cette chaîne de certificats d'Autorité de certification

Cette opération permet d’approuver tous les futurs certificats qui seront installé sur la machine

Ensuite le message suivant apparait

Ce certificat est installé dans les emplacements suivants

« Certificats – Utilisateur actuel / Autorités de certification racines / Certificats

Certificat de l'Autorité de certification

Retourner dans http://192.168.1.12/certsrv/

Cliquez sur Télécharger un certificat d'Autorité de certification, une chaîne de certificats ou la liste de révocation de certificats

Cliquez sur Télécharger un certificat de l'Autorité de certification

Cliquez sur Ouvrir

Cliquez sur Installer le certificat

Suivez les instructions

Cliquez sur Afficher les magasins physiques

Sélectionner Autorité de certification racines de confiance / Ordinateur local

Cliquez sur OK

Ce certificat est installé dans les emplacements suivants« Certificats – Utilisateur actuel / Autorités de certification racines / Certificats (Il apparait 2 fois)« Certificats – Ordinateur local / Autorités de certification racines / Certificats (Il apparait 1 fois)

Installer le certificat pour le VPN L2TP sur le client PC1

Cette opération est parfaitement identique à celle effectuée auparavant sur le serveur

Ouvrir un navigateur et se connecter sur http://192.168.1.12/certsrv

Dans la fenêtre de sécurité, rentrer l’utilisateur administrateur et son mot de passe (oui seul un administrateur du domaine peut installer un de ses certificats sur une machine ne faisant pas partie du domaine…)

Demander un certificat

demande de certificat avancée

Créer et soumettre une demande de requête auprès de cette Autorité de certification.

Dans l’écran du certificat, choisir

Modèle de certificat : IPSEC (requête hors connexion)

Informations d'identification pour les modèles hors connexion : Entrer un nom

Stocker le certificat dans le magasin de certificats de l'ordinateur local : Cocher l’option

Dans la fenêtre du certificat Certificat émis, cliquer pour installer le certificat

Valider par Oui le message d’avertissement suivant

Ensuite vous recevez un message Votre nouveau certificat a été correctement installé

Cliquez sur le bouton démarrer, puis cliquez Exécuter, et tapez gpupdate pour rafraichir le système

Ce certificat est installé dans les emplacements suivants :

Certificats – Ordinateur local / Personnel / Certificats

Pour contrôler où se trouve le certificat installé pour le VPN

Cliquer sur démarrer, puis exécuter. Tapez MMC

Ajouter/Supprimer un logiciel enfichable

Cliquet sur Ajouter…

Sélectionner Certificats, puis ajouter

Sélectionner mon compte d’utilisateur

Cliquez sur Terminer

Puis cliquez encore une fois sur ajouter

Cette fois sélectionner le compte de l’ordinateur

Puis cliquez sur Terminer, puis sur Fermer, puis OK


Vous devez vous retrouver avec une console ressemblant à cela. Enregistrer là

Le certificat que vous avez généré puis importé doit se trouver dans le conteneur Certificats (Ordinateur local) / Personnel / Certificats

Configurer le VPN depuis le client

Depuis la machine PC1

Allez dans les propriétés de Connexions réseau

Lancer l’assistant Créer une nouvelle connexion

Connexions réseau Connexions réseau

Type de connexion connexion au réseau d’entreprise

Connexion réseau virtuel

Nom de la société borgeaud security (texte libre)

Nom d’hote ou adresse IP 192.168.1.12

Créer cette connexion pour tous les utilisateurs

Terminer

Il faut ensuite aller dans les propriétés de la connexion crée, puis sous l’onglet Gestion de réseau. Par défaut, le paramètre est en mode automatique, et la connexion s’effectuera généralement en mode PPTP, ce qui n’est pas ce nous recherchons

Dans Type de réseau VPN, il faut forcer VPN L2PT IPSEC

Pour tester, double cliquer sur la connexion crée, et dans la fenêtre de sécurité qui apparait, rentrer l’utilisateur VPN définis usr_vpn et son mot de passe, puis OK

La connexion doit s’initialiser et indiquer que la connexion est en mode L2PT

Contrôle sur le serveur des connexions

Sur le serveur DC1, nous allons monitorer la connexion en cours

Ouvrer la console Routage et accès distant

Sur l’élément Clients accès distant, vous devez voir la connexion active

Sur l’élément Ports, vous devez voir que la connexion en cours utilise bien un port L2PT (et non pas PPTP)

