• Article

Mise en réseau

Configuration de l'accès à distance au VPN à l'aide d'ISA Server 2006

Alan Maddison

 

Vue d'ensemble:

  • Protocoles VPN
  • Configuration d'une connexion VPN de site à site
  • Configuration d'une connexion VPN d'accès à distance
  • Nouvelles fonctionnalité d'ISA Server 2006

Les réseaux privés virtuels (VPN) offrent un haut niveau d'adaptabilité, d'évolutivité et de contrôle sur la connectivité réseau. En plus d'améliorer la sécurité, ils permettent des économies de coût significatives

par rapport aux connexions point-à-point dédiées traditionnelles. De plus, ils sont flexibles.

Il existe un grand nombre de types de VPN. Certains sont utilisés pour connecter des utilisateurs mobiles au réseau de l'entreprise ; d'autres pour connecter deux réseaux qui sont séparés géographiquement. Les protocoles utilisés par ces VPN et les fonctionnalités qu'ils offrent varient. Certains fournissent des fonctionnalités de sécurité, telles que l'authentification et le chiffrement, tandis que d'autres peuvent n'intégrer aucun composant de sécurité. Certains sont par conséquent plus faciles à configurer et à gérer que d'autres.

Dans cet article, j'examinerai comment vous pouvez implémenter un VPN en utilisant Internet Security and Acceleration (ISA) Server 2006. En particulier, je porterai mon attention sur la façon dont la fonctionnalité VPN d'ISA peut être utilisée pour résoudre deux scénarios courants : fournir des connexions VPN d'accès à distance aux utilisateurs et fournir des connexions VPN de site à site. Les deux implémentations incluent des composants de sécurité pour garantir la confidentialité des données et assurer la protection des ressources réseau internes.

Dans le premier scénario (connexion VPN d'accès à distance), un client à distance établit une connexion VPN à votre ISA Server via Internet. ISA Server connecte ensuite le client à distance à votre réseau interne, fournissant ainsi à l'utilisateur un accès transparent aux ressources réseau internes, y compris aux données et applications. Le second scénario (connexion VPN de site à site), est un peu plus complexe en raison de l'utilisation d'un routeur, qui peut être ISA lui-même. Cependant, ce type de connexion fournit la possibilité de connecter de façon transparente différents bureaux ou succursales entre eux ou à un bureau central.

L'utilisation d'Isa Server 2006 pour implémenter un VPN présente plusieurs autres avantages. L'un des plus importants est dû à la nature intégrée d'ISA Server, ce qui signifie que la fonctionnalité VPN et la fonctionnalité de pare-feu fonctionnent de façon conjointe. De plus, ISA Server fournit une fonctionnalité de quarantaine VPN qui utilise la fonctionnalité Contrôle de quarantaine pour clients distants de Windows Server® 2003 pour mettre en quarantaine un ordinateur d'accès distant jusqu'à ce que sa configuration soit validée par un script côté serveur. Cette fonctionnalité ajoute une autre couche de protection car elle fournit un moyen de vérifier des aspects tels que l'état des définitions d'antivirus et la stratégie de pare-feu locale sur l'ordinateur distant avant que vous n'autorisiez son accès à vos ressources réseau internes.

Les avantages administratifs principaux offerts par ISA Server comme solution VPN incluent la gestion centralisée des stratégies, la surveillance, la journalisation et la création de rapports. Pour vos responsabilités administratives quotidiennes, ces fonctionnalités peuvent se révéler une aide précieuse. En particulier, la surveillance en temps réel et le filtrage des journaux permettent de disposer d'informations clés sur le trafic réseau et les connexions passant par ISA Server.

Protocoles VPN

Les principaux protocoles de tunnel utilisés dans une connexion VPN ISA fournissent la première ligne de défense pour la sécurisation des connexions. ISA Server prend en charge trois protocoles : L2TP (Layer 2 Tunneling Protocol) sur IPsec, PPTP (Point-to-Point Tunneling Protocol) et le mode tunnel IPsec. Ce dernier protocole est uniquement pris en charge pour les connexions de site à site et est principalement utilisé pour l'interopérabilité avec les routeurs et d'autres systèmes d'exploitation qui ne prennent pas en charge L2TP ou PPTP.

