Prise en charge de l'ouverture de session par carte à puce pour les connexions VPN d'accès distant

Paru le 29 août 2006


Sur cette page

Introduction
Technologies des cartes à puce
Scénario d'ouverture de session par carte à puce pour VPN d'accès distant
Résumé

Introduction

Les progrès des technologies de communication, engendrés par la nécessité de réduire les coûts et de rester compétitif sur un marché en constante expansion, permettent non seulement aux entreprises de bénéficier de canaux de communication actifs 24 heures sur 24 et 7 jours sur 7, mais également de garantir la connectivité aux données et aux services commerciaux à partir de sites distants.

Internet offre aux entreprises et aux individus la possibilité d'utiliser les ordinateurs pour communiquer et partager des données dans le monde entier, solution qui génère des avantages en termes d'accessibilité, d'évolutivité et de performances, ainsi qu'une réduction des coûts de gestion. Toutefois, Internet constitue un environnement de fonctionnement non sécurisé et potentiellement dangereux pour les entreprises. La difficulté pour ces dernières consiste à tirer parti des avantages inhérents à Internet tout en conservant un niveau de sécurité des données et des communications suffisant.

Les réseaux privés virtuels (VPN) permettent aux entreprises d'utiliser Internet tout en protégeant les données et les canaux de communication ; pour ce faire, ils proposent un certain nombre de fonctions de sécurité, notamment des mécanismes fiables d'authentification et de chiffrement.

Personnes concernées par ce guide

Ce guide est destiné aux informaticiens chargés de déployer un service VPN dans leur environnement réseau.

Les informations qu'il contient s'appliquent aux petites et moyennes entreprises qui doivent offrir un accès distant sécurisé à leur réseau.

Présentation

Lorsque vous configurez l'accès VPN distant à vos ressources réseau, vous pouvez utiliser les mêmes informations d'identification que pour accéder au réseau à partir de votre bureau, à savoir un nom d'utilisateur et un mot de passe. Cette solution n'est cependant pas la plus sûre. En effet, votre nom d'utilisateur peut figurer sur votre carte de visite ou sur d'autres documents. Ils sont également susceptibles d'être découverts via la méthode d'essais et erreurs. Si des tiers identifient votre nom d'utilisateur, le réseau de votre entreprise n'est alors plus protégé que par votre mot de passe.

Un seul dispositif secret tel qu'un mot de passe peut représenter une protection efficace. En effet, un mot de passe long constitué de lettres, de chiffres et de caractères spéciaux aléatoires peut être extrêmement difficile à découvrir. Vous pouvez également indiquer une expression entière, qui offrira une protection encore plus efficace qu'un mot de passe.

Malheureusement, les utilisateurs ne parviennent généralement pas à mémoriser les mots de passe complexes et peuvent être amenés à les noter. Lorsque vous ne définissez aucun critère de complexité, les utilisateurs ont tendance à créer des mots de passe faciles à retenir et donc faciles à deviner.

L'utilisation d'un nom d'utilisateur et d'un mot de passe est une solution de type « monofacteur », dans laquelle vous utilisez une information que vous connaissez pour accéder au réseau. Les systèmes d'authentification « multifacteurs » ne présentent pas les inconvénients liés à l'authentification monofacteur dans la mesure où ils font appel à une combinaison d'éléments, à savoir :

  • Un élément que l'utilisateur connaît tel qu'un mot de passe ou un numéro d'identification personnel (PIN).

  • Un élément que l'utilisateur possède tel qu'un dispositif matériel ou une carte à puce.

  • Un élément caractéristique de l'utilisateur tel qu'une empreinte digitale ou une mesure rétinienne.

Les cartes à puce et les codes PIN associés, fiables et peu onéreuses, offrent un moyen d'identification « bifacteur » qui connaît un succès grandissant. Les utilisateurs doivent disposer de leur carte et connaître le code correspondant pour pouvoir accéder aux ressources réseau. La combinaison de deux facteurs d'identification réduit considérablement les risques d'accès non autorisé au réseau de votre entreprise.

Avantages des VPN

Si votre entreprise doit connecter des réseaux contenant des données critiques et confidentielles à Internet pour un accès distant, cette connectivité accrue représente un risque considérable en matière de sécurité.

Dans l'environnement potentiellement hostile d'Internet, votre solution VPN est essentielle ; en effet, outre les économies qu'elle permet de réaliser en termes de coûts de fonctionnement, elle contribue à assurer la sécurité associée à une infrastructure de réseau privé. Une solution VPN garantit la sécurité nécessaire, car elle utilise une connexion par tunnel sécurisée, chiffre les données et n'accorde l'accès au réseau de l'entreprise qu'aux utilisateurs authentifiés.

Les VPN prennent en charge une gamme étendue de méthodes d'authentification, de protocoles de mise en tunnel et de technologies de chiffrement pour assurer la sécurité des données commerciales.

Les méthodes d'authentification utilisées sont les suivantes :

  • PAP (Password Authentication Protocol).

  • CHAP (Challenge-Handshake Authentication Protocol).

  • MS-CHAP (Microsoft® Challenge-Handshake Authentication Protocol).

  • MS-CHAP version 2 (MS-CHAP v2).

  • EAP (Extensible Authentication Protocol).

Les protocoles de mise en tunnel utilisés sont les suivants :

  • PTTP (Point-to-Point Tunneling Protocol).

  • L2TP (Layer 2 Tunneling Protocol).

Les protocoles de chiffrement utilisés sont les suivants :

  • MPPE (Microsoft Point-to-Point Encryption).

  • IPsec (IP Security).

Pour permettre la prise en charge du plus grand nombre possible de systèmes d'exploitation client Microsoft, utilisez une version de MS-CHAP, PPTP et MPPE.

Avec Microsoft Windows® 2000 ou ultérieur, les niveaux de sécurité fournis sont renforcés si vous utilisez EAP, L2TP et IPsec.

Pour plus d'informations sur l'authentification VPN, la mise en tunnel et le chiffrement, consultez le livre blanc relatif aux réseaux privés virtuels sur le site Microsoft TechNet à l'adresse technet.microsoft.com/fr-fr/library/Bb742566.aspx.

Technologies des cartes à puce

Les cartes à puce fournissent une authentification bifacteur. Celle-ci va au-delà de la simple combinaison du nom d'utilisateur et du mot de passe ; en effet, elle exige que l'utilisateur possède une carte associée à un code PIN.

