Exporter (0) Imprimer
Développer tout

Planification des réseaux privés virtuels

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

La technologie de réseau privé virtuel (VPN) permet un accès à distance rentable et sécurisé aux réseaux privés. Il permet d'étendre votre réseau privé sur un réseau partagé ou public, comme Internet, selon un mode qui émule une liaison privée point à point. En utilisant l'ordinateur Forefront TMG comme serveur VPN, vous protégez votre réseau d'entreprise des connexions VPN malveillantes. Comme le serveur VPN est intégré à la fonctionnalité de pare-feu, les utilisateurs VPN sont soumis à la stratégie de pare-feu de Forefront TMG.

Les sections suivantes fournissent des informations qui peuvent vous aider à planifier votre implémentation du réseau privé virtuel de Forefront TMG :

À propos des réseaux privés virtuels Forefront TMG

Forefront TMG prend en charge deux types de réseaux privés virtuels :

noteRemarque :
Toutes les connexions VPN à Forefront TMG sont consignées dans le journal du pare-feu pour que vous puissiez les surveiller.

Forefront TMG implémente la technologie VPN de Windows Server. Pour obtenir une description, consultez Qu'est-ce que le VPN ? (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=160092). En lisant ces informations, n'oubliez pas les différences fonctionnelles entre Windows Server 2003 et les versions ultérieures de Windows comme indiqué dans Nouveautés dans le service de routage et accès à distance de Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=160094) (page éventuellement en anglais).

Protocoles VPN

Forefront TMG prend en charge les protocoles VPN suivants :

  • Protocole PPTP (Point-to-Point Tunneling Protocol) — Utilisé aussi bien pour l'accès à distance que pour les réseaux privés virtuels site à site, pour les serveurs distants qui exécutent des systèmes d'exploitation Windows Server avec le Routage et accès distant. Les connexions VPN basées sur PPTP utilisent un mécanisme de chiffrement qui ne garantit pas l'intégrité des données (la preuve que les données n'ont pas été modifiées pendant leur transit) ni l'authentification de l'origine des données (la preuve que les données ont été envoyées par l'utilisateur autorisé).

  • L2TP/IPSec (Layer Two Tunneling Protocol/Internet Protocol security) — Utilisé pour l'accès à distance et les réseaux privés virtuel de site à site, pour les serveurs distants qui exécutent des systèmes d'exploitation Windows Server avec Routage et accès distant. Pour utiliser le protocole L2TP/IPSec, un certificat IPsec doit être installé sur les serveurs VPN. IPsec assure la confidentialité des données, l'intégrité des données et l'authentification de l'origine des données.

  • Mode de tunnel Ipsec — Utilisé pour les réseaux privés virtuels de site à site et pour la prise en charge de périphériques tiers tel que des routeurs et passerelles, ne prenant pas en charge PPTP ou L2TP/IPSec. Pour utiliser le mode de tunnel IPSec, un certificat IPsec doit être installé sur les serveurs VPN. IPsec assure la confidentialité des données, l'intégrité des données et l'authentification de l'origine des données.

  • Protocole SSTP (Secure Socket Tunneling Protocol) — Utilisé pour les réseaux privés virtuels d'accès à distance. SSTP est une forme de tunnel VPN qui permet le transport de trafic de protocole PPP (Point-to-Point Protocol) via un canal SSL (Secure Sockets Layer). L'utilisation de SSTP, améliore la capacité des connexions VPN à traverses des pare-feu et des serveurs proxy.

À propos du réseau privé virtuel d'accès distant

Les informations suivantes sont applicables aux réseaux privés virtuels d'accès à distance Forefront TMG :

Contrôle de quarantaine

Le contrôle de quarantaine est utilisé pour différer l'accès d'ordinateurs distants à un réseau privé jusqu'à ce que la configuration de l'ordinateur soit examinée et validée. Forefront TMG peut mettre en quarantaine des clients VPN dans le réseau Clients VPN en quarantaine jusqu'à la vérification de leur conformité aux spécifications de sécurité de l'entreprise, puis il peut les transférer dans le réseau Clients VPN. Ces deux réseaux client VPN sont soumis à la stratégie d'accès derrière un pare-feu Forefront TMG qui vous permet de contrôler l'accès client VPN aux ressources du réseau. Par exemple, vous pouvez autoriser les clients en quarantaine à n'accéder qu'aux ressources nécessaires pour restaurer leur conformité aux spécifications de sécurité, tel que l'accès aux mises à jour d'antivirus ou à un serveur Windows Update.

Vous pouvez appliquer la quarantaine à l'aide de l'un des éléments suivants :

  • Protection d'accès réseau (NAP, Network Access Protection) — Vous permet de définir des niveaux d'accès réseau en fonction de l'identité d'un client, des groupes auxquels le client appartient, et du degré auquel le client est conforme avec la stratégie de gouvernance de l'entreprise. Si un client n'est pas conforme, la protection d'accès réseau (NAP) fournit un mécanisme pour la mise en conformité automatiquement du client (processus appelé mise à jour), puis l'augmentation dynamique de son niveau d'accès réseau.

