Windows 7 et la Mobilité : VPN Reconnect et DirectAccess

Article rédigé par Rémy LARRIEU - SUPINFO Etudiant passionné d'informatique et de nouvelles technologies, je me suis spécialisé dans les techno Microsoft (Certifiés MCTS) et essaie au mieux de partager mes connaissances et de participer à la communauté. Voyant les possibilités introduites par Windows 7 et Windows Server 2008 R2, autant du coté utilisateur que du côté de l'administrateur, j'ai décidé de me plonger dedans et de découvrir les multiples nouveautés et possibilités que Seven offre. Pour toute question, vous pouvez me joindre par mail : remy.larrieu@supinfo.com Bonne lecture à tous, Découvrez les autres articles des auteurs de SUPINFO

Sommaire de l'article

• Introduction
• VPN Reconnect
• DirectAccess
• Conclusion

Introduction

Bien que Windows Seven ait été développé sur les bases de Vista il apporte tout de même son lot d'innovations dont certaines concernant la mobilité. En effet celles-ci permettent de faciliter le travail de l'utilisateur mais aussi de l'administrateur du système d'information de l'entreprise tout en sécurisant les PC portables.

Haut de page

VPN Reconnect

Cette première nouveauté permet de reconnecter le VPN d'un utilisateur lorsqu'il perd sa connexion à Internet. Prenez par exemple un utilisateur chez lui avec son PC portable. Il est connecté au travers d'un VPN à son entreprise par le biais d'une connexion en Wifi. Admettons maintenant qu'il perde sa connexion intempestivement et la retrouve peu après, il devra alors se reconnecter en allant chercher à nouveau sa connexion VPN, entrer une nouvelle fois ses identifiants et peut-être passer par une période de quarantaine. Hors, dès maintenant, le VPN se met dans un mode dit « dormant » et se réactive dès que la connexion Internet est retrouvée, même si l'utilisateur se reconnecte par le biais d'une autre connexion (3G, câble ethernet, …).

Cette opération est transparente pour l'utilisateur et le VPN ne prend que quelques secondes pour être de nouveau opérationnel.

C’est IKEv2, nouveau protocole de Windows Seven et Serveur 2008 R2, qui sera utilisé pour pouvoir activer cette option. De plus le temps d’inactivité avant de se déconnecter est aussi réglable sur le poste client.

Du coté Serveur les services de Routage et ceux d’Accès à distance doivent être activés. Une fois votre VPN configuré sur le serveur vous pouvez voir un nouvel onglet IKEv2 ou vous pourrez modifier les options de configuration de VPN Reconnect.

Haut de page

DirectAccess

Qui n’a pas rêvé d’avoir accès aux partages réseaux de son entreprise sans initialiser une connexion VPN ?

Cette nouveauté va permettre aux utilisateurs d’avoir accès à toutes les ressources de l’entreprise (partages réseaux, intranet, …) tout en étant connecté à un hot-spot, à la maison ou encore au réseau 3G. En effet cette technologie permet à l’utilisateur de travailler à l’extérieur de l’entreprise comme s‘il était dans son bureau.

Désormais l’administrateur systèmes sera plus serein concernant les PC portables et la sécurité, car Direct Access permet aussi de faire passer les GPO ou encore les mises à jours ce qui permettra de garder la main sur le matériel même en dehors de l’entreprise.

Direct Access est en fait une architecture sécurisée, flexible(notamment avec IP-HTTPS : encapsulation de l’IPv6 dans des trames HTTP) et bidirectionnelle qui ne requiert aucune action de la part de l’employé pour se connecter, comme ouvrir des ports sur son pare-feu ou activer la connexion manuellement. Tout est automatique et transparent dès qu’il se connecte à Internet.

Cette technologie allie donc sécurité et performance en utilisant des protocoles tels que  IPSec ou encore  IPv6. Voici les différents éléments de Direct Access :

• Authentification : L’ordinateur est authentifié sur le réseau avant même que l’utilisateur se logue. De plus Direct Access accepte aussi la double authentification avec par exemple, une carte à puce.
• Cryptage des données : La communication se fait au travers d’un VPN crypté avec IPSec , où vous pouvez utiliser, par exemple, l’algorithme 3DES utilisant 3 clés de 56 bits chacune, mais aussi AES.
• L’Access Control : L’administrateur peut contrôler à quel serveur l’utilisateur peut se connecter.
• IPv6 : Direct Access utilise IPv6 comme protocole de communication et peut se connecter au travers d’Internet grâce au protocole Teredo, 6to4, NAT-PT (Network Address Translation–Protocol Translation) ou encore ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) qui permettent d’être compatibles avec des équipements IPv4 du Fournisseur de Connexion Internet ou encore ceux du réseau dans lequel se trouve l’utilisateur.

L’architecture de Direct Access se présente comme l’image ci-dessous. Deux tunnels sont créés :

Le premier utilise un certificat, il permet d’avoir un accès au serveur DNS et au serveur Active Directory pour télécharger les GPO et authentifier l’utilisateur.

Le second utilise un certificat mais aussi l’identification de l’utilisateur. Il permet à l’utilisateur d'accéder aux ressources du réseau.

Trois méthodes peuvent être utilisées pour mettre en place une connexion sécurisée au réseau de l’entreprise avec Direct Access :

• Full-Intranet-Access (End-to-Edge): Cette méthode permet à l’utilisateur de se connecter à l’ensemble des ressources présentes sur le réseau de l’entreprise. Moins sécurisée car les données échangées ne sont cryptées que sur Internet et ce cryptage s’arrête à la passerelle IPSec.
• Selected Server Access (End-to-Edge modifié):  Celle-ci reprend le modèle Full-Intranet-Access à ceci près qu’il rajoute un autre système d’authentification en créant une nouvelle règle IPSec nécessitant le cryptage ESP NULL ou AH. Ceci permettra à l’administrateur de régler sur quel serveur doit se connecter tel ou tel utilisateur.
• End-to-End : Cette méthode permet à l’utilisateur de se connecter à chaque serveur d’applications à travers le serveur Direct Access. C’est la méthode la plus sécurisé car le trafic est protégé de bout-en-bout. Néanmoins elle nécessite la mise en place de l’IPv6 et de IPSec dans le réseau interne de l’entreprise.

L’architecture de Direct Access peut se composer de plusieurs serveurs pour augmenter la disponibilité en cas que le nombre d’utilisateurs nomades soit important.

Pour le déploiement et la configuration des clients, trois méthodes sont possibles :

• La console de gestion de Direct Access, la méthode graphique.
• L’installation par script avec Netsh.exe qui permet d’affiner les réglages.
• Configuration des clients avec l’utilisation des GPO.

Pour finir Direct Access possède un outil de monitoring qui vous permettra de surveiller l’activité de Direct Access ou encore de détecter tous les problèmes auxquels vous pourriez faire face.

Haut de page

Conclusion

Microsoft a donc, au final, sorti l’élément qui manquait aux utilisateurs qui pourront désormais utiliser les ressources de l’entreprise à distance, et aux administrateurs qui garderons la main sur leurs matériels. Vous pourrez consulter cette vidéo présentant un exemple du système côté du client. En ce qui concerne VPN Reconnect, cette fonctionnalité sera un atout précieux pour les utilisateurs nomades ayant besoin d’une connexion continue aux ressources de l’entreprise, avant de migrer vers Direct Access.

Haut de page