Les cartes à puce sont des cartes en plastique de la taille d'une carte de crédit, contenant un micro-ordinateur et une petite quantité de mémoire. Elle permettent de stocker de manière sécurisée, sans risque de falsification, les clés privées et les certificats de sécurité X.509.

Pour s'authentifier sur un ordinateur ou via une connexion d'accès distant, l'utilisateur doit insérer sa carte dans un lecteur prévu à cet effet et entrer son code PIN. La carte ou le code seul ne permet pas l'accès au réseau. Les codes PIN ne peuvent pas faire l'objet d'attaques en force car les cartes se verrouillent après un certain nombre de tentatives infructueuses de saisies du code.

Un système d'exploitation intégré et un système de fichiers permettant le stockage des données s'exécutent sur les cartes à puce. Le système d'exploitation de la carte à puce doit pouvoir accomplir les tâches suivantes :

  • stocker les clés publiques et privées d'un utilisateur ;

  • stocker un certificat de clé publique associé ;

  • récupérer le certificat de clé publique ;

  • effectuer des opérations sur les clés privées pour le compte de l'utilisateur.

Pour plus d'informations sur les cartes à puce et pour obtenir la liste des lecteurs de carte à puce pris en charge par Microsoft, consultez le document relatif aux cartes à puce sur le site Microsoft TechNet à l'adresse www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx.

Configuration requise pour le déploiement des cartes à puces

Pour prendre en charge l'ouverture de session par carte à puce pour les VPN d'accès distant, votre ordinateur doit être équipé de certains composants logiciels et matériels.

Pour connaître les spécifications et la configuration requise pour le déploiement des cartes à puces, consultez le guide de planification de l'accès sécurisé à l'aide de cartes à puce sur le site Microsoft TechNet.

Configuration matérielle requise sur le client

Pour prendre en charge la solution VPN fondée sur les cartes à puce, les ordinateurs clients doivent être en mesure d'exécuter Windows XP.

En outre, les utilisateurs doivent disposer d'un lecteur de carte à puce relié à une interface de périphérique standard telle que RS-232 série, PS/2, PC Card ou USB (Universal Serial Bus).

Configuration logicielle requise sur le client

Vos clients d'accès distant doivent être équipés de Windows XP pour pouvoir prendre en charge la solution VPN fondée sur les cartes à puce. Il est également recommandé d'installer le Service Pack 2 (SP2).

Un fournisseur de services cryptographiques (CSP) prenant en charge la carte à puce choisie devra être installé sur chaque ordinateur client. Windows XP comprend un CSP qui prend en charge de nombreuses solutions de cartes à puce. Le fournisseur de votre solution de cartes à puce vous proposera également un CSP. Celui-ci assure les fonctions suivantes :

  • Fonctions de cryptographie, y compris les signatures numériques.

  • Gestion des clés privées.

  • Communication sécurisée entre le lecteur de carte à puce de l'ordinateur client et la carte à puce.

Le pilote de périphérique associé au lecteur de carte à puce choisi doit être installé sur chaque ordinateur client. Ce pilote mappe les fonctionnalités du lecteur sur les services natifs fournis par Windows XP et l'infrastructure des cartes à puce. Il détecte les insertions et les retraits de carte et prend en charge les fonctions de communication vers et depuis la carte.

Connection Manager est un composant standard de Windows XP qui facilite et gère les connexions réseau, d'accès distant et VPN. Vous pouvez également utiliser le kit d'administration de Connection Manager (CMAK) pour personnaliser les profils Connection Manager et créer un fichier d'installation qui configure automatiquement la connexion VPN et qui sera distribué aux clients.

Le déploiement des cartes à puce peut utiliser un logiciel de gestion de carte à puce installé sur le client. Ce logiciel prend en charge la gestion des cartes à puce, la connectivité et les outils de sécurité permettant de visualiser le contenu des cartes à puce, de réinitialiser les codes PIN et d'ajouter des certificats supplémentaires.

Configuration matérielle requise pour le serveur VPN

Les connexions VPN représentent une charge de travail supplémentaire pour le processeur du serveur d'accès distant. Cette charge n'est pas renforcée par l'ouverture de session sécurisée par carte à puce. Les serveurs d'accès distant VPN qui traitent de nombreuses connexions entrantes nécessitent des processeurs rapides, de préférence intégrés à une configuration multiprocesseur, car ils doivent en outre prendre en charge un débit réseau considérable. Les entreprises qui utilisent des VPN sécurisés par IPsec peuvent implémenter des cartes réseau équipées de processeurs distincts qui se chargent du processus de chiffrement IPsec.

Configuration logicielle requise pour le serveur VPN

La configuration logicielle requise pour l'accès par carte à puce est relativement simple. Les serveurs d'accès distant doivent exécuter Windows 2000 Server ou ultérieur, le service de routage et accès distant doit être activé et le mécanisme EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) doit être pris en charge.

EAP-TLS est un mécanisme d'authentification mutuelle destiné à être utilisé conjointement avec des dispositifs de sécurité tels que des cartes à puce ou autres éléments matériels. EAP-TLS prend en charge le protocole PPP (Point-to-Point Protocol) et les connexions VPN et permet l'échange de clés secrètes partagées pour MPPE et IPsec.

Ses principaux avantages sont sa résistance aux attaques en force et la prise en charge de l'authentification mutuelle. Lorsque cette dernière est utilisée, le client et le serveur doivent tous deux s'authentifier l'un auprès de l'autre. Si l'un ou l'autre n'envoie pas un certificat attestant de son identité, la connexion prend fin.

Microsoft Windows Server™ 2003 prend en charge EAP-TLS pour les connexions d'accès distant et VPN, ce qui permet aux utilisateurs distants d'utiliser des cartes à puce. Pour plus d'informations sur EAP-TLS, consultez la rubrique relative au protocole EAP (Extensible Authentication Protocol), à l'adresse www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth_eap.mspx.

Pour plus d'informations sur les exigences relatives aux certificats EAP, consultez l'article de la Base de connaissances Microsoft consacré aux exigences relatives aux certificats lors de l'utilisation de EAP-TLS ou PEAP avec EAP-TLS, à l'adresse http://support.microsoft.com/kb/814394/fr.

Conditions d'infrastructure réseau requises pour le déploiement des cartes à puce

Les cartes à puce nécessitent une infrastructure appropriée prise en charge par le système d'exploitation et les composants du réseau. Avant d'entamer le processus de déploiement des cartes à puce, assurez-vous que les conditions requises pour les éléments ci-dessous sont remplies.

  • Exigences utilisateur

  • Infrastructure de clés publiques (PKI)

  • Modèles de certificats

  • Service d'annuaire Active Directory®

  • Groupes de sécurité

  • Stations et agents d'inscription

Exigences utilisateur

L'identification des utilisateurs et des groupes exigeant un accès VPN représente un aspect essentiel du déploiement de votre solution de cartes à puce. L'exécution de cette opération au cours des premières phases du processus permet de définir la portée du projet et d'en contrôler les coûts.

Infrastructure de clés publiques (PKI)

Les solutions de cartes à puce requièrent cette infrastructure pour fournir des certificats qui contiennent des paires de clés publiques et privées permettant le mappage des comptes dans Active Directory. Vous pouvez implémenter cette infrastructure de deux façons différentes : Attribuez l'infrastructure des certificats internes à une organisation externe ou utilisez les services de certificat de Windows Server 2003. Pour que vous puissiez utiliser les services de certificat de Windows Server 2003 avec votre solution de cartes à puce, l'autorité de certification (CA) doit être une autorité d'entreprise (Active Directory est alors requis).

Pour plus d'informations sur les services de certificat de Windows Server 2003, visitez le site Web consacré à l'infrastructure de clés publiques pour Windows Server 2003 à l'adresse www.microsoft.com/windowsserver2003/technologies/pki/default.mspx.

L'infrastructure de clés publiques doit comprendre un mécanisme chargé de gérer la révocation des certificats. La révocation intervient lorsqu'un certificat arrive à expiration ou a pu être mis en danger par une attaque. Quiconque utilise un certificat révoqué par un administrateur se voit refuser l'accès. Chaque certificat mentionne l'emplacement de sa liste de révocation de certificats (CRL).

Pour plus d'informations sur la gestion des révocations de certificats, consultez la rubrique relative à la gestion des révocations de certificats sur le site Microsoft TechNet à l'adresse http://technet2.microsoft.com/WindowsServer/fr/library/92a5e655-3eb2-4843-b9cb-58c84c0a91d61036.mspx?mfr=true.

Vous pouvez utiliser l'infrastructure de clés publiques pour attribuer un certificat à chaque carte à puce de votre solution VPN. Ce certificat doit être délivré par une autorité de certification agréée par le serveur VPN. Si vous utilisez les services de certificat de Windows Server 2003, veillez à installer le certificat racine de l'infrastructure de clés publiques sur le serveur VPN.

Pour l'authentification mutuelle, vous devez attribuer un certificat au serveur VPN à partir d'une autorité de certification agréée par le client. Si vous utilisez les services de certificat de Windows Server 2003, veillez à installer le certificat racine de l'infrastructure de clés publiques sur le client VPN.

Modèles de certificats

Windows Server 2003 propose des modèles spécifiques pour délivrer des certificats numériques destinés à être utilisés avec les solutions de cartes à puce. Ces modèles de certificats sont les suivants :

  • Agent d'inscription, qui permet à un utilisateur autorisé de demander des certificats pour d'autres utilisateurs.

  • Utilisateur de carte à puce, qui permet à un utilisateur d'ouvrir une session avec une carte à puce et de signer du courrier électronique. Ce certificat fournit par ailleurs une authentification client.

  • Ouverture de session par carte à puce, qui permet à un utilisateur d'ouvrir une session avec une carte à puce et fournit une authentification client, mais qui ne prend pas en charge le courrier électronique signé.

Remarque : Microsoft conseille vivement de mettre à niveau une infrastructure de clés publiques Windows Server 2003 vers une infrastructure Windows Server 2003 avec Service Pack 1 (SP1), qui offre des fonctions de sécurité renforcées.

Votre solution VPN nécessite au moins un administrateur doté d'un certificat d'agent d'inscription afin d'attribuer des certificats aux cartes à puce. Par ailleurs, des certificats d'ouverture de session par carte à puce doivent être inclus sur les cartes à puce de vos clients.

Pour plus d'informations sur les modèles de certificats, consultez la rubrique relative aux modèles de certificats sur le site TechNet à l'adresse http://technet2.microsoft.com/WindowsServer/fr/Library/7d82b420-10ef-4f20-a56f-17ee7ee352d21036.mspx?mfr=true.

Active Directory

Active Directory permet de gérer les identités et les relations qui constituent les environnements réseau ; il s'agit d'un élément clé de l'implémentation des solutions de cartes à puce. Le composant Active Directory de Windows Server 2003 intègre la prise en charge de l'ouverture de session par carte à puce et permet de mapper des comptes sur des certificats. Cette fonction de mappage de comptes utilisateur sur des certificats lie la clé privée de la carte à puce au certificat stocké dans Active Directory.

Lorsque votre agent d'inscription attribue un certificat à une carte à puce pour un utilisateur donné, ce certificat est mappé sur le compte de l'utilisateur dans Active Directory. La présentation des informations d'identification par carte à puce à l'ouverture de session nécessite qu'Active Directory mette en correspondance la carte à puce et le compte utilisateur ; les autorisations appropriées sont alors accordées à l'utilisateur sur le réseau.

Pour plus d'informations sur le mappage des certificats, consultez la rubrique relative au mappage de certificats sur des comptes utilisateur sur le site Microsoft TechNet à l'adresse technet2.microsoft.com/windowsserver/fr/library/0602148e-1a8f-4957-bb01-6fd342aba7161036.mspx.

Pour plus d'informations sur Active Directory, visitez la page consacrée à Windows Server 2003 Active Directory à l'adresse www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/
default.mspx.

Groupes de sécurité

L'utilisation de groupes de sécurité dans Active Directory pour organiser les utilisateurs facilite considérablement le processus de déploiement et de gestion des cartes à puce. Par exemple, un déploiement de cartes à puce type peut nécessiter la création des groupes de sécurité suivants :

  • Agents d'inscription de cartes à puce. Ceux-ci sont chargés de distribuer les cartes à puce aux utilisateurs.

