Comment faire pour configurer une connexion L2TP/IPSec en utilisant l'authentification par clé pré-partagée

Traductions disponibles Traductions disponibles
Numéro d'article: 240262 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Microsoft Windows 2000 crée automatiquement une stratégie IPSec (Internet Protocol Security) utilisée avec les connexions L2TP (Layer 2 Tunneling Protocol)/IPSec, qui nécessite un certificat pour l'authentification IKE (Internet Key Exchange). Microsoft prend en charge les implémentations de réseau privé virtuel (VPN) L2TP/IPSec de passerelle à passerelle en utilisant une clé pré-partagée pour l'authentification IKE. Par contre, Microsoft ne prend pas en charge l'utilisation d'une clé pré-partagée pour l'authentification IKE sur les connexions client accès distant L2TP/IPSec. Windows 2000 est conforme à la RFC 2409 pour IKE et vous permet d'implémenter une clé pré-partagée pour l'authentification IKE sur les connexions client accès distant L2TP/IPSec. Nous vous recommandons néanmoins de n'utiliser cette implémentation qu'à des fins de test.

Pour mettre en oeuvre la méthode d'authentification par clé pré-partagée avec une connexion L2TP/IPSec :
  • Vous devez ajouter la valeur de Registre ProhibitIpSec aux deux ordinateurs Windows 2000 agissant comme points de terminaison de la connexion.
  • Vous devez configurer manuellement une stratégie IPSec pour qu'une connexion L2TP/IPSec puisse s'établir entre deux ordinateurs Windows 2000.
Cet article explique comment configurer deux serveurs RRAS (Routing and Remote Access Service) Windows 2000 connectés sur un réseau local (LAN) pour qu'ils utilisent une connexion L2TP/IPSec avec authentification par clé pré-partagée. Il fournit également des informations sur la manière de configurer une stratégie IPSec qui accepte les connexions en utilisant plusieurs clés pré-partagées ou plusieurs autorités de certification.

Plus d'informations

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
Pour configurer deux serveurs RRAS (Routing and Remote Access Service) Windows 2000 connectés sur un réseau local (LAN) pour qu'ils utilisent une connexion L2TP/IPSec avec authentification par clé pré-partagée, vous devez ajouter la valeur de Registre ProhibitIpSec aux deux ordinateurs Windows 2000 agissant comme point de terminaison de la connexion L2TP/IPSec afin d'empêcher la création du filtre automatique du trafic L2TP/IPSec.

Quand ProhibitIpSec est défini avec la valeur 1 dans le Registre, l'ordinateur Windows 2000 ne crée pas le filtre automatique qui utilise l'authentification par une autorité de certification. Il recherche une stratégie IPSec locale ou Active Directory.

Pour ajouter la valeur de Registre ProhibitIpSec à l'ordinateur Windows 2000, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Dans le menu Edition, cliquez sur Ajouter une valeur.
  4. Dans la zone Nom de la valeur, tapez ProhibitIpSec.
  5. Dans la liste Type de données, cliquez sur REG_DWORD, puis cliquez sur OK.
  6. Dans la zone Données, tapez 1, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre et redémarrez votre ordinateur.

Comment faire pour créer une stratégie IPSec à utiliser avec les connexions L2TP/IPSec avec authentification par clé partagée

Remarque La procédure suivante suppose que la valeur de Registre ProhibitIpSec a été ajoutée aux deux points de terminaison des serveurs RRAS (Routing and Remote Access) Windows 2000, et que ces deux serveurs ont été redémarrés.
  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Console, cliquez successivement sur Ajouter/Supprimer un composant logiciel enfichable, Ajouter, Gestion de la stratégie de sécurité du protocole IP, Ajouter, Terminer, Fermer, puis OK.
  3. Cliquez avec le bouton droit sur Stratégies de sécurité IP, cliquez sur Créer une stratégie de sécurité IP, puis sur Suivant.
  4. Dans la boîte de dialogue Nom de stratégie de sécurité IP, tapez le nom de la stratégie dans la zone Nom, puis cliquez sur Suivant.
  5. Dans la boîte de dialogue Requêtes pour une communication sécurisée, désactivez la case à cocher Activer la règle de réponse par défaut, puis cliquez sur Suivant.
  6. Activez la case à cocher Modifier les propriétés, puis cliquez sur Terminer.
  7. Dans la boîte de dialogue Propriétés de Nouvelle stratégie de sécurité IP, sous l'onglet Règles, cliquez sur Ajouter, puis cliquez sur Suivant.
  8. Dans la boîte de dialogue Point de sortie du tunnel, cliquez sur Cette règle ne spécifie aucun tunnel, puis sur Suivant.
  9. Dans la boîte de dialogue Type de réseau, cliquez sur Toutes les connexions réseau, puis sur Suivant.
  10. Dans la boîte de dialogue Méthode d'authentification, cliquez sur Utiliser cette chaîne pour protéger l'échange de clés (clé pré-partagée), tapez une clé pré-partagée, puis cliquez sur Suivant.
  11. Dans la boîte de dialogue Liste de filtres IP, cliquez sur Ajouter, tapez le nom de la liste de filtres IP dans la zone Nom, cliquez sur Ajouter, puis cliquez sur Suivant.
  12. Dans la boîte de dialogue Source du trafic IP, cliquez sur Une adresse IP spécifique dans la zone Adresse source, tapez l'adresse TCP/IP (Transport Control Protocol/Internet Protocol) du serveur RRAS (Routing and Remote Access Service) Windows 2000 source dans la zone Adresse IP, puis cliquez sur Suivant.

    Remarque L'adresse source utilisée doit être la même sur les deux serveurs Windows 2000 de terminaison RRAS. Par exemple, si l'adresse source est 1.1.1.1, vous devez utiliser 1.1.1.1 comme adresse source sur les deux serveurs Windows 2000 de terminaison RRAS.
  13. Dans la boîte de dialogue Destination du trafic IP, cliquez sur Une adresse IP spécifique dans la zone Adresse de destination, tapez l'adresse TCP/IP du serveur RRAS Windows 2000 de destination, puis cliquez sur Suivant.

    Remarque L'adresse de destination utilisée doit être la même sur les deux serveurs Windows 2000 de terminaison RRAS. Par exemple, si l'adresse de destination est 2.2.2.2, vous devez utiliser 2.2.2.2 comme adresse de destination sur les deux serveurs Windows 2000 de terminaison RRAS.
  14. Dans la boîte de dialogue Type de protocole IP, cliquez sur UDP dans la zone Sélectionnez un type de protocole, puis cliquez sur Suivant.
  15. Dans la boîte de dialogue Port de protocole IP, cliquez sur À partir de ce port, tapez 1701 dans la zone À partir de ce port, cliquez sur Vers n'importe quel port, puis cliquez sur Suivant.
  16. Activez la case à cocher Modifier les propriétés, cliquez sur Terminer, puis activez la case à cocher Image miroir. Faire coïncider également les paquets possédant des adresses source et de destination exactement opposées dans la boîte de dialogue Propriétés de Filtre.
  17. Cliquez sur OK, puis sur Fermer.
  18. Dans la boîte de dialogue Liste de filtres IP, cliquez sur le filtre IP que vous venez de créer, puis cliquez sur Suivant.
  19. Dans la boîte de dialogue Action du filtre, cliquez sur Ajouter, puis créez une nouvelle action de filtrage spécifiant les algorithmes d'intégrité et de cryptage qui seront utilisés.

    Remarque Pour améliorer la sécurité, il faut que l'option « Accepter les communications non sécurisées mais toujours répondre en utilisant IPSec » de cette nouvelle action de filtrage soit désactivée.
  20. Cliquez sur Suivant, sur Terminer, puis sur Fermer.
  21. Cliquez avec le bouton droit sur la stratégie IPSec que vous venez de créer, puis cliquez sur Attribuer.
Remarque Vous devez configurer à l'identique les deux serveurs Windows 2000 de terminaison RRAS. Le filtre IPSec est vu à partir d'une extrémité de la connexion lorsqu'il est configuré sur le premier serveur (Windows 2000) du service RRAS, puis il est répliqué sur le second serveur (Windows 2000) du service RRAS. En reprenant l'exemple décrit plus haut dans cet article, si le premier serveur Windows 2000 du service RRAS a l'adresse TCP/IP 1.1.1.1 et que le second serveur RRAS a l'adresse TCP/IP 2.2.2.2, un filtre créé dans le cadre de la stratégie IPSec sur les deux serveurs Windows 2000 aux extrémités de la communication RRAS aura l'adresse source 1.1.1.1 et l'adresse de destination 2.2.2.2. De cette manière, n'importe lequel des deux serveurs Windows 2000 aux extrémités de la communication RRAS peut initialiser la connexion.