L2TP est associé à IPsec parce que L2TP n'a pas de mécanisme propre permettant d'assurer la confidentialité de données. Associé à IPsec, qui offre des méthodes d'authentification et de chiffrement robustes, il constitue une solution attrayante. PPTP utilise soit MS CHAP (Microsoft® Challenge Handshake Authentication Protocol) version 2, soit EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) pour l'authentification et Microsoft Point-to-point (MPPE) pour, comme vous pouvez le deviner, le chiffrement.

Le choix entre L2TP sur IPsec ou PPTP dépend souvent de facteurs qui sont spécifiques à chaque organisation. L2TP sur IPsec vous permet d'utiliser un chiffrement plus complexe et sophistiqué et prend en charge un plus grand nombre de types de réseaux (notamment IP, X.25, Frame Relay et ATM). Cependant, PPTP est plus facile à implémenter et est généralement assorti de moins d'exigences. Cela dit, dans les situations où il n'y a pas de contraintes organisationnelles, il est considéré comme une meilleure pratique d'implémenter L2TP sur IPsec.

Connexions VPN de site à site

Isa Server 2006 a permis de simplifier considérablement l'installation d'un VPN de site à site. Dans les versions précédentes, l'installation impliquait un bien plus grand nombre d'étapes. Pour cet exemple, j'examinerai le cas d'un site distant unique qui se connecte à un bureau central en utilisant L2TP sur IPsec à l'aide d'un ISA Server sur les deux sites. Ce processus nécessite que vous configuriez l'instance ISA Server du bureau central avant de configurer le site distant.

La première étape du processus consiste à configurer les comptes utilisateur locaux qui sont requis sur les deux ISA Server. Cette identité utilisateur fournit le contexte de sécurité dans lequel la connexion à l'ISA Server distant ou principal est effectuée. Le nom de ce compte doit correspondre au nom de la connexion VPN que vous créez dans la console d'administration ISA. Par exemple, une bonne convention d'affectation de noms serait de configurer le nom d'utilisateur « VPN de site » sur le serveur ISA Server situé au siège principal (pointant vers le site distant) et « VPN du siège » sur le serveur ISA Server distant. Après avoir créé ces comptes, vous devez accéder aux propriétés du compte, ouvrir l'onglet Appel entrant et vous assurer que l'option Autoriser l'accès est sélectionnée.

Une fois le compte utilisateur local créé, l'étape suivante consiste à créer le certificat d'infrastructure de clé publique (PKI) qui sera utilisé pour l'authentification entre les deux sites. Vous pouvez utiliser une clé pré-partagée, mais l'utilisation d'un certificat est toujours préférable. La façon la plus simple d'installer un certificat pour une connexion VPN est de vous connecter directement à votre propre autorité de certification d'entreprise et de demander un certificat par le biais du site Web du serveur de certificat. Il se peut que vous deviez pour cela créer une règle d'accès pour autoriser votre ISA Server à se connecter au serveur de certificat via HTTP.

Si vous connaissez les versions précédentes d'ISA Server, vous remarquerez que l'interface d'Isa Server 2006, illustrée à la figure 1, est beaucoup plus intuitive. Lorsque vous sélectionnez le VPN dans le volet de gauche, des options de configuration et de tâche contextuelles s'affichent dans les volets du centre et de droite.

Figure 1 Isa Server 2006 a une interface plus intuitive

Figure 1** Isa Server 2006 a une interface plus intuitive **(Cliquer sur l'image pour l'agrandir)

Lancez l'Assistant VPN de site à site en cliquant sur la tâche Créer une connexion VPN de site à site dans le volet de droite. Lorsque l'Assistant démarre, il demande un nom de réseau de site à site ; ce nom doit correspondre au nom du compte utilisateur que vous avez créé plus tôt. Après avoir entré le nom, cliquez sur le bouton Suivant. Sur l'écran suivant (voir figure 2), sélectionnez le protocole VPN à utiliser (dans mon exemple, L2TP sur IPsec). Lorsque vous cliquez sur Suivant, l'Assistant vous avertit qu'un compte utilisateur correspondant au nom de réseau doit être disponible ; dans la mesure où c'est le cas, vous pouvez cliquer sur OK pour aller à l'écran suivant.