  • Utilisateurs de cartes à puce non inscrits. Ce groupe accueille les utilisateurs disposant d'une carte à puce qui n'a pas encore été inscrite ni activée par un agent d'inscription.

  • Utilisateurs de cartes à puce. Ce groupe comprend les utilisateurs pour lesquels le processus d'inscription est terminé et dont la carte à puce a été activée. C'est l'agent d'inscription qui déplace les utilisateurs du groupe des utilisateurs de cartes à puce non inscrits vers le groupe des utilisateurs de cartes à puce.

  • Utilisateurs de cartes à puce avec dérogation temporaire. Ce groupe comprend les utilisateurs provisoirement autorisés à déroger aux règles d'utilisation des cartes à puce, parce qu'ils ont perdu ou oublié leur carte, par exemple.

  • Utilisateurs de cartes à puce avec dérogation permanente. Ce groupe accueille les comptes autorisés à déroger aux règles d'ouverture de session par carte à puce de manière permanente.

Votre solution VPN doit au moins comporter un groupe pour les agents d'inscription et un autre pour les utilisateurs de cartes à puce. La création de ces groupes facilite la gestion et la configuration d'utilisateurs multiples.

Stations et agents d'inscription

L'inscription d'utilisateurs et la délivrance de cartes à puce peuvent se faire à partir d'une interface Web, mais cette méthode est déconseillée. En effet, étant donné que les utilisateurs doivent saisir leur nom d'utilisateur et leur mot de passe pour obtenir leur carte, ils ne bénéficient plus du niveau de sécurité offert par la carte à puce, mais seulement de celui des informations d'identification présentées à l'interface. Il est préférable de créer des stations d'inscription et de désigner un ou plusieurs administrateurs comme agents d'inscription.

Une station d'inscription est généralement constituée d'un ordinateur équipé d'un lecteur et d'un encodeur de carte à puce. Le lecteur permet à l'agent d'inscription d'ouvrir une session et l'encodeur délivre des cartes à puce aux utilisateurs. La stratégie de groupe de la station d'inscription est paramétrée de sorte que la session se ferme automatiquement dès que l'agent retire sa carte à puce.

Un administrateur est désigné comme agent d'inscription et utilise sa carte pour ouvrir une session sur la station d'inscription. Il ouvre ensuite la page Web des services de certificat, vérifie l'identité de l'utilisateur, inscrit celui-ci et délivre la carte à puce inscrite. Les agents d'inscription doivent disposer d'un certificat d'agent d'inscription et être autorisés à accéder aux modèles de certificats.

Considérations opérationnelles

Votre solution VPN fondée sur les cartes à puce doit être en mesure de contrôler son propre fonctionnement. Les outils de contrôle doivent fournir les informations requises pour assurer le support opérationnel de la solution. Si cette exigence n'est pas satisfaite, le personnel chargé de la sécurité ne peut pas déterminer si la solution protège efficacement les connexions d'accès distant.

Les considérations opérationnelles sont les suivantes :

  • Tester l'authentification auprès des applications internes. Une carte à puce doit être utilisée pour l'ouverture de session initiale uniquement. Le programme pilote doit tester et vérifier le réussite de l'authentification auprès des applications internes.

  • Résoudre les problèmes liés aux clients distants. La résolution de ces problèmes peut exiger que plusieurs équipes réparties sur des fuseaux horaires différents travaillent en étroite collaboration. Des tests rigoureux et un déploiement approprié du pilote peuvent permettre de limiter les communications téléphoniques entre ces équipes.

  • Comprendre les scénarios d'accès distant de l'entreprise et les risques associés. Vous devez connaître les scénarios d'accès distant utilisés par votre entreprise et les risques qu'ils comportent, ainsi que l'équilibre entre ces deux éléments. Vous devez favoriser les ressources qui exigent un niveau de sécurité élevé et déterminer le juste équilibre entre coûts et risques.

  • Anticiper les défis techniques. Il s'agit par exemple des routines d'installation et de la distribution des outils de gestion des cartes à puce. Vous devrez peut-être intégrer la solution de cartes à puce à vos outils de gestion existants.

  • Contrôler et gérer les problèmes de performances. Vous devez contrôler et gérer les problèmes liés aux performances et définir les attentes des utilisateurs avant le déploiement.

  • Prendre en compte les ressources personnelles. N'oubliez pas que les ordinateurs personnels des salariés sont leur propriété et qu'ils ne sont pas placés sous la responsabilité du service informatique de l'entreprise. Si un salarié ne parvient pas à installer le matériel et les logiciels nécessaires à la prise en charge de l'accès distant sécurisé par carte à puce, d'autres options sont envisageables. Par exemple, Microsoft Outlook® Web Access (OWA) permet aux salariés d'accéder à leur boîte aux lettres Microsoft Exchange Server via des connexions SSL (Secure Sockets Layer) chiffrées sécurisées.

    Pour plus d'informations sur la sécurité du courrier électronique, consultez le document relatif à la protection de la confidentialité du courrier électronique dans les secteurs industriels réglementés à l'adresse http://go.microsoft.com/fwlink/?LinkId=71176.

  • Gérer les modifications de la solution. Vous devez mettre en place des procédures semblables à celles utilisées lors du déploiement pour gérer les modifications et les améliorations de la solution.

  • Optimiser la solution. Tous les aspects de la solution de cartes à puce doivent être régulièrement évalués et optimisés. Vous devez évaluer les procédures d'inscription et la nécessité d'accorder des dérogations dans l'optique d'améliorer la sécurité et l'intégrité.


Scénario d'ouverture de session par carte à puce pour VPN d'accès distant

La procédure de configuration de l'ouverture de session par carte à puce pour VPN d'accès distant décrite ci-dessous s'applique aux petites et moyennes entreprises. La figure ci-dessous montre un réseau d'entreprise de taille moyenne ; votre environnement peut utiliser tous les services décrits ou seulement certains d'entre eux.

Figure 1. Accès distant dans un environnement informatique de taille moyenne

Figure 1. Accès distant dans un environnement informatique de taille moyenne

Cette procédure s'applique spécifiquement aux scénarios dans lesquels les utilisateurs distants doivent accéder aux données et aux services de l'entreprise à partir de sites externes. Pour obtenir cet accès, les utilisateurs distants créent une connexion VPN à un serveur VPN Windows Server 2003 et utilisent une carte à puce pour s'authentifier.

