Livre blanc de l'access distant

icon

18

pages

icon

Français

icon

Documents

Écrit par

Publié par

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

icon

18

pages

icon

Français

icon

Documents

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

LES SERVEURS D’ACCES DISTANT 1 Pourquoi un serveur d’accès distant ? 2 Les connexions du réseau étendu WAN 3 Les Modes d’accès : 3.1 Dial-In Remote Node 3.2 Dial-In Remote Control 3.3 Dial-In Remote User avec Remote Node et Remote Control 3.4 Dial-Out Partage de modems 3.4.1 Le Minitel en réseau 3.4.2 Internet en réseau 3.4.3 Le fax en réseau 3.5 Share Dial-In et Dial-Out 3.6 Serveur de terminaux 4 La sécurité des accès d’Authentification et Autorisation 4.1 L’identification PAP et CHAP 4.2 Les Systèmes d'Authentification 4.2.1 Serveur RADIUS 4.2.2 Serveur SecurID 4.2.3 Serveur XTACACS 4.3 La reprise de la NETWARE BINDERY, Autorisation 4.4 La gestion des sécurités dans le serveur d'accès 5 L’intégration de Firewall avec les serveurs d’accès 6 Les serveurs d'accès et Intranet. 7 Les tests exemples et notes d’applications Ce livre blanc est en cours d’élaboration aussi nous remercions le lecteur de son indulgence. CXR et les serveurs d’accès distant Le 29/04/02 page 1 1. POURQUOI UN SERVEUR D’ACCES DISTANT ? C’est la liaison centralisée et sécurisée entre les utilisateurs mono-poste, exté-rieurs au réseau de l’entreprise, et le réseau de l’entreprise. Ce marché en plein essor se développe pour les raisons suivantes : • La multiplication des emplois situés hors de l’entreprise et du travail de groupe. • La mise en place des applications fax, Minitel et Internet en réseau. • Le déplacement sur le réseau de toutes les ...
Voir icon arrow

Publié par

Nombre de lectures

61

Langue

Français

  1 2 3
4
LES SERVEURS DACCES DISTANT
Pourquoi un serveur daccès distant ? Les connexions du réseau étendu WAN Les Modes daccès : 3.1 Dial-In Remote Node 3.2 Dial-In Remote Control 3.3 Dial-In Remote User avec Remote Node et Remote Control 3.4 Dial-Out Partage de modems 3.4.1 Le Minitel en réseau 3.4.2 Internet en réseau 3.4.3 Le fax en réseau 3.5 Share Dial-In et Dial-Out 3.6 Serveur de terminaux La sécurité des accès dAuthentification et Autorisation 4.1 Lidentification PAP et CHAP 4.2 Les Systèmes d'Authentification 4.2.1 Serveur RADIUS 4.2.2 Serveur SecurID 4.2.3 Serveur XTACACS 4.3 La reprise de la NETWARE BINDERY, Autorisation 4.4 La gestion des sécurités dans le serveur d'accès Lintégration de Firewall avec les serveurs daccès Les serveurs d'accès et Intranet. Les tests exemples et notes dapplications
5 6 7     Ce livre blanc est en cours délaboration aussi nous remercions le lecteur de son indulgence.
CXR et les serveurs daccès distant   
Le 29/04/02 page 1
1. POURQUOI UN SERVEUR DACCES DISTANT ?   Cest la liaison centralisée et sécurisée entre les utilisateurs mono-poste, exté-rieurs au réseau de lentreprise, et le réseau de lentreprise.   Ce marché en plein essor se développe pour les raisons suivantes :  La multiplication des emplois situés hors de lentreprise et du travail de groupe. La mise en place des applications fax, Minitel et Internet en réseau. Le déplacement sur le réseau de toutes les applications informatiques de lentreprise. La prise de conscience de la sécurité.  La nécessité de gérer des accès multiprotocoles sur un même poste. Loptimisation des coûts de matériel, de mise en uvre de nouveaux utilisateurs et de maintenance. La réduction des coûts de connexion avec Numéris.  Ce marché se développera dautant plus avec :  Limplantation des Intranets puis des Extranets.  La nécessité doptimiser les priorités du trafic entrant et sortant. Laugmentation des interconnexions de réseaux   Les serveurs daccès assument les multiples fonctions daccès des postes distants au serveurs du réseau ainsi que les accès depuis les postes du réseau aux services tels que Internet ou le Minitel.  Ces liaisons existaient souvent directement en point à point entre quelques postes, in-accessibles pour la plupart des utilisateurs et dune manière insécurisée.   Les serveurs daccès permettent :  Une économie de matériel, de lignes, de temps dutilisation et de mise en uvre La possibilité de mettre immédiatement sur le réseau un nouvel utilisateur distant La sécurité centralisée est immédiatement modifiable   CXR Access la liaison intelligente entre LAN et WAN    
CXR et les serveurs daccès distant   
Le 29/04/02 page 2
2. WAN  LES CONNEXIONS DU RESEAU ETENDU  A. Le Réseau Téléphonique Commuté : RTC Celui-ci est disponible sur une simple ligne téléphonique de France Télécom que lon appelle le Réseau Téléphonique Commuté RTC. Bien que les liaisons se soient considérablement améliorées, les temps daccès sont plus longs et la vitesse de transmission est limitée à 33,6 kbps. Le RTC supporte les transmissions avec les modulations suivantes : 1. Le Minitel : en V.23 à 75 et 1200 bps   2. Le transfert de données : V.21 en Full Duplex à 300 bps sur 2 fils sur RTC ou ligne louée. V.22 en Full Duplex à 1200 bps sur 2 fils sur RTC ou ligne louée V.22bis en Full Duplex à 2400 bps sur 2 fils sur RTC ou ligne louée V.26 à 2400 bps sur 2 fils en Half Duplex et 4 fils en Full duplex. Utilisé principalement pour les liaisons synchrones. V.27 à 4800 bps sur 2 fils en Half Duplex et 4 fils en Full duplex. Utilisé principalement pour les liaisons synchrones. V.29 à 9600 bps sur 2 fils en Half Duplex et 4 fils en Full duplex. Utilisé principalement pour les liaisons synchrones. V.32 à 9600/4800 bps sur 2 fils en Full duplex sur RTC ou ligne louée. Pour les liaisons synchrones et asynchrones. V.32bis à 14400 bps sur 2 fils en Full duplex sur RTC ou ligne louée. Pour les liaisons synchrones et asynchrones V.32terbo à 19200 bps sur 2 fils en Full duplex sur RTC ou ligne louée. Sans norme CCITT, spécifique au constructeur. V.34 à 28800 bps sur 2 fils en Full duplex sur RTC ou ligne louée. Pour les liaisons synchrones et asynchrones V.34 à 33600 bps sur 2 fils en Full duplex sur RTC ou ligne louée. Pour les liaisons synchrones et asynchrones X2 et 56Flex. Ce mode nest pas normalisé. Il tiendra compte des possibilités idéales de la ligne. Ce mode propriétaire asymétrique ne peut fonctionner que si les modems se trouvant de bout en bout de ligne seront du même construc-teur. La vitesse est de 28 800 bps du site distant au serveur dapplications ou Provider. Elle sera de 56 000 bps du Provider, connecté sur Numéris, au site distant. Cette vitesse sera théorique, car dès les premières perturbations il y aura réduction de la vitesse à 28 800 puis 14 400 puis 9 600 bps. Dune manière générale lavantage de la connexion RTC sera sa simplicité de mise en uvre sur nimporte quelle ligne ainsi que son coût initial modeste. Mais les désavantages, face à Numéris, seront : Le temps détablissement de la communication est de 30 secondes minimum, contre 3 secondes sur toute la France pour Numéris Le repli très fréquent de la modulation de transfert commencée à 33600 bps se terminant à 9600 bps, contre une situation garantie de Numéris à 64000 bps. 3. Le Fax : V.27ter fax à 4800 bps sur RTC et replis à 2400 bps V.29 fax à 9600 bps sur RTC et replis à 7200 bps V.17 fax à 14400 bps sur RTC. B. Le Réseau public X25
   
