Comprendre Point-to-Point Tunneling Protocol (PPTP)
Sur cette page
Comprendre la sécurité PPTP
Authentification
Contrôle d'accès
Cryptage de données
Le filtrage de paquet PPTP
Utilisation de PPTP avec des firewall et des routeurs
Comprendre la sécurité PPTP
PPTP étend la sécurité stricte d'authentification et de cryptage disponible pour les ordinateurs faisant tourner RAS sous Windows NT Server version 4.0 et Windows NT Workstation version 4.0 aux clients PPTP sur l'Internet. PPTP peut aussi protéger le serveur PPTP et le réseau privé en ignorant tout sauf le trafic PPTP. En dépit d'une sécurité très stricte, il est très simple d'utiliser PPTP avec les firewall existants. Cette partie vous aidera à comprendre et à planifier :
le contrôle d'authentification et d'accès
le cryptage de données
le filtrage de paquet PPTP
l'utilisation de firewalls de tierces parties
Authentification
L'authentification dial-in initiale peut être requise par le serveur d'accès réseau de l'ISP. Si cette authentification est requise, c'est strictement pour se connecter au serveur d'accès réseau de l'ISP. Ce n'est pas lié à l'authentification Windows NT. Vérifiez auprès de votre ISP leur exigence pour l'authentification. Vous appliquez ces exigences dans l'entrée du dial-up Networking pour cet ISP.
D'un autre côté, si Windows NT Server version 4.0 est configuré comme serveur PPTP, il contrôle tous les accès vers votre réseau privé. Cela signifie que le serveur PPTP est une passerelle vers votre réseau privé. Le serveur PPTP exige une ouverture de session Windows NT standard. Tous les clients PPTP doivent fournir un nom d'utilisateur et un mot de passe. C'est pourquoi, l'ouverture de session distante en utilisant un ordinateur sous Windows NT Server version 4.0 ou Windows NT Workstation version 4.0 est aussi sécurisé que lorsque l'on se connecte à partir d'un ordinateur Windows NT connecté au LAN local.
L'authentification du client PPTP distant est réalisée en utilisant les mêmes méthodes d'authentification PPP que celles utilisées pour tout client RAS appelant directement un serveur RAS. L'implémentation de Microsoft du service d'accès distant (Remote Access Service, RAS) supporte les schémas d'authentification CHAP (Challenge Handshake Authentification Protocol), le MS-CHAP (Microsoft Challenge Handshake Authentification Protocol et le PAP (Password Authentification Protocol).
Note
L'authentification MS-CHAP supporte le hash MD4 ainsi que le schéma d'authentification précoce utilisé dans le LAN Manager de Microsoft.
Comme avec les comptes utilisateurs, les comptes utilisateurs des utilisateurs distants résident dans le service d'annuaire de Windows NT Server version 4.0 et sont administrés avec le gestionnaire d'utilisateurs pour les domaines. Cela fournit une administration centralisée qui est intégrée avec les comptes utilisateurs existants du réseau privé. Seuls les comptes à qui on a accordé un accès spécifique au réseau par le biais d'un domaine de confiance ont l'autorisation. Une gestion attentive des comptes utilisateurs est nécessaire pour réduire les risques liés à la sécurité.
Mettre en place un modèle de mot de passe sécurisé est critique pour un déploiement réussi de PPTP car les connexions Internet sont plus susceptibles d'être touchées par des programmes malintentionnés qui peuvent craquer des milliers de combinaisons de mots de passe et de noms d'utilisateur.
Le seul moyen de minimiser ce type d'attaques est d'implémenter des stratégies de mots de passe sécurisés. Les mots de passe doivent être difficiles à deviner. Par exemple, vous pouvez exiger que les mots de passe contiennent des majuscules et des minuscules, des nombres et des caractères spéciaux. Il est recommandé que vous exigiez au moins trois types de caractères différents pour assurer l'unicité des mots de passe.