Les procédures ci-dessous vous aideront à préparer, déployer et configurer la prise en charge des cartes à puce pour les VPN d'accès distant.

Préparation d'une autorité de certification pour délivrer des certificats de cartes à puce

Dans un premier temps, vous devez préparer l'autorité de certification pour attribuer les certificats requis, désigner l'agent d'inscription et configurer l'ouverture de session par carte à puce.

Pour préparer une autorité de certification pour délivrer des certificats de cartes à puce

  1. Ouvrez une session avec les droits d'administrateur.

  2. Ouvrez Sites et services Active Directory.

  3. Dans le menu Affichage, sélectionnez Afficher le nœud des services.

  4. Développez le menu Services, sélectionnez Services de clés publiques, puis Modèles de certificats, comme illustré ci-dessous.


    Sites et services Active Directory.


  5. Cliquez avec le bouton droit sur le modèle de certificat EnrollmentAgent (agent d'inscription), puis sélectionnez Propriétés.

  6. Ajoutez le groupe de sécurité des agents d'inscription créé avant le déploiement et attribuez-lui les autorisations Lecture et Inscription, comme illustré ci-dessous. Cliquez ensuite sur OK.


    Propriétés de EnrollmentAgent


  7. Fermez Sites et services Active Directory.

  8. Ouvrez Autorité de certification.

  9. Développez le nom du serveur, puis sélectionnez Modèles de certificats. Le volet de droite contient la liste des certificats que l'autorité de certification peut attribuer, comme illustré ci-dessous.


    Autorité de certification


  10. Cliquez avec le bouton droit sur Modèles de certificats, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.

  11. Appuyez sur la touche CTRL et, tout en la maintenant enfoncée, sélectionnez Agent d'inscription et Ouverture de session par carte à puce dans la liste Activer les modèles de certificat, comme illustré ci-dessous. Cliquez ensuite sur OK.


    Activer les modèles de certificat


  12. Fermez Autorité de certification.

Déploiement de certificats sur les cartes à puce

Vous pouvez ensuite attribuer des certificats aux cartes à puce pour les utilisateurs distants. Ouvrez une session en tant qu'agent d'inscription sur le domaine auquel le compte de l'utilisateur appartient.

Pour déployer des certificats sur les cartes à puce

  1. Ouvrez Microsoft Internet Explorer®.

  2. Dans la barre d'adresse, entrez l'adresse de l'autorité de certification chargée de délivrer des certificats d'ouverture de session par carte à puce, puis appuyez sur Entrée.

  3. Cliquez sur Demander un certificat, puis sur Demande de certificat avancé. Un écran semblable au suivant s'affiche.


    Services de certificat Microsoft


  4. Cliquez sur Demander un certificat pour une carte à puce au nom d'un autre utilisateur en utilisant la Station d'inscription du certificat de carte à puce. Si vous êtes invité à accepter un contrôle Microsoft ActiveX®, cliquez sur Oui. Vous devez activer l'utilisation de contrôles ActiveX dans Internet Explorer.

  5. Dans l'écran Station d'inscription du certificat de carte à puce (illustré ci-dessous), sélectionnez Ouverture de session par carte à puce. Vous devez également voir les noms de l'autorité de certification, du fournisseur de services cryptographiques et du certificat de signature Administrateur. Si vous ne pouvez pas sélectionner le certificat de signature Administrateur, cela signifie que vous n'avez pas attribué de certificat d'agent d'inscription à l'utilisateur connecté.


    Station d'inscription de carte à puce Microsoft


  6. Dans la liste déroulante Autorité de certification, sélectionnez le nom de l'autorité de certification qui doit délivrer le certificat de carte à puce.

  7. Dans la liste déroulante Fournisseur de services cryptographiques, sélectionnez le fabricant de la carte à puce.

  8. Dans Certificat de signature Administrateur, entrez le nom du certificat d'agent d'inscription qui signera la demande d'inscription ou cliquez sur Sélectionner un certificat pour choisir un nom.

  9. Cliquez sur Sélectionner un utilisateur et choisissez le compte utilisateur approprié. Cliquez sur Inscription.

  10. Lorsque vous y êtes invité, insérez la carte à puce dans le lecteur de carte à puce de votre ordinateur, puis cliquez sur OK. Lorsque le système vous demande un code PIN personnel, entrez le code PIN de la carte à puce.

Configuration des serveurs VPN pour l'authentification par carte à puce

Vous pouvez maintenant configurer le serveur VPN.

Pour configurer le service de routage et accès distant pour accepter l'authentification EAP

  1. Démarrez le composant logiciel enfichable Routage et accès distant.

  2. Cliquez avec le bouton droit sur <nom du serveur> , sélectionnez Propriétés et cliquez sur l'onglet Sécurité.

  3. Cliquez sur Méthodes d'authentification.

  4. Cochez la case Protocole EAP (Extensible Authentication Protocol), comme illustré ci-dessous, puis cliquez sur OK.


    Propriétés de DCI (local)


  5. Cliquez sur OK.

Configuration des stratégies d'accès distant pour l'authentification par carte à puce

Vous pouvez maintenant activer EAP dans les stratégies d'accès distant. Le composant Stratégies d'accès distant fait partie du composant logiciel enfichable Routage et accès distant. Toutefois, si le service IAS (Internet Authentication Service), également connu sous le nom de Remote Authentication Dial-in User Service ou RADIUS, est installé, le composant Stratégies d'accès distant fait partie du composant logiciel enfichable IAS.

Pour activer EAP dans les stratégies d'accès distant

  1. Dans le volet de gauche du composant Routage et accès distant, cliquez sur Stratégies d'accès distant.

  2. Dans le volet de droite, cliquez deux fois sur Connexions au serveur d'accès à distance et de routage Microsoft. Un écran semblable au suivant s'affiche.


    Connexions au serveur d'accès à distance et de routage Microsoft


  3. Sélectionnez Modifier le profil, cliquez sur l'onglet Authentification et sélectionnez Méthodes EAP, comme illustré ci-dessous.


    Modifier un profil d'appel entrant


  4. Si Carte à puce ou autre certificat ne figure pas dans la liste Types EAP, comme illustré ci-dessous, cliquez sur Ajouter, sélectionnez Carte à puce ou autre certificat et cliquez sur OK.