CXR et les serveurs daccès distant   
Le 29/04/02 page 3
   
C. Le Réseau numérique public NUMERIS : Ce mode de transmission RNIS commercialisé en France sous le nom de EURO-NUMERIS, permet des transferts stables à moyen ou haut débit. La forte réduction des tarifs de France Télécom, des équipements et la précision des transmissions en font un moyen de communication des plus rentables pour les entreprises ainsi que pour les sites distants les plus petits comme les boutiques.  Laccès au réseau NUMERIS se fait par deux types daccès : A. L Accès de Base ( 2B+D ) : T0 ( Basic Rate Interface BRI ). Celui-ci fournit : 2 canaux B à 64kbps full duplex utilisables pour les données synchrones et asynchrones par adaptation. 1 canal D à 16kbps pour la gestion ou signalisation des canaux B. Mais le canal D peut être utilisé aussi en partie pour des données synchrones X25 à 9600 bps. Lon pourra utiliser 2 connexions simultanées à 2 sites sur les 2 canaux B et une troi-sième à un serveur X25 via le canal D. Lon pourra utiliser les 2 canaux B en agrégation permettant une transmission à la vitesse de 128 kbps.  B. L Accès Primaire ( 30B+D ) : T2 ( Primary Rate Interface PRI ) Celui-ci fournit : 30 canaux B à 64kbps full duplex utilisables pour les données synchrones et asynchrones par adaptabilité. 1 canal D à 64kbps pour la signalisation. Lon pourra utiliser 30 connexions simultanées. Lon pourra utiliser les 2, 4, 8, 16, 32 canaux B en agrégation permettant une transmis-sion à la vitesse maximum de 2 048 kbs.  CXR a porté la fonction modem, soit laccès aux abonnés RTC / fax, sur les adaptateurs Numéris. Donc les adaptateurs Numéris mixtes du CXR Access connectés en Numéris pourront communiquer indistinctement avec des PC distants par RTC ou Numéris.  CXR supporte toutes les normes : V14 Etendu en asynchrone jusqu'à 57,6 kbps. V110 En asynchrone jusqu'à 38,4 kbps.  V120 En asynchrone/synchrone jusqu'à 64 kbps. PAD à PAD en asynchrone jusqu'à 64 kbps  PAD dans D en synchrone X25. PPP asynchrone / synchrone
CXR et les serveurs daccès distant   
Le 29/04/02 page 4
3  
.
 LES MODES D ACCES 3.1 DIAL IN - REMOTE NODE  LE NOEUD DE RESEAU DEPORTE Ce mode insère lutilisateur distant dans le réseau comme s'il s'y trouvait physiquement connec-té. L'utilisateur a accès à toutes les ressources : fichiers du serveur, imprimantes, interconnexion Internet sécurisé... A la connexion, l'utilisateur distant récupère sa messagerie et travaille dans son environnement habituel avec l'arborescence habituelle des disques du réseau.  Ce mode est particulièrement intéressant dans le cas dutilisateurs qui se déplacent et se connectent alternativement à leur bureau ou sur des lieux distants. Il sera aussi utilisé dans le cas de petites agences qui se connectent pour des durées limitées.  La sécurité :  Lorsque le noeud distant a été identifié par le serveur d'accès, celui-ci se trouve connecté au ré-seau et il accèdera aux ressources du réseau par son mot de passe habituel.  La sécurité repose sur celle qui est interne au réseau et destinée à tous les utilisateurs du site central, ainsi que sur une sécurité supplémentaire d'accès: Base de données de 250 utilisateurs avec mot de passe, choix du protocole et du mode. En PPP CHAP ou PPP PAP Avec un rappel automatique ou Call-Back  Avec la reprise de la Netware Bindery pour les réseaux Novell La gestion XTACACS des adresses IP sur un serveur UNIX  La gestion dynamique des adresses IP, des autorisations daccès sur un réseau hétérogène avec un serveur Radius.  Les avantages :  Simple à mettre en place, l'adminis-trateur ajoute un utilisateur sur la base du serveur d'accès, et sélec-tionne les autorisations daccès sur les serveur Netware ou Radius. Gain de temps pour l'utilisateur qui travaille en distant comme à son bu-reau. Messagerie et travail de groupe qui fonctionnent à 100 % pour tous les employés.  Un seul Domaine peut inclure dans le site central tous les utilisateurs dis-tants. Impression locale des données
CXR et les serveurs daccès distant   
 
