Accès à  distance L2TP

PPTP est vulnérable aux attaques d’un intermédiaire liées à  l’intégrité des données
et à  leur origine, mais le plus grave est qu’il ne prend en charge que l’authentification
basée sur des mots de passe, à  un seul facteur. Par conséquent, si un intrus
vole ou devine le mot de passe d’un employé, il peut accéder au réseau de la société.
L’authentification à  deux facteurs, constituée de quelque chose que vous
connaissez (un mot de passe, par exemple) et de quelque chose que vous possédez
(une carte clé sécurisée, un certificat, par exemple) est beaucoup plus difficile
à  percer. Vous pouvez utiliser EAP-TLS (Extensible Authentication Protocol-
Transport Layer Security) dans Windows
XP et plus tard avec PPTP et remplacer
ainsi les mots de passe utilisateur par des
certificats utilisateur. Cependant, PPTP
avec EAP-TLS est encore une authentification
à  un seul facteur et elle ne règle
pas les vulnérabilités réseau de PPTP. De
plus, les certificats ne sont pas portables.
Par conséquent, si un utilisateur doit emprunter
le portable d’un collègue ou si
vous devez remplacer le portable endommagé
d’un utilisateur itinérant, les choses se compliquent car vous devez
installer le certificat propre à  l’utilisateur sur l’ordinateur, avant que l’utilisateur
en question puisse se connecter au VPN pour accéder à  votre réseau.
Bien que Microsoft ait aménagé
PPTP au cours des ans pour qu’il reste
viable, L2TP s’appuie sur une fondation
basée sur les standards beaucoup
plus solides, d’authentification à  deux
facteurs, de cryptage et d’intégrité des
données. Quand vous utilisez L2TP
pour vous connecter à  un serveur VPN,
L2TP utilise les certificats des ordinateurs
client et serveur pour authentifier
les systèmes. Quand l’authentification
est positive, L2TP établit une
connexion IPSec (IP Security) en mode
ESP (Encapsulated Security Payload).
(IPSec est un protocole très réputé qui
fournit la confidentialité, l’intégrité des
données et l’authentification pour
chaque paquet.) A ce stade, L2TP a
crypté toutes les données voyageant
au travers du VPN sur l’Internet, protégé
la connexion contre des attaques
d’intermédiaires et effectué le premier
niveau d’authentification. Si vous vous
préoccupez de la nécessité évidente de
fournir des certificats à  tous vos ordinateurs,
sachez que Microsoft offre de
superbes outils (par exemple, des stratégies
de groupe pour automatiser
l’inscription des certificats, CMAK
(Connection Manager Administration
Kit) pour automatiser le déploiement
des clients VPN) pour vous aider dans
cette tâche et dans beaucoup d’autres
associées au déploiement d’un VPN
d’accès à  distance de qualité professionnelle.
Ensuite, L2TP authentifie l’utilisateur.
Vous avez le choix entre plusieurs
méthodes mais nous allons parler de
l’utilisation du mot de passe du
compte réseau de l’utilisateur. Vous devez
aussi choisir le protocole d’authentification
que L2TP utilisera pour vérifier
le mot de passe d’un utilisateur. A
première vue, cette décision peut sembler
sans importance parce que vous
utilisez déjà  IPSec. Mais n’oubliez pas
que votre serveur VPN doit communiquer
avec le DC (domain controller)
pour procéder à  l’authentification au
niveau utilisateur. De ce fait, le protocole
d’authentification peut jouer un
grand rôle pour empêcher
l’interception du mot de
passe d’un utilisateur par des
oreilles indiscrètes sur le réseau
interne. Dès lors que
L2TP a authentifié l’utilisateur,
vous disposez d’un tunnel sûr
par Internet vers votre réseau.
En fait, ce tunnel vous donnera
le même accès qu’en
vous connectant localement,
un peu plus lentement il est
vrai.
Je me félicitais de l’arrivée
de L2TP avec Win2K, mais j’ai
rapidement découvert une
difficulté. Après avoir établi
L2TP, j’ai pu me connecter à 
mon serveur VPN, alors que
j’étais en déplacement, en me
connectant à  Internet par l’intermédiaire
de mon FAI (ISP)
global. Mais quand j’ai branché
mon portable au LAN
d’un client et que j’ai essayé
de me connecter à  mon serveur
VPN, L2TP a échoué avec
le code d’erreur 791 : The
L2TP connection attempt failed because
security policy for the connection
was not found. Ce problème est
survenu parce que, comme beaucoup
de sociétés, mon client utilise NAT
pour cacher le réseau interne aux yeux
d’Internet. Comme NAT change les numéros
de ports TCP et UDP quand
vous transmettez des paquets entre
Internet et l’intranet, le contrôle d’intégrité
des données d’IPSec échoue
avec L2TP. Cette limitation empêche de
nombreuses entreprises d’utiliser
L2TP comme protocole d’accès à  distance viable parce que beaucoup d’utilisateurs
distants se connectent à  partir
des LAN d’autres partenaires, ou à  partir
de réseaux domestiques, qui tous
utilisent abondamment NAT.
Pour résoudre ce problème,
quelques ténors tels que Microsoft,
Nortel Networks, F-Secure et Cisco
Systems, ont développé NAT-T (NETTransversal).
Il existe un document
draft pour ce nouveau standard au site
Web IETF (http://www.ietf.org/internet-
drafts/draft-ietf-ipsec-udp-encaps-
06.txt). NAT-T offre à  deux ordinateurs
le moyen de détecter la présence
d’une ou plusieurs unités NAT entre
eux puis d’encapsuler les paquets
IPSec habituels à  l’intérieur des paquets
4500 du port UDP. Au moment
de la publication, Microsoft
envisage de supporter Win98 et
produits ultérieurs comme clients
VPN en utilisant L2TP avec NAT-T.
Bien que vous puissiez utiliser les
clients antérieurs et les DC et CA
(Certificate Authorities) Win2K,
votre serveur VPN doit être sous
Windows 2003.