    Sélectionner des fournisseurs de protocoles EAP


  5. Sélectionnez Carte à puce ou autre certificat et cliquez sur Modifier. Un écran semblable au suivant s'affiche.


    Propriétés des cartes à puce ou des autres certificats


  6. Dans la liste déroulante, sélectionnez le certificat à utiliser pour l'authentification et cliquez trois fois sur OK.

  7. Assurez-vous que Accorder l'autorisation d'accès distant est sélectionné, cliquez sur OK puis fermez Routage et accès distant.

Configuration des clients VPN pour l'authentification par carte à puce

Vous devez ensuite configurer le client pour qu'il utilise l'authentification EAP pour la prise en charge des cartes à puce.

Pour créer une entrée d'annuaire téléphonique

  1. Cliquez sur Démarrer, pointez sur Connexion, puis sur Afficher toutes les connexions. Dans la liste Gestion du réseau, cliquez sur Créer une nouvelle connexion. Cliquez ensuite sur Suivant dans l'écran Assistant Nouvelle connexion. L'écran suivant s'affiche.


    Assistant Nouvelle connexion

  2. Sélectionnez Connexion au réseau d'entreprise, puis cliquez sur Suivant.

  3. Sélectionnez Connexion réseau privé virtuel, puis cliquez sur Suivant.

  4. Entrez le nom de la connexion dans le champ Nom de la société, puis cliquez sur Suivant. L'écran suivant s'affiche.

    Assistant Nouvelle connexion


  5. Si votre connexion à Internet est permanente, sélectionnez Ne pas établir la connexion initiale, puis cliquez sur Suivant. Si vous devez établir une connexion avant de créer le VPN, sélectionnez Établir cette connexion initiale automatiquement, choisissez la connexion à établir dans la liste déroulante, puis cliquez sur Suivant.

  6. Entrez le nom du serveur VPN ou son adresse IP dans le champ Nom d'hôte ou adresse IP, puis cliquez sur Suivant.

  7. Sélectionnez Utiliser ma carte à puce, cliquez sur Suivant, puis sur Terminer.

Une fois l'entrée de l'annuaire téléphonique créée, vous devez la configurer pour l'utilisation du protocole EAP.

Pour configurer une connexion active pour l'utilisation de l'authentification par carte à puce

  1. Cliquez avec le bouton droit sur la connexion, sélectionnez Propriétés, puis cliquez sur l'onglet Sécurité. L'écran suivant s'affiche.

    Propriétés de MyCompany


  2. Assurez-vous que l'option Par défaut (paramètres recommandés) est sélectionnée, puis sélectionnez Utiliser une carte à puce dans la liste déroulante Valider mon identité comme suit.

  3. Sélectionnez Avancées (paramètres personnalisés), puis cliquez sur Paramètres.

  4. Cliquez sur Carte à puce ou autre certificat (cryptage activé).

  5. Cliquez sur Propriétés, puis sur Utiliser ma carte à puce.

  6. Vérifiez que l'option Valider le certificat du serveur est sélectionnée.

  7. Le cas échéant, cochez la case Établir la connexion seulement si le nom du serveur se termine par.

  8. Dans le champ Autorité de certification racine de confiance, cliquez sur le nom de l'autorité de certification qui a délivré le certificat pour la carte à puce ou sur le certificat utilisateur installé.

  9. Le cas échéant, activez la case à cocher Utiliser un nom d'utilisateur différent pour la connexion.

  10. L'utilisateur doit être connecté à l'ordinateur pour que le protocole EAP puisse être utilisé avec un certificat utilisateur.

Configuration des clients VPN pour l'authentification par carte à puce à l'aide de Connection Manager

Vous pouvez utiliser Connection Manager pour configurer les connexions VPN pour plusieurs clients.

Pour installer le kit d'administration de Connection Manager sur un ordinateur exécutant Windows Server 2003

  1. Cliquez sur Démarrer, Panneau de configuration, puis sur Ajout/Suppression de programmes.

  2. Dans la boîte de dialogue Ajout/Suppression de programmes, cliquez sur Ajouter/Supprimer des composants Windows.

  3. Dans l'écran Assistant Composants de Windows, sélectionnez Outils de gestion et d'analyse, puis cliquez sur Détails. Un écran semblable au suivant s'affiche.


    Outils de gestion et d'analyse


  4. Dans la boîte de dialogue Outils de gestion et d'analyse, sélectionnez Kit d'administration de Connection Manager, cliquez sur OK, sur Suivant, puis sur Terminer.

Pour utiliser le kit d'administration de Connection Manager pour créer un profil de connexion VPN à distribuer aux utilisateurs

  1. Cliquez sur Démarrer, Outils d'administration, puis sur Kit d'administration de Connection Manager.

  2. Dans l'écran Assistant Kit d'administration de Connection Manager, cliquez sur Suivant.

  3. Assurez-vous que Nouveau profil est sélectionné, puis cliquez sur Suivant.

  4. Entrez le nom du profil dans le champ Nom du service et indiquez le nom du fichier exécutable distribué aux clients dans le champ Nom du fichier.

  5. L'écran Nom de domaine Kerberos (représenté ci-dessous) vous permet d'ajouter un nom de domaine Kerberos au nom d'utilisateur. L'ajout de ce nom peut être nécessaire pour identifier les utilisateurs qui se connectent à votre VPN via un serveur d'accès réseau tiers qui utilise RADIUS pour transmettre les informations d'identification réseau à vos serveurs IAS (Internet Authentication Service).

    Si ce nom n'est pas requis, sélectionnez Ne pas ajouter de nom de domaine Kerberos au nom d'utilisateur, puis cliquez sur Suivant.

    Assistant Kit d'administration de Connection Manager


  6. L'écran Fusion de profils de service en cours permet de fusionner des profils Connection Manager configurés précédemment. Effectuez cette opération si vous devez intégrer des informations incluses dans d'autres profils (numéros d'accès réseau, par exemple) au profil actif. Ajoutez les profils requis, puis cliquez sur Suivant.

  7. L'écran Prise en charge VPN (illustré ci-dessous) permet de créer un annuaire téléphonique à partir du profil et de configurer le ou les serveurs VPN pour vos clients VPN.