 
Le 29/04/02 page 5
egap 6 40/9 20/Le 2nt  istaès daccsrd vrue seslet e
CXR  
Limites: S'il y a rupture de la liaison RTC ou Numéris, cela pourra perturber les programmes en cours. Certaines applications en seront affectées comme la destruction des index de bases de don-nées ou la procédure en cours d'écrasement de fichiers par une nouvelle version.  Si les applications ne sont pas conçues pour une économie de transfert, le volume dinformations inutilisées transmis sur les lignes bloquera le site distant.  En fait, la plupart des bases de données Bureautique ne sont pas réellement clients/serveurs. Un utilisateur qui fait défiler une centaine de fiches en liste sur un écran occasionnera un transfert important, jusqu'à 300 ko. Dans un réseau local cette opération durera 10 à 15 se-condes. Au delà de 20/30 s, on estime que l'opération est intolérable. Lopération durera 1mn 40 s si la connexion est à 28,8 Kbps en RTC ou en 45 s à 64 Kbps en RNIS.    Equipement distant : Celui-ci doit être dimensionné comme s'il se trouvait sur le réseau avec en plus la puissance de façon à gérer la transmission en background. Il doit posséder les logiciels clients du réseau IPX: Netware Client, Netware Connect ou Remote Office Gold, Windows 95, en IP Remote Office Gold, Windows95 ou un logiciel avec les piles TCP/IP comme WanderLink de Funk SoftWare, et bien sur les clients des applications.
GE de LAN à LAN ar SERVEURS NT 3.2 REMOTE CONTROL  PRISE DE CONTROLE A DISTANCE  Dans ce mode, le PC distant duplique lenvironnement d'un PC situé sur le réseau, que l'on ap-pellera PC Esclave, ou d'une cession d'un serveur de Remote Control ( tels que CITRIX, QU-BIX, ... ) situé sur le réseau. Ceci veut dire que le clavier, l'écran, et la souris du PC Esclave sont dupliqués sur le PC Distant et lutilisateur distant prend la main de ce tandem. L'utilisateur distant se trouve virtuellement dans le réseau. Il travaille sur les gros fichiers, les ba-ses de données complexes des applications lourdes comme la CAO, sans être obligé d'avoir à installer sur ce PC distant les logiciels et les données.  Ce mode sera utilisé dans différents cas de figure : La prise de contrôle d'un administrateur pour la maintenance d'un réseau ou de PC indus-triels affectés au contrôle de process. Lutilisateur en déplacement avec un PC de faibles ressources qui sera à même d'accéder à son PC situé au siège dans lequel se trouve toutes ses applications : tableurs, CAO,... L'utilisation des bases de données importantes à sécuriser . L'apparition des serveurs NT proposant dans une même unité jusqu'à 256 cessions d'accès distant autorise la connexion de multiples utilisateurs pour la consultation et la modification de bases de données avec les logiciels appropriés comme WinFrame de CITRIX. Les accès au réseau à travers Internet comme les Intranet.   En fait les développements en Java font appel conjointement au mode de Remote Control et de transfert FTP dapplets HTTP provenant des bases de données des serveurs au travers des moniteurs transactionnels.  La sécurité :  Celle-ci est principalement gérée au niveau du serveur d'accès. Ce mode apporte de réels avantages de sécurité : La non prolifération des bases de données ou de logiciels sur les PC hors de lentreprise Limpossibilité de copier des fichiers ou démettre des impressions excepté la copie décran.  Les avantages :  Aucun problème lors des coupures de lignes. La reconnexion peut être simplifiée par une programmation optimisée du logiciel ou du serveur daccès. Pas de multiplication des fichiers entraînant des erreurs sur différentes versions. Sous dimension des PC distants qui ne doivent ouvrir que Windows sans autres ressources de RAM ou de processeur par rapport à de très lourdes applications de CAO. Rapidité de fonctionnement, à la même vitesse que dans le réseau.  Limites:  Ce mode nécessite des ressources, PC Esclave ou serveur dappel, sur le réseau. Lors de connexions impossibles, le PC distant sera privé de toute application. Impression uniquement de copies d'écran sur le PC distant.
CXR et les serveurs daccès distant   
Le 29/04/02 page 7
CXR  
 