Installation automatique du certificat

Introduction

Comme mentionné précédemment, il est possible de créer une stratégie (GPO) pour installer automatiquement les certificats souhaités sur les machines connectées au domaine

Chaque machine recevra un certificat nominatif, comme PC1.BORGEAUD.LOCAL pour notre machine d’exemple

Cela permet de réduire drastiquement les opérations nécessaires aux administrateurs ou aux utilisateurs

Cette opération se fait en créant 2 GPO distincte, la première qui informe l’ordinateur du domaine qu’il doit recevoir un certificat, et la seconde qui indique à l’ordinateur le certificat qui doit être stocké dans son magasin

Mettre la machine en domaine

Cette procédure ne fonctionne qu’avec des machines inscrites dans le domaine. Pour mettre la machine PC1 dans le domaine créé précédemment

Cliquez sur le menu Démarrer, pointez sur Panneau de configuration et sélectionnez Système

Dans l’onglet Nom de l’ordinateur, cliquez sur le bouton Modifier…

Dans l’encadré Membre de, cliquez sur domaine, saisissez BORGEAUD.LOCAL dans le champ approprié, puis cliquez sur le bouton OK

Saisissez les informations d’identification (login/password) du compte Administrateur du serveur, puis cliquez sur le bouton OK

Redémarrez impérativement votre ordinateur lorsque l’on vous le demande

GPO pour l’allocation automatique de certificat

Cette GPO se crée sur le serveur DC1. L’idéal est d’installer la console Gestion des stratégies de groupe (GPMC) téléchargeable sur le site de Microsoft. Elle simplifie la gestion des GPO par rapport à l’outil livré de base

Développez Forêt : BORGEAUD.LOCAL

Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau

Dans la zone de texte Nom, entrez GPO_ Allocation_Certificats_PC, puis cliquez sur le bouton OK

Faites un clic droit sur l’objet stratégie de groupe nommé GPO_Allocation_Certificats_PC, puis sélectionnez Modifier

Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres Windows / Paramètres de sécurité, puis Stratégies de clé publique

Faites un clic droit sur Paramètres de demande automatique de certificat, puis sélectionnez Nouveau / Demande automatique de certificat…

Dans l’assistant Création de demandes automatiques de certificats, cliquez sur le bouton Suivant

Dans la page Modèle de certificat, sélectionnez Ordinateur, puis cliquez sur le bouton Suivant

Cliquez sur le bouton Terminer pour quitter l’assistant

Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe

GPO pour la confiance des machines à l’autorité de certification racine d’entreprise

Développez Forêt : BORGEAUD.LOCAL

Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau

Dans la zone de texte Nom, entrez GPO_Configuration_CA, puis cliquez sur le bouton OK

Faites un clic droit sur l’objet stratégie de groupe nommé GPO_Configuration_CA, puis sélectionnez Modifier

Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres Windows / Paramètres de sécurité, puis Stratégies de clé publique

Faites un clic droit sur Autorités de certification racines de confiance, puis sélectionnez Importer…

Dans l’assistant Importation de certificats, cliquez sur le bouton Suivant

Dans la page Fichier à Importer, cliquez sur le bouton Parcourir…

Sélectionnez le fichier de certificat correspondant à l’autorité de certification racine d’entreprise de votre domaine dans c:\WINDOWS\system32\certsrv\CertEnroll (DC1.BORGEAUD.LOCAL_BORGEAUD HIGH SECURE.crt)

Une fois cette opération effectuée, cliquez deux fois sur le bouton Suivant puis sur le bouton Terminer pour quitter l’assistant Importation de certificat

Une boite de dialogue vous avertissant que l’importation s’est terminée correctement apparaît, cliquez sur le bouton OK

Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe.

Lier et appliquer les deux GPO

Liez et appliquez les deux GPOs créées précédemment au niveau du domaine à l’aide de la console GPMC. Afin que ces GPO soient appliquées de manière forcées sur toutes les OU inférieurs qui pourraient être crées éventuellement par la suite, nous allons en plus valider l’option Appliqué (enforced en anglais, ce qui est tout de même plus explicite ;>)

Développez Forêt : BORGEAUD.LOCAL

Sélectionner la première des deux GPO et faite un drag and drop sur le domaine BORGEAUD.LOCAL, et validez OK au message Voulez-vous lier à ce domaine les objets GPO que vous avez sélectionnés ?

Sélectionner la seconde des deux GPO et faite un drag and drop sur le domaine BORGEAUD.LOCAL, et validez OK au message Voulez-vous lier à ce domaine les objets GPO que vous avez sélectionnés ?

Faite un clique droite sur la première GPO et cliquez sur Appliqué pour Imposer la liaison d'objets de stratégie de groupe

Faites-en de même sur la seconde

Quittez la console GPMC

Rafraîchir les stratégies de groupe

Les stratégies de groupes précédemment crées ne fonctionneront que lors du rafraichissement du serveur DC1 et de l’ordinateur PC1. Nous allons forcer ce rafraichissement avec la commande gpupdate

Sur le serveur DC1

Ouvrez le menu Démarrer puis sélectionnez Exécuter

Saisissez la commande gpupdate.exe /force, puis cliquez sur le bouton OK

Sur la machine PC1

Ouvrez le menu Démarrer puis sélectionnez Exécuter

Saisissez la commande gpupdate.exe /force, puis cliquez sur le bouton OK

Contrôler que le certificat a bien été installé sur PC1

Si l’on se rend dans l’observateur d’événements de PC1, sous Applications, nous devons avoir un événement d’information ID 19 indiquant qu’un certificat doit avoir été installé

Contrôler que le certificat a bien été délivré par DC1

Sur DC1, ouvrez la MMC Autorité de certification

Cliquez sur Certificats délivrés

En dernière position, vous devez voir le certificat installé. Regardez ses caractéristiques principales

Dorénavant, toutes les machines insérées dans le domaine se verront installer ce certificat sans manipulation des administrateurs ou des utilisateurs

Révoquer un certificat

Introduction…à un scénario catastrophe

Imaginons maintenant que l’ordinateur PC1 a été perdu par un apprenti, et que, comble de malchance, l’utilisateur avait noté dans le sac de la machine son mot de passe utilisateur et une liste d’utilisateurs autorisés à se connecter par le VPN L2PT IPSEC

Inutile de chercher la liste des utilisateurs à verrouiller, vous ne la connaissez pas. Dans ce scénario catastrophe, vous remercier le ciel d’avoir mis en place une infrastructure PKI, car il suffit simplement de révoquer le certificat issu pour la machine PC1. Sans certificat valable, le pirate (on suppose que la machine a été volée par un redoutable hacker… ;>) ne pourra se connecter au réseau

Si nous avions choisi un VPN basé sur PPTP, nous n’aurions pu qu’agir sur les comptes utilisateurs

Révoquer le certificat

Dans les outils d’administration, ouvrez la console Autorité de certification

Sélectionner Certificats délivrés

Rechercher le certificat correspondant issu pour cette machine (On peut chercher depuis le nom du demandeur si la machine l’a récupéré automatiquement par une GPO comme tout à l’heure, ou également par date, ou encore par le nom que nous y aurions attribué s’il a été installé manuellement)

Faite un clic droit dessus, et sélectionner Révoquer le certificat

Donnez une raison, utile uniquement pour le suivi sécurité. Ici, nous mettons Clé compromise, puis Oui

Si l’on se rend ensuite dans la Liste des certificats révoqués, nous allons retrouver notre certificat

Si l’on fait un clic droit sur liste des Certificats révoqués, puis Propriétés, nous constatons que les paramètres par défaut d’actualisation sont de 1 jour

Comme il s’agit d’un problème de sécurité grave, nous allons forcer la mise à jour en faisant un clic droit sur Certificats révoqués, puis Publier

Attention, si nous avons générés d’autres certificats de manière manuelle pour nos précédents essais, ceux-ci devront également être révoqués

Ensuite sélectionner Nouvelle liste de révocation de certificats, puis OK

Si nous essayons de nous connecter depuis le client PC1, la connexion VPN IPSEC ne fonctionne plus

Si la machine est retrouvée, il faudra la supprimer du domaine et la remettre dedans pour réimporter le certificat. Très sincèrement, si c’est le cas, elle sera concrètement formatée pour être certain qu’elle ne contient aucun cheval de Troye ;>))

Par contre, la connexion crée avec le protocole PPTP continue elle de fonctionner. Faite le test

Configurez le serveur Routage et Accès distant

A l’installation du service Routage et accès distant, 128 ports PPTP et 128 ports L2PT/IPSEC sont créés par défaut. Cela fait beaucoup, et dans notre cas nous ne souhaitons pas utiliser des connexions PPTP, et nous allons donc les désactiver. Nous ne pouvons pas mettre 0 pour désactiver le nombre de port PPTP, donc nous allons désactiver les paramètres généraux de PPTP

Désactiver PPTP

Dans la console Routage et accès distant, développez DC1

Faites un clic droit sur Ports, puis choisissez Propriétés

Cliquez sur miniport réseau étendu WAN (PPTP) et Configurez…

Désactiver Connexions d’accès distant (uniquement entrantes)

Connexions de routage à la demande (entrantes et sortantes)

On peut aussi réduire le nombre de ports à 1 pour des raisons de cosmétiques et de clareté


Réduisez le nombre de ports L2PT / IPSEC

Inutile d’attribuer plus de port que nécessaire. Si par défaut il est possible de monter à 1000 ports, cela consomme aussi des ressources inutiles PPTP. Nous allons dans notre scénario descendre à 8 ports L2TP / IPSEC

Dans la console Routage et accès distant, développez DC1

Faites un clic droit sur Ports, puis choisissez Propriétés

Sélectionnez Miniport réseau étendu WAN (L2TP), puis cliquez sur le bouton Configurer…

Saisissez 8 dans le champ Nombre maximum de port, puis cliquez sur le bouton OK

Une fois que vous avez terminé, cliquez sur le bouton Oui, puis sur le bouton OK pour quitter la fenêtre Propriétés de Ports

Mise en place d’une stratégie d’accès distant

Précédemment, nous avons voulu n’autoriser que les connexions VPN L2PT / IPSEC, et avons modifié certains paramètres dans les ports de connexion

Une manière plus complète (et plus professionnelle…) étant d’agir sur une stratégie d’accès distant que l’on appliquera directement dans la MMC Routage et accès distant

Nous pourrons ainsi définir exactement des paramètres filtrants les accès, en rejetant tous les appels ne respectant pas ces critères. Par exemple, nous créerons un filtre spécifiant

  • Quel protocole d’authentification devra être utilisé (MS-CHAP V2)

  • Quel protocole de tunnel VPN devra être utilisé (L2TP / IPSEC)

  • Quel groupe d’utilisateur pourra se connecter (Utilisateurs_VPN)

Rappel : Si la fonctionnalité « Contrôler l’accès via la stratégie d’appel distant » est grisée, c’est que vous n’êtes pas en niveau fonctionnel Windows 2003, mais Windows 2000. Commencez par passer en niveau fonctionnel Windows 2003, puis faites un gpupdate

Stratégie d’accès distant

Lancez la console Utilisateurs et Ordinateurs Active Directory

Développez BORGEAUD.LOCAL, puis Users

Faites un clic droit sur le compte d’utilisateur nommé usr_vpn, puis sélectionnez Propriétés

Dans l’onglet Appel entrant, côchez la case Contrôler l’accès via la stratégie d’accès distant, puis cliquez sur le bouton OK

Groupe global de sécurité

Créez un groupe global de sécurité nommé VPN_USERS, puis ajoutez l’utilisateur usr_vpn en tant que membre de ce groupe

Dans la console Utilisateurs et Ordinateurs Active Directory, développez BORGEAUD.LOCAL

Faites un clic droit sur le conteneur Users, puis sélectionnez Nouveau / Groupe

Dans la fenêtre Nouvel Objet configurez les options suivantes :
- Etendue du groupe : globale
- Type du groupe : Sécurité
- Nom du groupe : VPN_USERS

Cliquez sur le bouton OK pour valider la création du groupe

Faites un clic droit sur le groupe VPN_USERS, puis sélectionnez Propriétés

Dans l’onglet Membres, cliquez sur le bouton Ajouter…

Recherchez l’utilisateur nommé usr_vpn, puis cliquez deux fois sur le bouton OK pour l’ajouter au groupe

Quittez ensuite la console Utilisateurs et Ordinateurs Active Directory

Créez une stratégie d’accès

Créez une stratégie d’accès distant autorisant les membres du groupe VPN_USERS à établir une connexion VPN la plus sécurisée possible

Dans la console Routage et Accès distant, développez DC1, puis Stratégies d’accès distant