    Assistant Kit d'administration de Connection Manager


    Un annuaire téléphonique contient des informations telles que le code de zone, le numéro de téléphone et les méthodes d'authentification des utilisateurs. L'annuaire de Connection Manager contient également d'autres paramètres réseau configurés à l'aide de l'Assistant Kit d'administration de Connection Manager.

    Si vous souhaitez que votre client puisse se connecter à plusieurs serveurs VPN, vous pouvez créer une liste de serveurs VPN dans un fichier texte (comme illustré ci-dessous). Pour que la connexion utilise une liste de serveurs VPN, sélectionnez Autoriser l'utilisateur à choisir un serveur VPN lors de la connexion, accédez au fichier texte, puis cliquez sur Suivant.

    listevpn.txt - Bloc-notes


  8. Dans l'écran Entrées VPN, sélectionnez le profil en cours de création, cliquez sur Modifier, puis sur l'onglet Sécurité. La boîte de dialogue suivante s'affiche.


    Modifier l'entrée de réseau privé virtuel


  9. Dans la liste déroulante Paramètres de sécurité, sélectionnez Utilisez les paramètres de sécurité avancés, puis cliquez sur Configurer. La boîte de dialogue suivante s'affiche.

    Paramètres de sécurité avancés


  10. Vérifiez que Nécessite un cryptage est sélectionné dans la liste déroulante Cryptage des données et veillez à sélectionner le protocole de mise en tunnel approprié dans la liste déroulante des stratégies VPN.

    Sélectionnez Utiliser le protocole EAP (Extensible Authentication) et Carte à puce ou autre certificat (cryptage activé) dans la liste déroulante correspondante, puis cliquez sur Propriétés. Un écran semblable au suivant s'affiche.

    Propriétés des cartes à puce ou des autres certificats


  11. Assurez-vous que l'option Utiliser ma carte à puce est sélectionnée et activez la case à cocher Valider le certificat du serveur si vous souhaitez que le client confirme la validité du serveur. Vous pouvez également entrer le nom d'un ou plusieurs serveurs auxquels se connecter et l'autorité de certification racine du certificat à utiliser pour la validation du serveur. Si votre client doit s'authentifier à l'aide d'un nom d'utilisateur différent de celui du certificat, sélectionnez Utiliser un nom d'utilisateur différent pour la connexion. Cliquez trois fois sur OK, puis sur Suivant.

  12. L'écran Annuaire téléphonique vous permet d'ajouter un fichier d'annuaire téléphonique supplémentaire au profil et de télécharger automatiquement les mises à jour de l'annuaire. L'annuaire téléphonique contient des informations telles que le code de zone, le numéro de téléphone et les méthodes d'authentification des utilisateurs prises en charge. L'annuaire de Connection Manager contient également d'autres paramètres réseau configurés à l'aide de l'Assistant Kit d'administration de Connection Manager. Si vous sélectionnez Téléchargement automatique des mises à jour de l'annuaire téléphonique, vous devez indiquer l'emplacement à partir duquel les mises à jour sont téléchargées. Ne sélectionnez pas cette option s'il n'est pas nécessaire de télécharger les mises à jour de l'annuaire. Cliquez sur Suivant.

  13. Si vous utilisez une connexion d'accès distant, sélectionnez l'entrée et cliquez sur Modifier dans l'écran Entrées de l'Accès réseau à distance. (Si vous n'utilisez pas ce type de connexion, vous trouverez ci-dessous une procédure indiquant comment le désactiver.) Une fois la configuration appropriée définie, ou si vous n'utilisez pas la connexion d'accès distant, cliquez sur Suivant. Les écrans de l'Assistant présentés dans les étapes 14 à 25 permettent de configurer des composants facultatifs destinés principalement à modifier l'apparence de la connexion.

  14. Pour configurer les informations de routage de la connexion, vous pouvez utiliser l'écran Mise à jour de la table de routage. Par défaut, le client VPN se connecte à tous les réseaux auxquels il n'est pas connecté directement via l'interface VPN. Toutefois, si vous ne configurez pas le client VPN pour utiliser la connexion VPN comme passerelle par défaut, vous pouvez créer des entrées personnalisées dans la table de routage afin de permettre au client VPN d'accéder à des sous-réseaux sélectionnés au sein du réseau interne. Lorsque vous avez terminé, cliquez sur Suivant.

  15. Pour obliger les clients VPN à utiliser le serveur VPN comme serveur proxy Web, utilisez les paramètres de l'écran Configuration automatique du proxy. Cliquez sur Suivant.

  16. Pour spécifier des programmes qui démarrent automatiquement avant, après ou pendant la connexion VPN, utilisez les paramètres de l'écran Actions personnalisées. Cliquez sur Suivant.

  17. Pour créer un graphique spécial qui s'affiche lorsque l'utilisateur ouvre la connexion VPN, utilisez les paramètres de l'écran Bitmap de connexion. La taille de ce graphique doit être de 330 x 140 pixels. Cliquez sur Suivant.

  18. Pour créer un graphique spécial qui s'affiche lorsque l'utilisateur ouvre l'annuaire téléphonique, utilisez les paramètres de l'écran Bitmap de l'annuaire téléphonique. La taille de ce graphique doit être de 114 x 309 pixels. Cliquez sur Suivant.

  19. Pour indiquer les icônes devant apparaître dans l'interface utilisateur de Connection Manager, utilisez les paramètres de l'écran Icônes. Cliquez sur Suivant.

  20. Pour ajouter des éléments aux menus contextuels de Connection Manager, utilisez les paramètres de l'écran Menu du raccourci Zone de notification. Cliquez sur Suivant.

  21. Pour attribuer un fichier d'aide personnalisé aux utilisateurs, utilisez les paramètres de l'écran Fichier d'aide. Cliquez sur Suivant.

  22. Pour fournir une assistance technique aux utilisateurs, utilisez les paramètres de l'écran Informations de support technique. Cliquez sur Suivant.

  23. Vous pouvez passer en revue les paramètres définis dans l'écran Logiciel Connection Manager. Vous avez la possibilité d'installer Connection Manager version 1.3 sur les clients sur lesquels il n'est pas déjà installé. Cliquez sur Suivant.

  24. Pour ajouter un contrat de licence personnalisé à la connexion, utilisez l'écran Contrat de licence. Cliquez sur Suivant.

