Généralités et rappels sur les protocoles VPN
PPTP (Point to Point Tunneling Protocol)
PPTP est probablement le plus répandu en ce qui concerne l’accès distant des nomades. Facile à mettre en place (quelques clics à peine pour une installation basique sur Windows Server), il convient parfaitement aux infrastructures ne nécessitant pas de sécurité particulière et nécessite peu de maintenance. Il comblera néanmoins les obligations de chiffrage du trafic avec le protocole Microsoft Point-to-Point Encryption (MPPE). Sa simplicité de mise en place se couple avec le très large support des systèmes d’exploitation clients et l’aisance de configuration d’une connexion PPTP sur ceux-ci qui, pour la plupart, ne nécessiteront pas de client logiciel tiers.
On notera néanmoins des désavantages. L’établissement et le maintien de la session se fait en fait via 2 liens persistants : 1 session GRE (Generic Routing Encapsulation) encapsulant une session PPP et 1 session TCP vers le port 1723 du serveur servant à gérer la session GRE. Utilisant le protocole d’encapsulation GRE, il n’est pas évident qu’il puisse être mis en place partout. En effet, nombre de matériels ne gère pas GRE ce qui rend impossible son implémentation, et notamment les routeurs basiques et les fameuses Box des différents FAI. Autre point faible, l’authentification de l’utilisateur avant l’établissement de la session. Bien qu’utilisant couramment le protocole MS-CHAPv2, cela laisse une place aux mots de passe faibles des utilisateurs, lacune qui peut être comblée par l’emploi de certificats avec EAP-TLS.
L2TP (Layer 2 Tunneling Protocol)
On peut considérer L2TP comme une évolution de PPTP puisqu’il est issu de celui-ci et du L2F de Cisco. Sa RFC ayant été publiée en 1999, c’est un protocole relativement récent. Il est très peu utilisé seul du fait de son absence de sécurité, ce qui fait qu’il est presque toujours utilisé avec IPSec ; il est alors nommé L2TP/IPSec. Celui-ci garantit l’établissement d’un canal sécurisé entre le client et le serveur. Le protocole IKE (Internet Key Exchange) est chargé de négocier l’association de sécurité qui emploie des certificats ou une clé pré-partagée des 2 côtés du canal. Ceci a lieu vers le port UDP 500. Le protocole ESP (Encapsulation Security Payload, protocole n°50) encapsule alors le tunnel L2TP et lui procure confidentialité et authenticité des paquets.
Mais si L2TP/IPSec offre une sécurité accrue, il est difficile à mettre en place et peut rencontrer des problèmes de compatibilité avec des pare-feux. C’est d’ailleurs pour ces raisons qu’il est à l’origine prévu pour établir des liaisons site à site. En effet, il sera souvent utilisé avec des certificats des 2 côtés du canal, ce qui nécessiterait une infrastructure à clés publiques importantes pour des connexions nomades.
SSTP (Secure Socket Tunneling Protocol)
SSTP est aujourd’hui la solution en vogue pour les liaisons VPN. Les appliances dédiées et solutions logicielles se multiplient avec plus ou moins de succès.
SSTP est basé sur le protocole SSL ou TLS et donc sur l’authentification du serveur par certificat et établissement d’une liaison chiffrée entre les 2 hôtes. Cette base lui confère en outre une très large compatibilité avec les équipements réseau, la connexion s’établissant via le protocole TCP vers le port 443. Cette solution de SSL VPN est implémentée nativement sur Windows Server 2008 depuis sa RC0 ce qui évite tout investissement dans une solution tierce. Prévue pour une utilisation des clients nomades uniquement, son support est uniquement fourni par Windows Vista SP1 ; on regrettera son absence dans le Service Pack 3 de Windows XP.
A la fin de la négociation de la session, un paquet IPv4 transitant dans le tunnel SSTP est encapsulé dans un en-tête PPP puis SSTP le tout chiffré avec la clé de session SSL. Sont ajoutés ensuite un en-tête TCP puis IPv4.
 Sommaire
1. Généralités et rappels sur les protocoles VPN
2. Configuration du serveur
3. Configuration du client
4. Considérations notables et dépannage
5. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Windows Server 2008 : VPN SSTP
