Scribd Logo
Upload

Welcome to Scribd!

  • ISA Server 2004

    Uploaded by

    Yassine Bouayadi
    45 views35 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PPT, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PPT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    45 views35 pages

    ISA Server 2004

    Uploaded by

    Yassine Bouayadi

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PPT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 35

    Microsoft ISA Server 2004

    Pare-feu applicatif contre les attaques internes et externes

    Fouad JRADA : MCSE

    Plan de Cours

    Partie 1 : Prsentation gnrale ISA Server 2004

    Partie 2 : Scuriser laccs vers Internet depuis les rseaux locaux

    Partie 3 : protection des serveurs et des rseaux dentreprise vis--vis dInternet.

    Synthse

    Fouad JRADA : MCSE / MCDBA

    Protection du rseau priphrique : les dfis

    Partenaire commercial

    Les dfis :
    Choix dune topologie de pare-feu approprie Accs aux ressources pour les utilisateurs distance Surveillance et production de rapports efficaces Besoin dune inspection plus serre des paquets Conformit aux normes de scurit Utilisateur distance

    Bureau principal

    Internet
    Sans fil

    Succursale

    Fouad JRADA : MCSE / MCDBA

    Avantages de ISA 2004

    Caractristiques :
    Scuris par dfaut
    Modles des topologies courantes Assistants de configuration Cration de rgles personnalises

    Intgration du service Active Directory pour lauthentification


    Filtrage multicouche et inspection plus serre des paquets Mise en cache volue

    Journalisation et surveillance en temps rel


    Mcanismes dimportation, dexportation, de sauvegarde et de restauration Prise en charge des grappes par ldition entreprise
    Fouad JRADA : MCSE / MCDBA

    Recommandations pour ISA 2004

    Mmoire vive

    Windows 2000 Server ou Windows Server 2003

    UCT

    512 Mo

    500 MHz

    Format disque dur


    Carte rseau interne Carte rseau externe

    Espace disque dur

    NTFS

    150 Mo

    Fouad JRADA : MCSE / MCDBA

    Paramtres dinstallation par dfaut

    La configuration par dfaut de ISA Server bloque tout le trafic entre les rseaux relis ISA Server Seuls les membres du groupe dadministrateurs locaux ont des autorisations administratives. Des rseaux par dfaut sont crs. Les rgles daccs comprennent des rgles de stratgie systme et des rgles daccs par dfaut. Aucun serveur nest publi. La mise en cache est dsactive.

    Le partage dinstallation de client pare-feu est accessible sil est install.

    Fouad JRADA : MCSE / MCDBA

    Mthodes prouves de conception

    Pour dployer ISA Server afin doffrir laccs Internet :


    Choisissez la topologie qui rpond le mieux vos besoins. Planifiez la rsolution de noms DNS. Crez les lments des rgles daccs ncessaires et configurez les rgles daccs. Planifiez lordre des rgles daccs.

    Mettez en oeuvre les mcanismes dauthentification appropries.


    Testez les rgles daccs avant le dploiement. Dployez le client pare-feu en vue dune scurit et dune fonctionnalit maximales.

    Utilisez la journalisation de ISA Server pour rgler les problmes de connectivit Internet.
    Fouad JRADA : MCSE / MCDBA

    Topologies courantes et modles de configuration de ISA 2004 Hte bastion


    Rseau interne

    Configuration en trois parties


    Rseau interne Rseau priphrique

    Serveur Web

    Modle de pare-feu de primtre

    Modle de pare-feu en trois parties

    Configuration dos dos


    Rseau interne

    Internet

    Modle de Rseau pare-feu priphrique avant ou de pare-feu arrire

    Modle de carte rseau unique seulement pour le serveur mandataire et la mise en cache
    Fouad JRADA : MCSE / MCDBA

    lments des rgles daccs Types dlments servant crer les rgles daccs :
    Protocoles Utilisateurs Types de contenus Planifications Objets de rseau
    Autoriser Refuser Tous les utilisateurs Utilisateurs authentifis Utilisateur/groupe spcifique Rseau de destination IP de destination Site de destination

    action sur le trafic de lutilisateur entre source et destination avec conditions


    Protocole Port IP / Type Rseau dorigine IP dorigine Utilisateur dorigine Serveur publi Site Web publi Planification Critres de filtrage

    Fouad JRADA : MCSE / MCDBA

    ISA Server 2004


    Facilit de mise en oeuvrre
    Inspection de contenu avance Filtres applicatifs HTTP et SMTP Stratgies riches et flexibles

    Protection des serveurs de messagerie

    Filtre applicatif RPC (MAPI et autres) Scurit Outlook Web Access accrue

    Filtrage HTTP volu

    Mthodes: POST, HEAD... Signatures: mots cls ou chanes de caractres dans URL, En-tte, Corps

    Authentification flexible

    Windows, RADIUS et RSA SecurID Dlgation dauthentification

    Fouad JRADA : MCSE / MCDBA

    ISA Server 2004


    Protection avance
    Architecture multi rseau Nombre de rseaux illimit Stratgie de filtrage dfinie par rseau Rgles de routage / NAT inter rseaux

    Topologies

    Assistant de dfinition des relations entre les diffrents rseaux Support de scnarios complexes

    rseau type

    diteur de stratgies

    Stratgie de scurit Pare-feu/VPN unifie Import-export de configuration (XML)

    Outils de diagnostique

    Tableau de bord de supervision Visualisation des journaux temps rel

    Fouad JRADA : MCSE / MCDBA

    Architecture

    Fouad JRADA : MCSE / MCDBA

    ISA Server 2004

    Partie 2 : Scuriser laccs vers Intternet depuis les rseaux locaux pour les utilisateurs de lentreprise

    Fouad JRADA : MCSE / MCDBA

    Les besoins des entreprises connectes vus par ladministrateur


    Je veux contrler les protocoles rseaux utiliss par mes utilisateurs Je veux administrer les accs de manire centralise et intgre avec mon infrastructure (domaines NT, Active Directory, RADIUS) Je veux empcher mes utilisateurs de tlcharger des fichiers illgaux

    ou dangereux
    Je veux quInternet soit un outil de travail et empcher mes utilisateurs de surfer sur le Web l o ils veulent.

    Fouad JRADA : MCSE / MCDBA

    Contrle des protocoles


    ISA Server 2004 propose en standard une liste des protocoles rseaux les plus utiliss Il est possible de complter celle-ci en crant les dfinitions des protocoles utiliss par vos

    applications.
    Les rgles de pare-feu permettent une grande granularit dans leur dfinition

    Fouad JRADA : MCSE / MCDBA

    Contrle des contenus


    ISA Server 2004 permet de filtrer les contenus des requtes HTTP et FTP Plusieurs categories sont prdffinies et peuvent tre personnalises ou compltes.

    Fouad JRADA : MCSE / MCDBA

    Filtrage multicouche

    Filtrage de paquets :

    Filtre les paquets selon le contenu des en-ttes des couches rseau et transport Inspecte rapidement les paquets, mais ne dtecte pas les attaques de haut niveau
    Filtre les paquets selon linformation de la session TCP Accepte uniquement les paquets qui font partie dune session valide, mais ne peut pas inspecter les donnes dapplication

    Filtrage dynamique de paquets :

    Filtrage dapplication :

    Filtre les paquets selon les donnes dapplication quils transportent Peut empcher les attaques malveillantes et faire respecter les politiques de lutilisateur

    Filtrage applicatif : filtre HTTP


    Le ffiiltre HTTP peut tre dfini sur toutes les rgles de parefeu quii utilisent HTTP.

    Les opttiions suiivanttes sontt diisponiiblles::


    Limiter la taille maximale des enttes (header) dans les requtes HTTP Limiter la taille de la charge utile (payload) dans les requtes Limiter les URLs qui peuvent tre spcifies dans une requte Bloquer les rponses qui contiennent des excutables Windows

    Bloquer des mthodes HTTP spcifiques


    Bloquer des extensions HTTP spcifiques Bloquer des enttes HHTP spcifiques Spcifier comment les enttes HTTP sont retourns Spcifier comment les enttes HTTP Via sont transmis ou retourns Bloquer des signatures HTTP spcifiques

    Fouad JRADA : MCSE / MCDBA

    Outils de surveillance de ISA 2004

    Tableau de bord Vue centralise rcapitulative Alertes Tous les problmes au mme endroit Sessions Vue des sessions actives Services tat des services ISA Connectivit Connectivit aux services rseau Journalisation Puissant outil de consultation des journaux ISA

    Rapports Utilisateurs et sites les plus actifs, accs la mmoire cache

    Fouad JRADA : MCSE / MCDBA

    Tableau de bord

    Fouad JRADA : MCSE / MCDBA

    Alertes

    Fouad JRADA : MCSE / MCDBA

    Sessions

    Fouad JRADA : MCSE / MCDBA

    Rapports

    Fouad JRADA : MCSE / MCDBA

    Utilisation du filtre HTTP

    Le filtre applicatif HTTP peut tre

    utilis pour bloquer les applications utilisant HTTP comme mthode

    dencapsulation pour dautres


    protocoles :
    Messageries instantanes : MSN

    Messenger, Yahoo Messenger,ICQ

    Fouad JRADA : MCSE / MCDBA

    Dmonstration : utilisation du filtre applicatif HTTP

    Fouad JRADA : MCSE / MCDBA

    ISA Server 2004

    Partie 3 : protection des serveurs et des rseaux dentreprise vis--vis dInternet. Exemple avec Exchange Server

    Fouad JRADA : MCSE / MCDBA

    La problmatique des pare-feux traditionnels


    Les pare-feux traditionnels se focalisent sur le filtrage de paquets. Aujourrdhui, la plupart des attaques contournent ce type de protection ((ex: Nimda, Code Red, openssl/Slapper).. Les ports et protocoles ne suffisent plus contrler ce que font les utilisateurs
    Hier, les port 80 et 443 tait utilises pour surfer sur le Web Aujourdhui, ces ports sont utiliss pour la navigation sur le Web, les Webmail, les

    messageries instantanes, les Web Services, les logiciels P2P

    Fouad JRADA : MCSE / MCDBA

    Les Pare-feu niveau Application

    Sont donc ncessaires pour se protger des attaques daujourdhui

    , ils permettent une analyse approfondie du contenu des paquets rseaux

    Fouad JRADA : MCSE / MCDBA

    ISA Server = pare-feu multi couches


    Filtrage de paquets & statefull inspection Filtrage au niveau de la couche application (analyse approfondie du contenu par des filtres spcifiques) Architecture proxy avance (web et application TCP/IP)

    Produit extensible via lutilisation dun SDK


    Products volutif avec des Add-On.

    Fouad JRADA : MCSE / MCDBA

    Les filtres dISA Server 2004


    Filtres applicatifs
    FTP : permet de bloquer les envois SMTP : gestion des commandes et filtrage des messages (contenu, extension,)

    POP3 : dtection dintrusion


    RTSP, MMS, PNM, H.323: Streaming DNS: dtection dintrusions,, transfert de zones RPC: publiication de serveurs, filtrage sur les interfaces PPTP : permet la traverse de connexions VPN (Tunneling) Web Proxy : gestion de HTTP, HTTPs (filtres web)

    Filtres Web
    Filtre HTTP : analyse du contenu des requtes web (enttes et donnes) Authentification RSA SecureID Authentification Radius Authentification OWA Web Forms

    Fouad JRADA : MCSE / MCDBA

    Publlication dExchange 2003 Outlook Web Access

    Fouad JRADA : MCSE / MCDBA

    Publlication dExchange 2003 Outlook Web Access

    Fouad JRADA : MCSE / MCDBA

    ISA Server 2004

    Synthse

    Fouad JRADA : MCSE / MCDBA

    En rsum
    ISA 2004 pour protger vos ressources
    Un pare-feu qui permettant de concevoir un grand nombre de scnarios
    Protection des flux sortant vers Internet Protection des serveurs exposs sur Interne Protection des ressources internes par segmentation et filtrage applicatif

    Dfense en profondeur
    Analyse aux couches 3,4 et 7
    Nombreux filtres applicatifs inclus en standard (HTTP, RPC, SMTP,DNS) Nombreux filtres complmentaires disponible auprs dditeurs tiers Produit extensible adaptable vos besoins grce au SDK De nouveaux filtres prvus dans des futures Feature Packs: XML,

    Fouad JRADA : MCSE / MCDBA

    ISA Server 2004

    You might also like