Figure 2 Sélectionnez le protocole VPN que vous voulez utiliser

Figure 2** Sélectionnez le protocole VPN que vous voulez utiliser **(Cliquer sur l'image pour l'agrandir)

Vous devez à présent créer un pool d'adresses IP. Deux choix s'offrent à vous : vous pouvez créer un pool d'adresses statiques sur le serveur ISA Server ou vous pouvez utiliser votre serveur DHCP existant pour contrôler l'attribution d'adresses. Comme les deux méthodes sont acceptables, votre décision doit être basée sur les procédures de votre entreprise concernant cette option particulière. L'écran vous demande maintenant d'entrer le nom du serveur distant. Entrez le nom de domaine pleinement qualifié (FQDN) du serveur distant, puis les informations d'authentification de l'utilisateur pour la connexion. N'oubliez pas que vous devez entrer les informations du compte utilisateur que vous avez créé sur l'ISA Server distant. Dans notre exemple, il s'agit du compte utilisateur VPN du siège, comme illustré à la figure 3.

Figure 3 Entrez le FQDN du serveur distant

Figure 3** Entrez le FQDN du serveur distant **(Cliquer sur l'image pour l'agrandir)

Sur l'écran suivant, sélectionnez la méthode d'authentification sortante (comme je l'ai mentionné précédemment, il est toujours préférable d'utiliser un certificat). Ensuite, entrez la plage d'adresses d'IP utilisée sur le réseau interne du site distant.

Après cela, si vous utilisez ISA Server 2006 Enterprise Edition, l'Assistant vous permet de configurer les adresses IP d'équilibrage de la charge réseau dédiées du site distant Si vous utilisez ISA Server 2006 Standard Edition, ignorez l'étape d'équilibrage de charge et allez directement à l'écran suivant (voir figure 4), qui permet de créer la règle réseau utilisée pour acheminer le trafic du site distant vers le réseau local.

Figure 4 Création de la règle réseau acheminant le trafic

Figure 4** Création de la règle réseau acheminant le trafic **(Cliquer sur l'image pour l'agrandir)

L'étape suivante du processus consiste à créer une règle d'accès. Lorsque vous configurez la règle d'accès, vous avez trois options pour autoriser l'utilisation des protocoles : vous pouvez choisir d'autoriser tout le trafic sortant, tout le trafic sortant à l'exception de certains protocoles ou autoriser seulement certains protocoles. Dans la plupart des cas, vous pouvez sélectionner l'option autorisant tout le trafic sortant.

Le processus est presque terminé. À ce stade, l'Assistant présente un résumé de votre configuration et lorsque vous cliquez sur le bouton Terminer, la connexion VPN de site à site est créée. Une boîte de dialogue vous indique qu'une règle de stratégie système doit être activée pour les téléchargements de liste de révocation des certificats ; cliquez sur Oui pour activer cette règle. L'Assistant fournit ensuite des informations sur les éventuelles étapes de configuration supplémentaires pouvant être nécessaires. Lorsque vous avez terminé la configuration d'ISA Server sur le site principal, vous devez suivre les mêmes étapes pour configurer le site distant Une fois les deux étapes terminées, les utilisateurs des deux sites pourront communiquer via le VPN.

Connexion VPN d'accès à distance

La configuration d'une connexion VPN d'accès à distance pour l'accès client est beaucoup plus simple (voir figure 5). La première étape consiste à sélectionner le VPN dans le volet de gauche de la console d'administration d'ISA Server. Ensuite, sélectionnez la tâche Activer l'accès des clients VPN dans le volet de droite. Vous recevez un avertissement indiquant que cette opération peut causer le redémarrage du service Routage et accès distant (étant donné que cela peut provoquer des problèmes de connexion, il peut être préférable d'implémenter cette modification pendant une fenêtre de maintenance planifiée). Cliquez sur OK pour ignorer cet avertissement ; ISA Server active une stratégie système qui autorise le trafic client VPN à accéder au serveur ISA Server. Vous pouvez afficher cette règle en sélectionnant Stratégie de pare-feu dans la console d'administration d'ISA Server, puis en sélectionnant la tâche Afficher les règles de stratégie système.

Figure 5 Configuration d'une connexion VPN d'accès à distance

Figure 5** Configuration d'une connexion VPN d'accès à distance **(Cliquer sur l'image pour l'agrandir)

Une règle réseau par défaut est également activée pour autoriser le routage entre le réseau interne et les deux réseaux VPN (clients VPN et clients VPN en quarantaine). Vous pouvez afficher ou modifier cette règle réseau en sélectionnant Réseaux dans le volet gauche et en ouvrant l'onglet Règles de réseaux dans le volet du centre.

Vous devez à présent configurer l'accès client VPN. Il y a trois paramètres supplémentaires à configurer : les groupes de sécurité Windows ayant une autorisation d'accès, les protocoles pouvant être utilisés par les clients et la mise en correspondance des utilisateurs. La boîte de dialogue de configuration de ces paramètres est illustrée à la figure 6.

Figure 6 Configuration de l'accès client VPN

Figure 6** Configuration de l'accès client VPN **

Dans l'onglet Groupes, sélectionnez les groupes Windows qui doivent avoir l'autorisation d'accès à distance via le VPN. D'un point de vue administratif, je pense qu'il est préférable de créer un seul groupe ayant l'autorisation d'accès. Cela facilite la gestion de l'accès à distance.

L'onglet Protocoles indique que seul PPTP est activé par défaut. Vous devez activer L2TP sur IPsec si c'est faisable dans votre environnement.

La mise en correspondance des utilisateurs vous permet de faire correspondre les comptes utilisateur depuis les espaces de noms, tels que le service RADIUS (Remote Authentication Dial-in User Service), vers les comptes Windows pour vous assurer que les stratégies d'accès sont correctement appliquées. Lorsque vous avez défini ces options de configuration et appliqué les modifications à ISA Server, le processus est terminé. Les clients devraient maintenant pouvoir accéder de façon transparente à vos données et applications réseau internes via une connexion VPN.

Améliorations apportées à ISA Server 2006

ISA Server 2006 introduit un grand nombre d'améliorations qui en font un outil encore plus puissant et performant que les versions précédentes. Ces fonctionnalités, parmi lesquelles la compression HTTP, la prise en charge du service de transfert intelligent en arrière-plan (BITS) et la qualité de service (QoS), offrent plusieurs techniques d'optimisation de l'utilisation du réseau. Bien sûr, même avec ces techniques, vous devez continuer d'utiliser les technologies d'optimisation de bande passante courantes qui sont à la base d'ISA Server, notamment la mise en cache.

La compression HTTP est déjà prise en charge depuis un certain temps dans plusieurs produits Microsoft, tels qu'Internet Explorer® depuis la version 4 et Windows Server depuis Windows® 2000. Cependant, c'est la première version d'ISA Server à prendre en charge la compression HTTP ainsi que les algorithmes GZIP standard et Deflate.

Qu'est-ce que cela signifie ? Avec la prise en charge de la compression HTTP, un navigateur Web conforme à la norme HTTP 1.1 peut demander du contenu compressé depuis n'importe quel site Web. N'oubliez pas cependant que seules les réponses sont compressées, et non les connexions sortantes initiales du client.

La compression HTTP est un paramètre de stratégie HTTP globale qui s'applique à tout le trafic HTTP qui passe par ISA Server, et non à celui associé à une règle réseau spécifique. Vous avez cependant la possibilité d'implémenter une compression HTTP par port d'écoute, en utilisant l'Assistant de port d'écoute Web.

La compression HTTP, accessible à l'aide de l'option Général du volet de gauche, est activée par défaut. Mais comme l'illustre la figure 7, vous devez configurer les éléments réseau pour lesquels la compression doit être utilisée. Si l'on reprend l'exemple du VPN de site à site, vous devez sélectionner l'onglet Renvoyer des données compressées et ajouter l'élément réseau VPN de site que vous avez créé plus tôt. À ce stade, vous avez également la possibilité de configurer les types de contenu qui doivent être compressés. Isa Server 2006 est fourni avec une liste de types de contenu standard, mais vous pouvez ajouter des types de contenu personnalisés à l'aide du volet Stratégie de Pare-feu de l'onglet Boîte à outils. N'oubliez pas que l'onglet Renvoyer des données compressées se réfère au fait qu'ISA Server compresse les données avant qu'elles ne soient renvoyées au client. Si vous voulez qu'ISA Server demande qu'un serveur Web traite la compression de données avant que les données ne soient envoyées à ISA Server, vous devez utiliser l'onglet Demander des données compressées.

Figure 7 Configuration de la compression HTTP

Figure 7** Configuration de la compression HTTP **(Cliquer sur l'image pour l'agrandir)

Le service BITS est un service de transfert de fichiers asynchrone pour le trafic HTTP et HTTPS. Windows Server 2003 inclut BITS version 1.5, qui prend en charge les téléchargements en aval et en amont, bien ces derniers puissent nécessiter Internet Information Services (IIS) version 5.0 ou supérieure. En tant que service intelligent de transfert de fichiers, BITS a la possibilité d'examiner le trafic réseau et d'utiliser uniquement la portion inactive de votre bande passante du réseau. De plus, le transfert de fichiers est dynamique et BITS répond aux pics de trafic réseau normal en limitant l'utilisation de réseau. L'avantage est que BITS vérifie que les téléchargements en aval et en amont de fichiers volumineux n'ont pas un impact négatif sur d'autres utilisations du réseau. Du point de vue d'un administrateur, cela signifie que vous devriez recevoir beaucoup moins appels signalant des performances réseau médiocres. Bonne nouvelle !

BITS offre d'autres avantages qui peuvent améliorer l'expérience utilisateur et les performances réseau. Par exemple, un transfert de fichiers qui utilise BITS est binaire, c'est-à-dire que BITS peut reprendre les transferts de fichiers (sans recommencer à zéro) qui ont été interrompus par des facteurs tels qu'une panne du réseau. En outre, ISA Server 2006 inclut la prise en charge intégrée d'une fonctionnalité de mise en cache Microsoft Update qui utilise la mise en cache BITS pour optimiser les mises à jour.

Le protocole DiffServ (Differentiated Services) active la stratégie de priorité des paquets (ou QoS) pour le trafic HTTP et HTTPS. En d'autres termes, selon votre configuration ISA Server, certains trafics auront la priorité. Cette fonction est utile pour les réseaux qui ont une bande passante limitée, en raison du volume de trafic ou de la vitesse de connexion réseau. Selon l'IETF (Internet Engineering Task Force), DiffServ est un mécanisme de gestion du trafic basé sur les classes. Ainsi, DiffServ peut distinguer les types de trafic et les gérer en conséquence, et s'assurer que le trafic prioritaire obtient la préférence.

Pour offrir cette fonctionnalité, ISA Server fonctionne conjointement avec les routeurs qui prennent en charge QoS. Il est important de s'assurer que les éléments DiffServ d'ISA Server correspondent aux priorités sur vos routeurs si vous voulez que les paquets soient acheminés avec les mêmes priorités.

Dans ISA Server, ce type de priorisation des paquets est un paramètre de stratégie HTTP global et est appliqué à tout le trafic HTTP qui passe par ISA Server 2006 en utilisant un filtre Web DiffServ. Ceci signifie qu'ISA Server ne prend pas en charge DiffServ pour d'autres protocoles et peut même ignorer les morceaux DiffServ existants ou tout trafic non HTTP.

Comme l'illustre la figure 8, DiffServ est implémenté en tant que filtre Web et est accessible en sélectionnant Compléments dans le volet gauche. Il est important que vous ne modifiiez pas les paramètres par défaut ni la commande de priorité du filtre de DiffServ car ISA Server doit inspecter la taille de la requête/réponse au moment de son traitement.

Figure 8 Affichage du filtre Web DiffServ

Figure 8** Affichage du filtre Web DiffServ **(Cliquer sur l'image pour l'agrandir)

Si vous examinez la figure 8, vous remarquerez que le filtre DiffServ n'est pas activé par défaut. Pour activer le filtre, il suffit de sélectionner Activer les filtres sélectionnés dans le volet Tâches, puis de configurer le filtre. Comme la priorisation des paquets DiffServ dans ISA Server est basée sur des URL ou des domaines spécifiques, vous devez ajouter ces informations aux préférences DiffServ. Pour cela, sélectionnez Général dans le volet gauche de la console de gestion, puis, dans Paramètres de stratégie HTTP globale, sélectionnez Spécifier les préférences DiffServ. Lorsque vous spécifiez ces préférences, vous devez définir les priorités ainsi que les URL et domaines qui doivent être priorisés. Isa Server 2006 offre de nouvelles fonctionnalités puissantes pour la configuration de l'accès à distance pour les clients VPN ou la création de VPN de site à site. C'est l'outil le plus approprié si vous envisagez d'implémenter une solution VPN.

Alan Maddison est consultant senior dans le département de technologie Microsoft chez MTI Technology Corporation. Ses domaines de spécialisation sont Active Directory, Exchange Server et la virtualisation.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.