Contrôle d'accès
Après l'authentification, tout accès au réseau privé continue à utiliser le modèle de sécurité Windows NT. L'accès à des ressources sur des lecteur NTFS ou autres ressources réseau nécessiterait les permissions appropriées. Il est recommandé que le système de fichiers NTFS soit utilisé pour des ressources fichiers qui sont accédées par les clients PPTP.
Pour plus d'informations sur l'utilisation de sécurité sur des lecteurs NTFS ou d'autres ressources réseaux, voyez les documentations produit ou les kits de ressources Windows NT Workstation version 4.0 et Windows NT Server version 4.0.
Cryptage de données
Pour le cryptage de données, PPTP utilise le processus de cryptage RAS "shared-secret" (secret partagé). On parle de secret partagé car les deux extrémités de la connexion partagent la clé de cryptage. Avec l'implémentation RAS de Microsoft, le secret partagé est le mot de passe utilisateur. (D'autres méthodes de cryptage basent le cryptage sur des clés publiques. Cette seconde méthode de cryptage est connue sous le nom de cryptage par clés publiques).
PPTP utilise les schémas de cryptage PPP et la compression PPP. Le CCP (Compression Control Protocol) utilisé par PPP est utilisé pour négocier le cryptage.
Le nom d'utilisateur et le mot de passe du client PPTP est disponible pour le serveur PPTP et est fourni par le client PPTP. Une clé de cryptage dérive du mot de passe stocké sur le client et le serveur. Le standard RSA RC4 est utilisé pour créer cette clé de session 40-bits basée sur le mot de passe client. Cette clé est utilisée pour crypter toutes les données qui passent par l'Internet, gardant la connexion distante privée et sécurisée.
Les données dans les paquets PPP sont cryptées. Le paquet PPP contenant un bloc de données cryptées est alors encapsulé dans un datagramme IP plus grand pour le routage sur l'Internet vers le serveur PPTP. Si un hacker Internet intercepte votre datagramme IP, il ne trouvera que des en-têtes et le paquet PPP contenant des données cryptées. Ce sera indéchiffrable.
Note
Les utilisateurs aux US et au Canada peuvent obtenir des clés de session à 128-bits par un pack de cryptographie à utiliser à l'intérieur de US seulement.
Le filtrage de paquet PPTP
La sécurité réseau contre des activités malintentionnées peut être améliorée en autorisant le filtrage PPTP sur le serveur PPTP. Lorsque le filtrage PPTP est activé, le serveur PPTP sur le réseau privé accepte et route seulement les paquets PPTP d'utilisateurs authentifiés. Ceci empêche tous les autres paquets de pénétrer le serveur PPTP et le réseau privé. En conjonction avec le cryptage PPP, ceci assure que seuls les données cryptées autorisées pénètrent ou sortent du LAN privé.
Le filtrage PPTP est activé sur le serveur PPTP en utilisant l'onglet Protocols dans les options réseau du panneau de contrôle. Pour des instructions pas-à-pas sur l'activation du filtrage PPTP, voyez le livra blanc intitulé "Microsoft Point-to-Point Tunneling Protocol".
Utilisation de PPTP avec des firewall et des routeurs
Le trafic PPTP utilise le port TCP 1723 et le protocole IP utilise ID 47, comme assigné par Internet Assigned Numbers Authority (IANA). PPTP peut être utilisé avec la plupart des firewalls et des routeurs en routant le trafic destiné pour le port 1723 par le biais du firewall ou du routeur.
Les Firewall assurent la sécurité du réseau d'entreprise en régulant de façon stricte les données qui entrent dans le réseau privé en provenance de l'Internet. Une organisation peut déployer un serveur PPTP faisant tourner Windows NT Server version 4.0 derrière son firewall. Le serveur PPTP accepte les paquets PPTP passés vers le réseau privé en provenance du firewall et extrait le paquet PPP du datagramme IP, décrypte le paquet et transfère le paquet vers l'ordinateur sur le réseau privé.
Dernière mise à jour le jeudi 15 avril 1999
Pour en savoir plus