Supprimez les deux stratégies prédéfinies

Faites un clic droit sur Stratégies d’accès distant, puis choisissez Nouvelle stratégie d’accès distant

Dans l’assistant de création de stratégie, cliquez sur le bouton Suivant

Côchez la case Installer une stratégie personnalisée, nommez la Stratégie Accès VPN sécurisé, puis cliquez sur le bouton Suivant

Dans la page Conditions de la stratégie cliquez sur le bouton Ajouter…

Dans la page Sélection d’un attribut, choisissez Authentification-Type, puis cliquez sur le bouton Ajouter…

Ajouter uniquement le protocole d’authentification MS-CHAP V2, puis cliquez sur le bouton OK

Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Ajouter…

Dans la page Sélection d’un attribut, choisissez Tunnel-Type, puis cliquez sur le bouton Ajouter…

Ajouter uniquement le protocole de tunneling Layer Two Tunneling Protocol (L2TP), puis cliquez sur le bouton OK

Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Ajouter…

Dans la page Sélection d’un attribut, choisissez Windows-Group, puis cliquez sur le bouton Ajouter…

Ajouter uniquement le groupe global de sécurité VPN_USERS, puis cliquez sur le bouton OK

Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Suivant

Dans la page Autorisations, côchez la case Accorder l’autorisation d’accès distant, puis cliquez sur le bouton Suivant

Cliquez sur le bouton Suivant >, puis sur le bouton Terminer pour créer la stratégie d’accès distant

Essais de la connexion

Essayez d’établir la connexion VPN client en utilisant le compte usr_vpn

Exécuter la connexion IPSEC (N’oubliez pas de redemandez un certificat au préalable ou de sortir et ré entrer la machine dans le domaine)

Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion

Vérifiez que la connexion IPSEC au serveur VPN est bien devenue active

Réservation d’une IP fixe

Il est possible de réserver une adresse IP fixe à une connexion VPN. Ne cherchez pas la raison ici, il peut y en avoir plusieurs, soit liées à des besoins applicatifs ou utilisateurs. Ici nous allons réserver l’adresse 192.168.1.137 à l’utilisateur fix_app_ip

Créer un compte spécifique

Créez un compte nommé fix_app_ip et autorisez-le à établir des connexions d’accès distant

Ouvrez le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory

Développez BORGEAUD.LOCAL dans la console Utilisateurs et ordinateurs Active Directory

Faites un clic droit sur le conteneur Users, sélectionnez Nouveau, puis Utilisateur

Dans la fenêtre Nouvel objet – Utilisateur, saisissez la chaîne de caractère fix_app_ip dans la zone de texte Nom complet et dans la zone de texte Nom d’ouverture de session de l’utilisateur. Cliquez ensuite sur Suivant >

Décochez la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis entrez P@ssw0rd dans les champs Mot de passe et Confirmer le mot de passe

Cliquez sur les boutons Suivant >, puis Terminer pour valider la création de l’utilisateur

Faites un clic droit sur l’utilisateur nommé fix_app_ip à l’intérieur du conteneur Users, puis sélectionnez Propriétés

Cliquez sur l’onglet nommé Appel entrant

Côchez la case Contrôler l’accès via la stratégie d’accès distant, puis cliquez sur le bouton OK

Cochez la case Attribution d’une adresse IP statique

Entrez l’adresse 192.168.1.137

Ajoutez l’utilisateur fix_app_ip au groupe de sécurité VPN

L’utilisateur fix_app_ip doit être ajouté au groupe de sécurité VPN_USERS créé précédemment

Dans la console Utilisateurs et Ordinateurs Active Directory, développez BORGEAUD.LOCAL

Faites un clic droit sur le groupe VPN_USERS, puis sélectionnez Propriétés

Dans l’onglet Membres, cliquez sur le bouton Ajouter…

Recherchez l’utilisateur nommé fix_app_ip, puis cliquez deux fois sur le bouton OK pour l’ajouter au groupe

Quittez ensuite la console Utilisateurs et Ordinateurs Active Directory

Vérifier le fonctionnement du profil

Pour être certain que le profil fonctionne, refaites une connexion VPN L2TP, mais avec l’utilisateur défini plus haut

Contrôlez que l’adresse IP obtenue est bien 192.168.1.137

Exécutez la connexion VPN IPSEC

Saisissez fix_app_ip dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion

Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active

Double-cliquez sur la connexion

Cliquez sur l’onglet Détails

Vérifiez que l’adresse IP de fix_app_ip 192.168.1.137



Enregistrement des évènements sur le serveur d’accès réseau

Si vous gérer un grand nombre de connexion VPN, il est certainement utile de suivre l’utilisation de votre serveur RAS

Cela se paramétrera par des paramètres qui ajouteront des événements dans les journaux systèmes de Windows, ou encore des logs au format texte qui pourront être consulté à loisir

Effacez les évènements du journal Système

Lancez l’Observateur d’évènements (Démarrer / Outils d’administration)

Faites un clic droit sur le journal Système, puis sélectionnez Effacer tous les évènements

Cliquez sur le bouton Non pour ne pas enregistrer le journal Système.

Configurez les évènements à auditer

Lancez la console Routage et Accès

Faites un clic droit sur SERVEUR, puis sélectionnez Propriétés

Dans l’onglet Enregistrement, côchez la case Enregistrer tous les évènements, puis cliquez sur le bouton OK

Faites un clic droit sur SERVEUR, puis sélectionnez Toutes les tâches / Redémarrer

Vérifiez que les évènements sont bien enregistrés dans le journal Système

Basculez vers l’Observateur d’évènements, puis visualisez le journal Système

Vérifiez que des évènements concernant le redémarrage du service Routage et Accès Distant ont bien été enregistrés

Quittez l’Observateur d’évènements

Configurez l’enregistrement de la gestion des comptes

Lancez la console Routage et Accès Distant

Développez DC1, puis Connexion par accès distant

Faites un clic droit sur Fichier local, puis sélectionnez Propriétés

Dans l’onglet Paramètres, côchez les cases Requêtes de gestion de comptes, Requêtes d’authentification et Statut périodique

Dans l’onglet Fichier journal, côchez la case Tous les jours, saisissez c:\vpnlog.log dans la zone de texte Répertoire, puis cliquez sur le bouton OK

Faites un clic droit sur SERVEUR, puis sélectionnez Toutes les tâches / Redémarrer

Etablissez la connexion VPN

Basculez vers la fenêtre Connexions réseau en utilisant la combinaison de touches Alt + Tab

Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Connexion

Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez sur le bouton Connexion

Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active

Faites un clic droit sur la connexion nommée Connexion de test au serveur VPN, puis sélectionnez Déconnecter

Vérifiez que le fichier journal a bien été créé

Lancez l’Explorateur Windows

Vérifiez que le fichier journal a bel et bien été crée dans le répertoire c:\vpnlog.log

Quittez l’Explorateur Windows

Configuration de la journalisation pour les connexions L2TP/IPSec

Créez une stratégie de groupe

Il est nécessaire de créer une stratégie de groupe pour activer l’audit des évènements liés à IPSec et aux connexions L2TP/IPSec sur le serveur

Lancez la console Gestion des stratégies de groupe (GPMC)

Développez la forêt : BORGEAUD.LOCAL, Domaines, puis cliquez sur BORGEAUD.LOCAL

Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau

Dans la zone de texte Nom, entrez GPO_Audit des connexions L2TP, puis cliquez sur le bouton OK

Faites un clic droit sur l’objet stratégie de groupe nommé GPO_Audit des connexions L2TP, puis sélectionnez Modifier

Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales, puis Stratégie d’audit

Faites un clic droit sur Auditer les évènements de connexion, puis sélectionnez Propriétés

Côchez les cases Définir ces paramètres de stratégie, Réussite et Echec, puis cliquez sur le bouton OK

Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe

Liez et appliquez la GPO

Liez et appliquez (option enforce) la GPO précédemment crée au niveau de l’unité d’organisation Domain Controllers à l’aide de la console GPMC

Dans la console GPMC, faites un clic droit sur l’OU Domain Controllers, puis sélectionnez Lier un objet de stratégie de groupe existant…

Dans la liste des GPOs de votre domaine, sélectionnez GPO_ Audit des connexions L2TP, puis cliquez sur le bouton OK

Faites un clic droit sur le lien qui vient d’apparaître à côté de Default Domain Policy, puis sélectionnez Appliqué

Quittez la console GPMC

Rafraichissez les paramètres

Rafraîchissez les paramètres de stratégies de groupe sur le serveur VPN à l’aide de l’habituelle commande gpupdate /force

Ouvrez le menu Démarrer puis sélectionnez Exécuter

Saisissez la commande gpupdate.exe /force, puis cliquez sur le bouton OK

Tester la journalisation

Lancez l’Observateur d’évènements (Démarrer / Outils d’administration)

Faites un clic droit sur le journal Sécurité, puis sélectionnez Effacer tous les évènements

Cliquez sur le bouton Non pour ne pas enregistrer le journal Système

Lancez la connexion depuis le poste de travail PC1

Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active

Vérifiez que des évènements en rapport avec la connexion L2TP/IPSECc ont bien été enregistrés dans le journal Sécurité

Visualisez le journal Sécurité

Vérifiez qu’un certain nombre d’évènements concernant la négociation de l’association de sécurité IPSEC, l’établissement de la connexion L2TP et la demande d’authentification de l’utilisateur ont apparus

Activez l’enregistrement Oakley

Ce mode de log extrêmement bavard permet de fournir des informations de débogage très avancées afin de résoudre d’éventuels problèmes. Evidemment, si vous avez suivis ce tutoriel, vous n’en aurez pas besoin ;>)

Ouvrez le menu Démarrer, puis cliquez sur Exécuter

Tapez regedit dans la boite de dialogue Exécuter, puis cliquez sur le bouton OK

Dans l’Editeur de registre, développez HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ Oakley

Faites un clic droit sur Oakley, pointez sur Nouveau/Valeur DWORD, nommez la EnableLogging

Faites un clic droit sur la valeur DWORD EnableLogging, puis sélectionnez Modifier

Entrez 1 dans la zone de texte Données de la valeur, puis cliquez sur le bouton OK

Utilisez le menu Fichier / Quitter pour fermer l’Editeur de registre

Ouvrez la console de Routage et Accès distant, cliquez droit sur SERVEUR, puis sélectionnez Propriétés

Dans l’onglet Enregistrement cochez la case Enregistrer les informations d’Accès à distance et routage supplémentaires

Relancez le service Routage et Accès Distant et vérifiez qu’un nouveau journal nommé oakley.log est apparut

Basculez vers la console Routage et Accès distant

Faites un clic droit sur SERVEUR, puis sélectionnez Toutes les tâches / Redémarrer

A l’aide de l’Explorateur Windows visualisez le contenu du dossier %SYSTEMROOT%\Debug

Quittez l’Explorateur Windows

Erreurs et mitigation

Erreur 781

Si vous recevez l’ « Erreur 781 : La connexion requiert un certificat et aucun certificat valide a été trouvé…. » Cela signifie que le certificat n’est pas correctement inscrit dans la machine

Peut être avez-vous oublié de mettre de cocher la case « Stocker le certificat dans le magasin de certificats de l'ordinateur local » et le certificat est inscris dans le conteur « certificats – Utilisateur actuel » alors qu’il devrait se trouver dans le conteneur « Certificats – Ordinateur local »

Erreur 786

Le certificat n’a peut être pas été installé sur le serveur RAS. Répétez la procédure suivante ci-dessus

« Installer le certificat pour le VPN L2TP sur le serveur DC1 »

Erreur 789

Cette erreur est généralement due à une connexion L2PT initiée vers un serveur après que le serveur de certificat ait été installé, mais que le service d’accès distant n’a pas été redémarré. Redémarrer d’abord le serveur d’accès distant

Conclusion

Ce tutoriel est assez pénible, mais il faut se rappeler que les VPN restent IPSEC restent tout de même assez complexes à mettre en œuvre

Comme je l’ai dit au début de ce document, des appliances offrent également de bonnes solutions de sécurité, mais le succès de la solution reste sa capacité d’intégration avec Active

Tarifs pour l’emploi de ce document

Et oui, on termine par le meilleure ! Ce document et son utilisation ne sont pas gratuits. Sachez que sa rédaction ainsi que les divers essais en labo m’ont pris…des soirées et que tout travail mérite donc salaire. Ecrivez-moi à oborgeaud(à)bluewin.ch et je vous enverrai ma référence Paypal : 4 Euros

Usage dans l’enseignement: 10 Euros par élève

Usage professionnel : 20 Euros

Mac OS X

Au menu X86...

©2007 - Borgeaud.com - Tous droits réservés - e-mail