Comment faire pour configurer une stratégie IPSec de manière à accepter les connexions en utilisant plusieurs clés pré-partagées ou plusieurs autorités de certification

Après avoir créé une stratégie avec un filtre en utilisant une clé pré-partagée, vous devez créer une règle supplémentaire dans cette stratégie pour les autres connexions qui exigent des clés pré-partagées ou des autorités de certification différentes.

Pour plus d'informations sur les filtres automatiques créés par Windows 2000 qui utilisent des autorités de certification, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
248750 Description du filtre automatique créé pour être utilisé avec L2TP/IPSec
253498 Comment faire pour installer un certificat à utiliser avec la sécurité IP
Pour plus d'informations, reportez-vous au site Web Guide pas à pas de Ipsec (Internet Protocol Security) :
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/lispstep.html


Microsoft n'assure pas le support technique des clés pré-partagées pour les clients VPN ou distants L2TP/IPSec pour les raisons suivantes :
  • Cela soumet un protocole sécurisé à un problème connu d'utilisation non sécurisée (sélection de mots de passe). Les attaques publiées ont révélé des clés pré-partagées faibles.
  • Un déploiement sécurisé n'est pas possible. Dans la mesure où l'utilisateur qui configure une clé pré-partagée a besoin d'accéder à la passerelle de l'entreprise, sa démarche est connue de nombreux utilisateurs et la clé devient une « clé pré-partagée de groupe ». Il est presque certain qu'une clé pré-partagée longue sera notée par écrit. L'accès d'ordinateurs individuels ne peut pas être révoqué tant que le groupe entier n'est pas passé à une nouvelle clé pré-partagée.
  • Comme en atteste l'aide de Microsoft, les différents chapitres du kit de ressources et l'article 248711 de la Base de connaissances, la clé pré-partagée IPSec de Windows 2000 n'est fournie qu'à des fins de conformité à la spécification RFC, de test d'interopérabilité et d'interopérabilité lorsque la sécurité n'est pas un problème. La clé pré-partagée est enregistrée dans le Registre local auquel seuls les administrateurs locaux ont accès en lecture, mais ces administrateurs doivent la connaître et la définir. Par conséquent, tout administrateur local peut voir la clé ou la changer à l'avenir.
  • Le coût d'utilisation d'une clé pré-partagée, en termes de support technique, serait élevé à la fois pour Microsoft et pour ses clients.
  • Obtenir un certificat pour un ordinateur Windows 2000 est chose simple. Il suffit de soumettre une demande via le Web ou d'utiliser la fonctionnalité d'inscription automatique de la stratégie de groupe Windows 2000 si le client Windows 2000 est membre d'un domaine Windows 2000. C'est la méthode de déploiement d'un réseau privé virtuel IPSec la plus sûre.
Microsoft assure le support technique des tunnels VPN L2TP/IPSec de passerelle à passerelle avec une clé pré-partagée parce que cette dernière doit être configurée localement sur la passerelle par un administrateur très compétent, sur la base d'une adresse IP statique. Les tunnels IPSec ne sont pris en charge que si des adresses IP statiques sont utilisées, et uniquement pour des sélecteurs de stratégie basés sur l'adresse (indépendamment du port et du protocole). Microsoft recommande l'utilisation de L2TP/IPSec pour la communication de passerelle à passerelle. N'utilisez le mode de tunnel IPSec pour la communication de passerelle à passerelle que si l'option L2TP/IPSec n'est pas disponible.

Propriétés

Numéro d'article: 240262 - Dernière mise à jour: lundi 19 septembre 2005 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbhowto kbenv kbnetwork KB240262
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com