  • Le service de quarantaine pour les clients distants (RQS) et le client de quarantaine pour les clients distants (RQC) — RQC détermine l'état d'intégrité de l'ordinateur client et, par conséquent, indique à RQS si l'ordinateur client est soumis ou non à la quarantaine.

Informations d'identification des clients VPN

Les informations d'identification reçues par Forefront TMG lorsqu'un utilisateur se connecte via une connexion VPN d'accès distant peuvent varier en fonction du scénario de connexion.

  • Lorsqu'un utilisateur distant établit une connexion au réseau privé virtuel, Forefront TMG associe ses informations d'identification à la connexion. Si d'autres utilisateurs utilisent la même connexion, Forefront TMG ne recevra pas leurs informations d'identification, mais continuera d'associer le trafic à celles utilisées pour établir la connexion, ce qui pourrait constituer un problème de sécurité. Par exemple, si les utilisateurs utilisent les services Terminal Server pour se connecter à l'ordinateur client, puis effectuent des demandes sur la connexion VPN, ou si l'ordinateur client est configuré pour assumer le rôle d'un périphérique de traduction d'adresses réseau (NAT), autorisant le partage de la connexion VPN entre de nombreux utilisateurs sur différents ordinateurs.

  • Lorsque l'ordinateur hébergeant une connexion de client VPN, ou les ordinateurs derrière lui, ont un logiciel client Forefront TMG ou client de pare-feu correctement installé et configuré, ces ordinateurs intégreront le réseau des clients VPN, mais Forefront TMG reçoit les informations d'identification de chaque utilisateur, plutôt que celles de l'ordinateur hôte.

Clients VPN contaminés par des virus

Les clients VPN contaminés par des virus ne sont pas bloqués automatiquement et peuvent toujours submerger de demandes l'ordinateur Forefront TMG ou les réseaux que ce serveur protège. Vous devez donc prendre des mesures de surveillance afin de détecter des anomalies comme des alertes ou des surcharges inhabituelles du trafic et configurer des notifications d'alertes par courrier électronique. Si un ordinateur client VPN contaminé est identifié, effectuez l'une des opérations suivantes :

  • Limitez l'accès au réseau VPN par nom d'utilisateur — Appliquez la stratégie d'accès à distance afin d'exclure cet utilisateur des clients VPN autorisés à se connecter.

  • Limitez l'accès au réseau VPN par adresse IP — Créez un réseau contenant les adresses IP externes bloquées et placez l'adresse IP du client en dehors du réseau externe, à savoir sur le nouveau réseau. Cela fonctionne uniquement lorsque l'utilisateur se connecte à tout moment à partir de la même adresse IP. Si une adresse différente est attribuée à l'ordinateur client chaque fois qu'il se connecte au réseau public, il est recommandé de restreindre l'accès en fonction du nom d'utilisateur.

Mappage des utilisateurs

Lorsque vous créez une stratégie de pare-feu basée sur groupe, le mappage des utilisateurs est utilisé pour mapper des clients VPN qui se connectent à Forefront TMG. En conséquence, les règles de stratégie d'accès au pare-feu qui spécifient les ensembles d'utilisateurs pour les utilisateurs Windows et les groupes s'appliquent également aux utilisateurs authentifiés qui n'utilisent pas Windows. Si vous ne définissez pas le mappage pour les utilisateurs appartenant à des espaces de noms non basés sur Windows, les règles de stratégie d'accès au pare-feu par défaut ne s'appliquent pas à eux.

Lorsque vous définissez le mappage des utilisateurs, considérez les éléments suivants :

  • Si le serveur RADIUS (Remote Authentication Dial-In User Service) et l'ordinateur Forefront TMG se trouvent dans des domaines non approuvés (ou si l'un d'entre eux se trouve dans un groupe de travail), le mappage des utilisateurs n'est pris en charge que dans le cadre des méthodes d'authentification PAP (Password Authentication Protocol) et SPAP (Shiva Password Authentication Protocol). N'utilisez pas le mappage des utilisateurs si une autre méthode d'authentification est configurée.

  • Si vous n'activez pas le mappage des utilisateurs qui n'utilisent pas Windows, vous devez créer un ensemble d'utilisateurs à leur intention afin que les règles de stratégie d'accès au pare-feu puissent leur être appliquées. Quelle que soit la méthode d'authentification (RADIUS ou EAP) appliquée, l'ensemble d'utilisateurs doit être défini dans l'espace de noms RADIUS.

  • Le mappage d'utilisateurs à des comptes de domaine n'est pas pris en charge lorsque l'ordinateur Forefront TMG est installé dans un groupe de travail. Dans ce scénario, la fonctionnalité de mappage des utilisateurs ne peut être utilisée qu'avec les méthodes d'authentification PAP et SPAP.

ImportantImportant :
Pour créer une stratégie de pare-feu basé sur les utilisateurs, vous pouvez définir des ensembles d'utilisateurs avec des espaces de noms RADIUS.

Rubriques connexes

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft