Sélectionner et configurer des VPN
Lors de la planification des VPN, Contoso doit prendre en compte plusieurs facteurs, notamment le protocole de tunneling approprié et la méthode d’authentification. Ils doivent également prendre en compte la meilleure façon de configurer leurs serveurs VPN pour prendre en charge les besoins d’accès à distance de leurs utilisateurs.
Sélectionner un protocole de tunneling
Contoso peut choisir d’implémenter des VPN à l’aide de l’un de plusieurs protocoles de tunneling et méthodes d’authentification. Les connexions VPN peuvent utiliser l’un des protocoles de tunneling suivants :
- Protocole PPTP (Point à Point Tunneling Protocol)
- Protocole de tunneling de couche 2 avec sécurité du protocole Internet (L2TP/IPsec)
- Protocole SSTP (Secure Socket Tunneling Protocol)
- Internet Key Exchange version 2 (IKEv2)
Tous les protocoles de tunneling VPN partagent trois fonctionnalités :
- Encapsulation. La technologie VPN encapsule des données privées avec un en-tête qui contient des informations de routage, ce qui permet aux données de traverser le réseau de transit.
- Authentification. Il existe trois types d’authentification pour les connexions VPN, notamment :
- Authentification au niveau de l’utilisateur à l’aide de l’authentification PPP (Point à Point Protocol).
- Authentification au niveau de l’ordinateur à l’aide d’Internet Key Exchange (IKE).
- Authentification de l’origine des données et intégrité des données.
- Chiffrement des données. Pour garantir la confidentialité des données au fur et à mesure qu’elle traverse le réseau de transport en commun ou partagé, l’expéditeur chiffre les données et le récepteur le déchiffre.
Le tableau suivant décrit les protocoles de tunneling pris en charge.
| Protocole | Description |
|---|---|
| PPTP | Vous pouvez utiliser PPTP pour l’accès à distance et les connexions VPN de site à site (réseau privé virtuel). Lorsque vous utilisez Internet comme réseau public VPN, le serveur PPTP est un serveur VPN compatible PPTP qui a une interface sur Internet et un sur votre intranet. |
| L2TP/IPsec | L2TP vous permet de chiffrer le trafic multiprotocol envoyé sur n’importe quel support qui prend en charge la remise de datagramme point à point, comme l’adresse IP ou le mode de transfert asynchrone (ATM). L2TP est une combinaison de PPTP et de transfert de couche 2 (L2F). L2TP représente les meilleures fonctionnalités de PPTP et L2F. |
| SSTP | SSTP est un protocole de tunneling qui utilise le protocole HTTPS sur le port TCP 443 pour transmettre le trafic via des pare-feu et des proxys web, ce qui peut autrement bloquer le trafic PPTP et L2TP/IPsec. SSTP fournit un mécanisme permettant d’encapsuler le trafic PPP sur le canal SSL du protocole HTTPS. L’utilisation de PPP permet la prise en charge de méthodes d’authentification fortes, telles que EAP-TLS. SSL fournit une sécurité au niveau du transport avec une négociation de clés, un chiffrement et une vérification de l’intégrité améliorés. |
| IKEv2 | IKEv2 utilise le protocole mode tunnel IPsec sur le port UDP 500. IKEv2 prend en charge la mobilité, ce qui en fait un bon choix de protocole pour un personnel mobile. Les VPN basés sur IKEv2 permettent aux utilisateurs de se déplacer facilement entre les points d’accès sans fil ou entre les connexions sans fil et câblées. |
Avertissement
Vous ne devez pas utiliser PPTP en raison de vulnérabilités de sécurité. Au lieu de cela, utilisez IKEv2 dans la mesure du possible, car il est plus sécurisé et offre des avantages par rapport à L2TP.
Sélectionnez une option d'authentification
L’authentification des clients d’accès est un problème de sécurité important. Les méthodes d’authentification utilisent généralement un protocole d’authentification négocié pendant le processus d’établissement de connexion. Le rôle serveur d’accès à distance prend en charge les méthodes décrites dans le tableau suivant.
| Méthode | Description |
|---|---|
| PAP | Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en texte clair et est le protocole d’authentification le moins sécurisé. Il est généralement négocié si le client d’accès à distance et le serveur d’accès à distance ne peuvent pas négocier une forme de validation plus sécurisée. Windows Server inclut PAP pour prendre en charge les systèmes d’exploitation clients plus anciens qui ne prennent pas en charge d’autres méthodes d’authentification. |
| CHAP | Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole d’authentification challenge-response qui utilise le schéma de hachage MD5 standard pour chiffrer la réponse. Différents fournisseurs de serveurs d’accès réseau et de clients utilisent CHAP. Toutefois, étant donné que CHAP exige que vous utilisiez un mot de passe chiffré réversible, vous devez envisager d’utiliser un autre protocole d’authentification, tel que MS-CHAPv2. |
| MS-CHAPv2 | Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAPv2) est un mot de passe unidirectionnel, un mot de passe chiffré, un protocole d’authentification mutuelle et fournit des améliorations sur CHAP. |
| EAP | Si vous utilisez EAP (Extensible Authentication Protocol), un mécanisme d’authentification arbitraire authentifie une connexion d’accès à distance. Le client d’accès à distance et l’authentificateur, qui est le serveur d’accès à distance ou le serveur RADIUS (Remote Authentication Dial-In User Service), négocient le schéma d’authentification exact qu’ils utiliseront. Le routage et l’accès à distance incluent la prise en charge de l’authentification extensible Protocol-Transport Layer Security (EAP-TLS) par défaut. Vous pouvez connecter d’autres modules EAP au serveur exécutant le routage et l’accès à distance pour fournir d’autres méthodes EAP. |
Considérations supplémentaires
Outre le protocole de tunneling et la méthode d’authentification, avant de déployer la solution VPN de votre organisation, vous devez prendre en compte les éléments suivants :
- Vérifiez que votre serveur VPN a deux interfaces réseau. Vous devez déterminer l’interface réseau qui se connecte à Internet et qui se connecte à votre réseau privé. Pendant la configuration, vous devez choisir l’interface réseau qui se connecte à Internet. Si vous spécifiez l’interface réseau incorrecte, votre serveur VPN d’accès à distance ne fonctionne pas correctement.
- Déterminez si les clients distants reçoivent des adresses IP d’un serveur DHCP sur votre réseau privé ou à partir du serveur VPN d’accès à distance que vous configurez. Si vous disposez d’un serveur DHCP sur votre réseau privé, le serveur VPN d’accès à distance peut louer 10 adresses à la fois à partir du serveur DHCP, puis affecter ces adresses aux clients distants. Si vous n’avez pas de serveur DHCP sur votre réseau privé, le serveur VPN d’accès à distance peut générer et affecter automatiquement des adresses IP aux clients distants. Si vous souhaitez que le serveur VPN d’accès à distance attribue des adresses IP à partir d’une plage que vous spécifiez, vous devez déterminer ce que cette plage doit être.
- Déterminez si vous souhaitez un serveur RADIUS (Remote Authentication Dial-In User Service) ou un serveur VPN à accès distant que vous configurez pour authentifier les demandes de connexion à partir de clients VPN. L’ajout d’un serveur RADIUS est utile si vous envisagez d’installer plusieurs serveurs VPN à accès distant, des points d’accès sans fil ou d’autres clients RADIUS à votre réseau privé.