  3.3 REMOTE LAN USER  Le NOEUD DEPORTE avec PRISE DE CONTROLE Afin d'optimiser les connexions entre les utilisateurs distants et le réseau principal, ces deux modes Remote Node et Remote Control peuvent être utilisés dans une même connexion au ré-seau.  Une cession de Remote Node sera ouverte sur le PC distant permettant notamment l'accès aux messageries. Puis, une cession de Remote Control sera engagée sur le PC distant et lui donne-ra l'accès aux bases de données sécurisées sur le serveur de Remote Control.  LOGICIELS CLIENTS PERMETTANT LE REMOTE NODE :  En DOS et Windows 3.x :  Les produits CXR ACCESS sont livrés avec un logiciel Remote Office Gold de Stampede qui donne à l'utilisateur l'accès total à ces deux modes en même temps, de même quen IPX et IP en même temps pour les utilisateurs Dos et Windows 3.x.  Le logiciel Remote Office Gold inclut aussi un client Netware ODI et NDIS, une copie de Telnet et FTP/TCP, et un client Reach Out pour du Remote Control.  En Windows 95 :  Windows 95 inclut aussi ces éléments à l'exception du client Reach Out.
e 8 apeg0/ 2/940eL2   nttais dèsccad sruevres sel t
3.3 DIAL OUT - PARTAGE DE MODEMS Dans ce mode, les PC du réseaux peuvent utiliser les ressources du serveur d'accès afin d'appeler un service extérieur public (Télétel / Minitel, Internet, BBS) ou des utilisateurs dis-tants. Le principe est de rediriger les informations transmises aux ports COM du PC vers un port du serveur d'accès ou vers un pool de ports de ce serveur qui utilisera le premier modem disponible. Cette redirection est faite au moyen d'un logiciel redirecteur: Dans un réseau Netware IPX avec NASI fourni par CXR ou avec celui de Netware Con-nect Dans un réseau Netware IP avec WanderLink NLM et client, de Funk Software. Dans un réseau IP avec une cession Telnet.  La sécurité :  Chaque port COM sera affectée par utilisateur (ou noeud du réseau). Utilisation de la Netware Bindery et de la sécurité de Netware Connect NASI En TCP/IP avec la sécurité généralisée de XTACACS ou de Radius  Les avantages :   Concentration de toutes les connexions d'accès externes en un seul lieu, ce qui favorise  la gestion et l'optimisation du nombre de lignes et adaptateurs Numéris ou modems pour toute l'entreprise. Possibilité d'utiliser des ressources plus importantes pour tous: Minitel en X25, Internet sous Numéris et BBS à 115 Kbps Standardisation possible des logiciels de communication, fax ... Mise en place simplifiée d'un Serveur PROXY et de la sécurité d'une manière générale. Mémorisation de tout le trafic permettant une facturation détaillée par utilisateur. Rationalisation des câbles téléphoniques internes.   Limites: Serveur Proxys Le serveur d'accès ouvre l'accès au Serveur fax Minitel et Internet mais sans limitation de destination. Il faudra donc ajouter un logiciel de script d'accès pour limiter les appels au 3615, 3617... Le serveur d'accès n'opère aucun fil-trage sur les connexions Internet en-gagées par les utilisateurs du réseau. Il faudra donc procéder à la mise en place d'un pare feu (Firewall).  
CXR et les serveurs daccès distant   
 
CXR Access Fax Fax  RTC Num éris/RNIS Fax INTERNET BBS Minitel
Le 29/04/02 page 9
 
3.4.1 DIAL OUT - PUBLIC SERVICE ACCESS  ACCES MINITEL Chaque utilisateur du réseau à l'aide d'un logiciel d'émulation Videotexte accèdera au servi-ces Télétel / Minitel à travers les ports du serveur d'accès. Tous les logiciels d'émulation Minitel du marché supportent ce transport en IP ou IPX.  Minitel avec script : Certains logiciels comme Twintalk 4.0 ou Winphone sont installés sur les postes clients mais aussi un module administrateur dans un serveur. Ce module est paramétré de façon à limiter certains accès non professionnels ou payants comme le 3617 et aussi de façon à simplifier l'accès aux services habituels. Le client du réseau appelle le serveur daccès Télétel / Minitel qui lui-même se met en con-nexion avec le réseau public Minitel à travers le serveur d'accès. Cette solution réduira les accès inutiles et donc les coûts.  Minitel en X25 : Il est possible de concentrer plusieurs appels sur une seule liaison en X25 avec Intelmatique, service de France Télécom. Sur une seule ligne on pourra connecter jusqu'à 250 utilisateurs. Les logiciels tels que FO-TOWIN, TWINTALK, Winphone gèrent ce mode. Les avantages de ces solutions seront une réduction des coûts, une rapidité et stabilité ac-crue dans les connexions Télétel / Minitel.  
CXR et les serveurs daccès distant  
 
Le 29/04/02 page 10
 
 3.4.2 DIAL OUT INTERNET ACCESS  CONNEXION INTERNET L'utilisateur du réseau équipé de son browser habituel (WINCIM, NETSCAPE, EXPLORER) se connectera au provider d'Internet à travers le port redirigé sur le serveur d'accès.  La redirection des ports pourra s'effectuer sur un serveur type PROXY qui prendra les appels de tous les postes clients du réseau, avec leur adresse. Ce serveur appellera le fournisseur daccès Internet (provider) avec une adresse complètement banalisée en gérant simultané-ment plusieurs accès sur différents sites pour plusieurs clients.  On abordera plus loin la stratégie de connexion à Internet dans le cadre d'un Intranet.  a sécurité :  L Une politique informatique d'implantation d'un serveur d'accès limitera les utilisateurs et les durées d'accès à Internet en fonction de la reconnaissance de l'utilisateur logué. La sécurité ne sera totale que lors de l'installation du serveur PROXY ou tout autre Fire-wall dont on décrira l'implantation avec les serveur d'accès.  Les avantages :  Il sera possible de partager une connexion RNIS pour les accès Internet en V.120 à 64 Kbps. L'accès direct à Internet, de postes du réseau connectés directement par des modems, est une configuration très dangereuse qui est à bannir. La mise en place de sécurités pare feu ( Firewall ) sera très simplifiée par l'utilisation d'un serveur d'accès.    
CXR et les serveurs daccès distant   
Le 29/04/02 page 11
Voir icon more
Alternate Text