  25. Pour ajouter des fichiers supplémentaires au profil Connection Manager, utilisez l'écran Fichiers supplémentaires. Cliquez sur Suivant.

  26. Dans l'écran Prêt à créer le profil de service, sélectionnez Personnalisation avancée, puis cliquez sur Suivant.

  27. L'écran Personnalisation avancée (illustré ci-dessous) permet de configurer la valeur des paramètres des fichiers de configuration de votre profil. Dans le cas des connexions VPN prenant en charge les cartes à puce, vous devez désactiver le paramètre Dialup en définissant sa valeur sur 0. Les paramètres HideDomain, HideUserName et HidePassword sont activés.

    Assistant Kit d'administration de Connection Manager


  28. Les fichiers de configuration de profil sont des fichiers texte portant les extensions .inf, .cms et .cmp. L'Assistant lit les fichiers par défaut template.inf, template.cms et template.cmp, installés avec le kit d'administration de Connection Manager.

    Une fois l'exécution de l'Assistant terminée, de nouveaux fichiers de configuration de profil portant les noms profilename.inf, profilename.cms et profilename.cmp sont créés. Vous pouvez modifier les fichiers de modèles par défaut pour y ajouter des paramètres qui pourront être configurés par tous les utilisateurs de l'Assistant.

    Pour plus d'informations sur les options de personnalisation avancées de Connection Manager, consultez la page consacrée aux options de personnalisation avancées de Connection Manager, à l'adresse www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/ierk/Ch14_d.mspx.

    La possibilité de masquer les champs de domaine, de nom d'utilisateur et de mot de passe a été ajoutée au fichier template.cms (représenté ci-dessous) de sorte que cette fonctionnalité puisse être ajoutée selon les besoins. MPPE utilisant le mot de passe de l'utilisateur au cours du processus de chiffrement, il est possible que les champs de nom d'utilisateur et de mot de passe soient requis par la solution.


    template.cms - Bloc-notes


  29. Une fois tous les paramètres modifiés, cliquez sur Suivant pour créer les fichiers exécutables et de configuration. Notez l'emplacement de stockage des fichiers, puis cliquez sur Terminer. Pour distribuer le fichier exécutable aux clients, faites appel aux méthodes de distribution logicielles standard. Le client peut exécuter manuellement le fichier, mais vous pouvez également automatiser le processus d'installation de la connexion VPN.

Vérification de la solution VPN fondée sur les cartes à puce

Le but du processus de vérification consiste à identifier les éventuels problèmes liés à la conception ou à la configuration de la solution avant que celle-ci ne soit déployée. Pour vérifier votre solution, vous devez exécuter les principales procédures qui la composent. Les principales procédures à vérifier sont les suivantes :

  • Attribution d'un certificat à une carte à puce.

  • Distribution du profil Connection Manager.

  • Installation du profil Connection Manager.

  • Connexion au serveur VPN au moyen de l'authentification par carte à puce.

  • Accès aux ressources réseau internes via la connexion VPN.

Résolution des problèmes liés à la solution VPN fondée sur les cartes à puce

L'objectif du processus de vérification consiste à résoudre les problèmes liés à la solution, à identifier les points faibles du processus et à les éliminer.

Le tableau ci-dessous fournit des consignes pour résoudre les problèmes liés à la solution VPN fondée sur les cartes à puce.

Tableau 1. Consignes de résolution des problèmes liés à la solution VPN fondée sur les cartes à puce

Problème

Solution

Les certificats appropriés ne sont pas disponibles dans l'autorité de certification.

Activez les modèles de certificats dans Sites et services Active Directory.

Accordez les droits d'inscription.

Impossible d'attribuer les certificats à la carte à puce.

Installez l'encodeur de carte à puce.

Attribuez le certificat d'agent d'inscription.

Le serveur VPN ne parvient pas à authentifier les clients distants.

Configurez le serveur pour la prise en charge de l'authentification EAP-TLS.

Assurez-vous que le client fait confiance au certificat utilisé sur le serveur.

Le client tente d'établir une connexion avant la création du VPN.

Configurez le client de sorte qu'il n'établisse pas la connexion initiale.

Le client ne tente pas d'établir une connexion avant la création du VPN.

Configurez le client de sorte qu'il établisse la connexion initiale.

Lorsque le client tente de créer le VPN, il est invité à fournir un nom d'utilisateur, un nom de domaine et un mot de passe.

Vérifiez que la connexion VPN est configurée pour utiliser une carte à puce.

Vérifiez que les paramètres HideUserName, HideDomain et HidePassword sont activés.

Il n'existe pas d'objet de connexion dans les connexions réseau du client.

Assurez-vous que le profil Connection Manager a été fourni au client.

Assurez-vous que le fichier exécutable du profil Connection Manager a été exécuté.

Le client ne se connecte pas au serveur VPN.

Vérifiez que la connexion client est configurée avec le nom de serveur VPN approprié.

Vérifiez que le client sélectionne le serveur correct dans la liste des serveurs VPN.

Impossible d'authentifier le client auprès du serveur VPN.

Assurez-vous que le client se connecte au serveur VPN approprié.

Assurez-vous que le serveur VPN fait confiance au certificat de la carte à puce.

Pour obtenir des informations générales sur la résolution des problèmes liés aux connexions VPN, consultez le document relatif à la résolution des problèmes liés aux réseaux privés virtuels sur le site Microsoft TechNet à l'adresse http://technet2.microsoft.com/WindowsServer/fr/Library/4543aff5-e10f-487c-92ad-bb5518a736201036.mspx.

Résumé

L'implémentation de cartes à puce pour authentifier les connexions d'accès distant assure une protection plus efficace que les combinaisons de nom d'utilisateur et de mot de passe. Les cartes à puce mettent en œuvre une authentification bifacteur (une carte à puce associée à un code PIN). L'authentification bifacteur est nettement plus difficile à compromettre ; le code PIN est plus facile à mémoriser qu'un mot de passe sûr.

L'utilisation de l'authentification par carte à puce par les utilisateurs distants permet de protéger le réseau plus efficacement, plus sûrement et à moindre coût.


Télécharger

Obtenir l'article Prise en charge de l'ouverture de session par carte à puce pour les connexions VPN d'accès distant



Afficher: