> Tech > Externaliser les services d’accès à  distance (RAS)

Externaliser les services d’accès à  distance (RAS)

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Il se peut que le service d'accès à  distance soit moins cher que si l'on gérait la fonction en interne. Mais vous pouvez externaliser ce service tout en gardant la maîtrise des permissions d'appel et des connexions. Dans ce cas, les utilisateurs se connectent à  un serveur d'accès à  distance

Externaliser les services d’accès à  distance (RAS)

(c’est-à -dire, un NAS
– network access server) sur l’ISP de
votre société, lequel achemine la
connexion vers le réseau d’entreprise.
Au passage, l’ISP peut également imposer
une connexion en tunnel pour
sécuriser les données transférées et
surveiller et restreindre les applications
qui utilisent le service (par
exemple, ne permettre l’accès qu’à 
certains serveurs et refuser le trafic
autre que FTP ou un service similaire).

Toutefois, l’ISP a besoin d’authentifier
et d’autoriser l’utilisateur d’accès à 
distance avant de lui ouvrir librement
le réseau d’entreprise. Pour cela, l’ISP a
besoin d’une liste de comptes utilisateur
et doit savoir lesquels ont une permission d’accès à  distance. Cette information
existe sur votre réseau AD
ou dans votre base de données SAM
NT 4.0 et vous pouvez procurer à  l’ISP
l’accès à  l’information en configurant
IAS de manière à  ce qu’il communique
avec le NAS de l’ISP. Pour fournir cet accès,
vous devez configurer votre parefeu
pour qu’il laisse passer le trafic
d’authentification provenant de l’ISP
vers votre serveur IAS et définir les
ports que ce trafic utilisera. Demandez
à  votre ISP quels ports il utilisera pour
l’authentification RADIUS, pour envoyer
du trafic à  votre réseau ; les ports
seront probablement des UDP 1645
(que les serveurs NT 4.0 utilisent) ou le
port UDP 1812 (que les serveurs RRAS
Win2K utilisent). Par défaut, IAS Win2K
est à  l’écoute des deux ports. Si l’ISP
n’utilise aucun de ces ports, vous devez
définir une alternative dans le parefeu
et dans IAS.

Quand vous configurez IAS pour
accepter le trafic provenant de l’ISP,
vous devez prendre en compte des requêtes
ping et des noms de royaumes.
Les requêtes ping assurent qu’un serveur
RADIUS (dans ce cas, votre serveur
IAS) est disponible. Votre ISP, par
exemple, enverra périodiquement des
requêtes ping au serveur IAS avec des
noms volontairement fictifs destinés à 
provoquer le rejet (c’est-à -dire qu’ils
rebondiront). Une requête rejetée signale
à  l’ISP que le serveur IAS est online.
L’absence de réponse signale un
serveur inopérant ou un problème de
connectivité.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010