Accès à  distance L2TP

par Randy Franklin Smith - Mis en ligne le 10/11/2004 - Publié en Mars 2004

Une puissante authentification pour votre VPN

Pendant de nombreuses années, j'ai vécu avec PPTP comme protocole VPN d'accès à  distance, malgré ses faiblesses en matière de sécurité. Quand Windows 2000 est arrivé, j'ai eu envie d'essayer L2TP (Layer Two Tunneling Protocol) pour découvrir rapidement à  mes dépens certains problèmes liés à  l'utilisation de L2TP avec NAT (Network Address Translation)...Vous pouvez utiliser L2TP pour établir un VPN d'accès à  distance hautement sécurisé et entièrement administrable qui supporte les clients Windows 95 et ultérieurs. Cependant, vous rencontrerez certains problèmes avec les utilisateurs distants qui se trouvent derrière un pare-feu NAT, la configuration des clients, la configuration de certificats, l'authentification et le verrouillage généralisé. Je précise que pendant l'écriture de cet article, j'utilisais la version bêta de Windows Server 2003 ; la version finale est maintenant disponible. Commençons par examiner L2TP sous l'angle d'un composant central d'un VPN d'accès à  distance sécurisé.

PPTP est vulnérable aux attaques d'un intermédiaire liées à  l'intégrité des données et à  leur origine, mais le plus grave est qu'il ne prend en charge que l'authentification basée sur des mots de passe, à  un seul facteur. Par conséquent, si un intrus vole ou devine le mot de passe d'un employé, il peut accéder au réseau de la société. L'authentification à  deux facteurs, constituée de quelque chose que vous connaissez (un mot de passe, par exemple) et de quelque chose que vous possédez (une carte clé sécurisée, un certificat, par exemple) est beaucoup plus difficile à  percer. Vous pouvez utiliser EAP-TLS (Extensible Authentication Protocol- Transport Layer Security) dans Windows XP et plus tard avec PPTP et remplacer ainsi les mots de passe utilisateur par des certificats utilisateur. Cependant, PPTP avec EAP-TLS est encore une authentification à  un seul facteur et elle ne règle pas les vulnérabilités réseau de PPTP. De plus, les certificats ne sont pas portables. Par conséquent, si un utilisateur doit emprunter le portable d'un collègue ou si vous devez remplacer le portable endommagé d'un utilisateur itinérant, les choses se compliquent car vous devez installer le certificat propre à  l'utilisateur sur l'ordinateur, avant que l'utilisateur en question puisse se connecter au VPN pour accéder à  votre réseau.
Bien que Microsoft ait aménagé PPTP au cours des ans pour qu'il reste viable, L2TP s'appuie sur une fondation basée sur les standards beaucoup plus solides, d'authentification à  deux facteurs, de cryptage et d'intégrité des données. Quand vous utilisez L2TP pour vous connecter à  un serveur VPN, L2TP utilise les certificats des ordinateurs client et serveur pour authentifier les systèmes. Quand l'authentification est positive, L2TP établit une connexion IPSec (IP Security) en mode ESP (Encapsulated Security Payload). (IPSec est un protocole très réputé qui fournit la confidentialité, l'intégrité des données et l'authentification pour chaque paquet.) A ce stade, L2TP a crypté toutes les données voyageant au travers du VPN sur l'Internet, protégé la connexion contre des attaques d'intermédiaires et effectué le premier niveau d'authentification. Si vous vous préoccupez de la nécessité évidente de fournir des certificats à  tous vos ordinateurs, sachez que Microsoft offre de superbes outils (par exemple, des stratégies de groupe pour automatiser l'inscription des certificats, CMAK (Connection Manager Administration Kit) pour automatiser le déploiement des clients VPN) pour vous aider dans cette tâche et dans beaucoup d'autres associées au déploiement d'un VPN d'accès à  distance de qualité professionnelle.
Ensuite, L2TP authentifie l'utilisateur. Vous avez le choix entre plusieurs méthodes mais nous allons parler de l'utilisation du mot de passe du compte réseau de l'utilisateur. Vous devez aussi choisir le protocole d'authentification que L2TP utilisera pour vérifier le mot de passe d'un utilisateur. A première vue, cette décision peut sembler sans importance parce que vous utilisez déjà  IPSec. Mais n'oubliez pas que votre serveur VPN doit communiquer avec le DC (domain controller) pour procéder à  l'authentification au niveau utilisateur. De ce fait, le protocole d'authentification peut jouer un grand rôle pour empêcher l'interception du mot de passe d'un utilisateur par des oreilles indiscrètes sur le réseau interne. Dès lors que L2TP a authentifié l'utilisateur, vous disposez d'un tunnel sûr par Internet vers votre réseau. En fait, ce tunnel vous donnera le même accès qu'en vous connectant localement, un peu plus lentement il est vrai.
Je me félicitais de l'arrivée de L2TP avec Win2K, mais j'ai rapidement découvert une difficulté. Après avoir établi L2TP, j'ai pu me connecter à  mon serveur VPN, alors que j'étais en déplacement, en me connectant à  Internet par l'intermédiaire de mon FAI (ISP) global. Mais quand j'ai branché mon portable au LAN d'un client et que j'ai essayé de me connecter à  mon serveur VPN, L2TP a échoué avec le code d'erreur 791 : The L2TP connection attempt failed because security policy for the connection was not found. Ce problème est survenu parce que, comme beaucoup de sociétés, mon client utilise NAT pour cacher le réseau interne aux yeux d'Internet. Comme NAT change les numéros de ports TCP et UDP quand vous transmettez des paquets entre Internet et l'intranet, le contrôle d'intégrité des données d'IPSec échoue avec L2TP. Cette limitation empêche de nombreuses entreprises d'utiliser L2TP comme protocole d'accès à  distance viable parce que beaucoup d'utilisateurs distants se connectent à  partir des LAN d'autres partenaires, ou à  partir de réseaux domestiques, qui tous utilisent abondamment NAT.
Pour résoudre ce problème, quelques ténors tels que Microsoft, Nortel Networks, F-Secure et Cisco Systems, ont développé NAT-T (NETTransversal). Il existe un document draft pour ce nouveau standard au site Web IETF (http://www.ietf.org/internet- drafts/draft-ietf-ipsec-udp-encaps- 06.txt). NAT-T offre à  deux ordinateurs le moyen de détecter la présence d'une ou plusieurs unités NAT entre eux puis d'encapsuler les paquets IPSec habituels à  l'intérieur des paquets 4500 du port UDP. Au moment de la publication, Microsoft envisage de supporter Win98 et produits ultérieurs comme clients VPN en utilisant L2TP avec NAT-T. Bien que vous puissiez utiliser les clients antérieurs et les DC et CA (Certificate Authorities) Win2K, votre serveur VPN doit être sous Windows 2003.