FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Cours spcial ISA Serveur pour 2000 Server : Les quelques questions importantes poser sur le ISA server

Qu'est ce que ISA Serveur ?

Page - 1 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

A Windows 2000 Server with a full implementation of Active Directory is the minimum on which it is possible to install Microsoft ISA Server. Before installing ISA Server, one must configure Active Directory (adding required classes and selecting object properties).

Installation de ISA serevr 2000

Attention lorsque vous lancer linstallation de ISA, elle nest pas reversible, vous tes oblige la terminer et surtout lorsque active directory est install

Fig. 2: linstallation de ISA modifie votre active directory

Fig. 3: Modifie Active Directory

Page - 2 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Une fois que active directory accepte linstallation de ISA server dans sa mise jours le menu suivant vous demandera le type dinstallation de ISA server. Choisir linstallation personalise

Fig. 4: ISA Server installation options

Aprs cette tape linstallateur vous demandera est ce que vous allez install ISA dans un domaine ou dans un groupe de travail puis il vous demande le type dinstallation: Pare feu with this option, ISA Server will function as a very powerful firewall, Web Cache will establish the ISA Server as a cache server and give access to Net resources Mode intgr toutes les caractristiques de ISA server seront prises en consideration.

Fig. 5: Selectionner le mode dinstallation Page - 3 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Pour lutilisation du cache de lacclration ce service utilisera le port 8080 attribu dj IIS . On peut aussi attributer la capacit du cache du disque dur qui va tre utlise en fat NTFS.

Fig. 6: Configuring the cache size for WWW caching

Si vous avez plusieur serveur ISa plusieurs caches seront rajout pour acclrer le WEB Maintenant il faut configurer toutes les addresses TCPIP de votre rseau local dans la table de routage.

Fig. 7: LAT setup utility

LAT (Local Address Table) toutes les addresses suivantes devraient tres configures (10.X.X.X, 172.16.X.X, 192.168.X.X) pour son utilisation exrterne.

Page - 4 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Fig. 8: A default LAT

Une fois que cette tape est termine avec succs, vous devriez terminer l'installation. Assurer vous seulement que toutes les cartes rseaux connectes dans votre rseau se connectent sur Internet si une n'est pas vrifie, votre table d'adresses risque d'tre mauvaise.

Fig. 9: Procedure complete d'installation

After completing the setup procedures, you can attempt to replicate the content of all files to the ISA Server directory. After installation, the ISA Server Administration utility will start.

Page - 5 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Fig. 10: Microsoft ISA Server Administrator utility and Getting Started Wizard
To manage this utility, use the Microsoft Management Console (MMC) feature. The left dialog box contains all options that are necessary for setup whilst the right box provides the settings available for such options.

Getting Started Wizard

Because ISA Server is completely different from Proxy Server 2.0, Microsoft recommends that even experienced administrators become acquainted with the Wizard that will help in the initial steps of product configuration and customization. The Getting Started Wizard works with a set of options that will aid users through the process of customizing the product and will also clarify the effects of specific modifications when introduced to the ISA Server. The Wizard is split into two sections (see Fig. 10):

Configuring policies, Configuring arrays.

After you have finished the initial configuration of ISA Server with help from the Getting Started Wizard, you can fully adapt the product to the working environment by finally re-adjusting certain settings.

Page - 6 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Creating protocol rules

Administering an ISA Server means creation of suitable arrays, rules and policies. Arrays and policies have already been explained so let us examine the term rules. ISA Server uses two types of rules: Site and content rule determines if and when content from specific Internet destinations can be accessed by users, Protocol rule determines which packets may or may not access the ISA server.

Apart from the above rules, the following rules can also be defined for ISA server: Bandwidth (Capacity) rule this will prioritise different types of services using ISA server. This allows administrators to verify which specific www traffic or business-related traffic will be allocated to the available bandwidth. Web publishing rules to publish incoming HTTP, HTTPS, FTP requests and map them as services on the ISA Server. Server publishing with this feature, clients from the public Internet are directed to the ISA Server instead of to the web server. Moreover, the ISA Server may act as the proxy for inbound and outbound traffic between the public Internet clients and the internal web server.

Web Cache functions

ISA Server features high-performance Web Cache functions. With Cache Configuration tab the user is guided through Web service configuring. In addition to a variety of settings, the possibility exists to set up the size of the cache memory per hard disk and configure the schedule of caching tasks (TTL utility).

Fig. 11: Configuring caching services Page - 7 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

When ISA Server is set up as a Web caching server, two situations are possible: Forward Web Caching Server this is the most popular use of the Web caching server. Its function is as follows:

Fig. 12: Forward Web Caching Server

1. User No. 1 (Client 1) forwards a request to the Web server for an object; 2. The ISA Server approves the request and checks if the object already exists in the local cache. If the content does not already exist in the cache, the ISA Server contacts the Web server to fetch the requested object (on behalf of the user); 3. The Web server returns the object in question to the ISA Server; 4. ISA Server returns the Web object to the original client No. 1, and saves this object to cache it locally. 5. User No. 2 forwards the request for the same Web object; 6. ISA Server will send the object cached locally to user No. 2. Reverse Web Caching Server Reverse Proxy by an ISA Server offers security for one or more Web servers located on the internal network. This ensures secure Web publishing, which is of particular concern if sensitive data is to be sent from the servers.

Page - 8 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

ISA serveur signifie Internet Security Acclration serveur. Ce systme fait parti de la gamme de serveur "WINDOWS SERVER SYSTEM". Ce serveur est conu pour rpondre aux divers problmes des entreprises connectes Internet. ISA serveur est implment dans une infrastructure pour palier au manque de scurit et permettre un accs plus rapide aux pages Web pour les clients du rseau interne. ISA possde 2 modes de fonctionnement. Le mode pare-feu: La scurit a pris une place majeure au sein d'une infrastructure, ISA serveur est l pour vous protger des attaques externes mais galement internes. Par l'intermdiaire de diverses rgles, vous contrlez votre rseau et tablissez les rgles pour chacun de vos clients. La granularit des droits est trs pousse ce qui permet un administrateur de concevoir des rgles faites sur mesure pour son rseau.

Le mode cache Web: ISA permet de stocker dans un cache les pages web consultes par les clients du rseau interne. Les clients font appel ce cache pour consulter leurs pages et gagnent ainsi en rapidit, ce qui allge le rseau en bande passante, limitant les accs inutiles vers Internet pour tlcharger les pages Web. Quelle est la configuration minimale requise pour l'installation d'ISA serveur ? Processeurs: Compatible Pentium II 300 mgahertzs (MHz) ou suprieur ISA Server Standard Edition prend en charge jusqu' quatre processeurs. ISA Server Entreprise Edition prend en charge un nombre illimit de processeurs. Mmoire vive: 256 Mo Espace disque: 20 Mo et de l'espace pour le cache Systme de fichiers Une partition de disque dur local au format NTFS Interface rseau: Il est ncessaire d'installer 2 interfaces rseau sur votre ISA serveur pour communiquer sur le rseau interne et le rseau externe. Systme d'exploitation: Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server ou Microsoft Windows 2000 Datacenter Server Entreprise Edition. Composants: Service pack1, Si ISA est excut sous Windows 2000 Server ou Windows 2000 Advanced Server, ISA requiert alors l'installation du Service Pack 1.

En fonction de l'utilisation de votre ISA serveur, mode cache et/ou proxy et de la charge du nombre de clients, vous ajusterez alors la monte en charge matrielle de votre serveur. Quels sont les diffrents modes dinstallation dISA Serveur ? Diffrents modes dinstallation sont disponibles sous ISA afin dadapter ISA au rle qui lui a t confi :

Page - 9 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Mode Cache : Le mode cache permet damliorer les performances daccs Internet en stockant localement les fichiers les plus consults par les utilisateurs ce qui permet doptimiser la bande passante daccs Internet. Mode pare-feu : Permet de scuriser le trafic rseau laide de rgles et didentifier diffrentes attaques connues. Mode intgr : Le mode intgr cumule les fonctionnalits du mode cache et du mode parefeu.

Quels sont les diffrents types de mise en cache pour ISA Serveur ? Mise en cache directe : permet damliorer la vitesse de navigation des utilisateurs internes lentreprise accdant Internet. Mise en cache inverse : qui va acclrer laccs des utilisateurs venant dInternet dsirant accder aux ressources Web internes que vous avez rendu disponible ! Mise en cache distribue : La mise en cache distribue peut sappliquer la mise en cache directe et inverse. Elle consiste en la distribution du cache sur un groupe de serveurs ISA, ce qui amliore les performances et offre une tolrance aux pannes lors de la dfaillance dun serveur ISA. Mise en cache directe : permet damliorer la vitesse de navigation des utilisateurs internes lentreprise accdant Internet. Mise en cache inverse : qui va acclrer laccs des utilisateurs venant dInternet dsirant accder aux ressources Web internes que vous avez rendu disponibles. Mise en cache distribue : La mise en cache distribue peut sappliquer la mise en cache directe et inverse. Elle consiste en la distribution du cache sur un groupe de serveurs ISA, ce qui amliore les performances et offre une tolrance aux pannes lors de la dfaillance dun serveur ISA.

Quels sont les prs requis matriel pour linstallation dun serveur ISA en mode mise en cache directe ?

Nombre dutilisateurs 1-500 500-1000 > 1000 >=2000

Configuration matrielle

Espace disque

PII 300Mhz, 256Mo de RAM PIII 550Mhz, 256Mo de RAM Deux PIII 550Mhz avec 256Mo de RAM pour 2000 utilisateurs Trois PIII 550Mhz avec 256Mo de RAM minimum

2 4Go 10Go 10Go par serveur 10Go par serveur

Quel est le pr requis matriel pour linstallation dun serveur ISA en mode mise en cache inverse ? Configuration requise Nombre de rponses

Page - 10 -

FirmFormation

Agre par ltat N 1075

par seconde

Cours de rseaux approfondis

Infrieur 800 Environ 800 Suprieur 800

PII 300Mhz PIII 550Mhz PIII 550Mhz pour 800. Au-del, il faut ajouter des processeurs

Comment configurer mon serveur DHCP pour quil active la recherche automatique du proxy ISA serveur ? Pour configurer un serveur DHCP en vue de la recherche automatique d'ISA Server, excutez la procdure ci-dessous. 1. Ouvrez le service DHCP, dans l'arborescence de la console, cliquez avec le bouton droit sur le serveur DHCP qui attribue les adresses IP aux ordinateurs clients, puis cliquez sur paramtrer les options prdfinies. 2. Dans la bote de dialogue Options et valeurs prdfinies, cliquez sur Ajouter. 3. Dans la bote de dialogue Type d'option, spcifiez les informations ci-dessous, puis cliquez sur OK. Dans la zone Nom, tapez WPAD Dans la zone Type de donnes, cliquez sur Chane. Dans la zone Code, tapez 252 4. Dans la zone de groupe Valeur, dans la zone Chane, tapez http://nom/wpad.dat (o nom reprsente l'ordinateur ISA Server qui fournira les informations de configuration), puis cliquez sur OK. Quelles mthodes d'authentification sont disponibles avec ISA serveur 2000 ? Il existe quatre types de mthodes dauthentification : Lauthentification de base. Cette mthode est dconseille car le login et le mot de passe de lutilisateur sont envoys en clair sur le rseau. Lauthentification Digest. Cette mthode est plus scurise que la premire car le mot de passe est envoy hach (cryptage non rversible) - ncessite Internet Explorer partir de la version 2.0. Lauthentification intgre Windows. Cette mthode utilise le protocole dauthentification Kerberos V5 - ncessite Internet Explorer. Lauthentification par certificat client. Utilise les informations contenues dans le certificat pour authentifier lutilisateur. Quest ce que la publication ? La publication va permettre de donner accs certaines des ressources dun serveur interne aux utilisateurs dInternet. Diffrents types de serveurs peuvent tre publis comme des serveurs Web, des serveurs Exchange et tout autre type de serveur utilisant le protocole TCP/IP.

Les utilisateurs dsirant accder cette ressource publie, le feront via linterface rseau publique du serveur ISA. Ensuite ISA acheminera les informations au serveur interne via son interface publique en garantissant la scurit et lintgrit des donnes provenant dInternet. Comment installer le client pare-feu ?

Page - 11 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Le client pare-feu est disponible depuis lordinateur ISA Server une fois celui-ci install. Donc pour toutes les mthodes dinstallation, vous devez installer le logiciel client pare-feu depuis le point dinstallation sur lordinateur ISA Server afin que lordinateur reoive toutes les informations ncessaires relatives la configuration.

Installation partir dun dossier partag : Lors de linstallation dISA Server, il cre automatiquement un dossier Programme Files\Microsoft ISA Server\Clients, copie les fichiers dinstallation cet emplacement, puis partage ce dossier en tant que MSPClnt. Pour installer le client, il faut utiliser lexplorateur Windows pour se connecter \\isa_serveur\MPSClnt (ou isa_serveur reprsente lordinateur ISA Server) puis excuter le Setup.exe.

Installation partir dun emplacement Web : Lordinateur ISA Server fourni un fichier .htm (Default.htm) et un fichier dinstallation .bat (Setup.bat). Il suffit simplement de dplacer ces 2 fichiers contenus dans le dossier Programme Files\Microsoft ISA Server\Clients\WEBINST vers un serveur Web disponible sur le rseau. Finalement, le client doit utiliser un navigateur Web pour se connecter au serveur Web, puis afficher Default.htm et suivre les indications.

Installation laide dune stratgie de groupe : Pour installer le client pare-feu laide dune stratgie de groupe, attribuez le package Windows Installer MS_FWC.msi dans le dossier partag \\isa_server\MSPClnt des utilisateurs ncessitant le client pare-feu. Le client pare-feu est disponible depuis lordinateur ISA Server une fois celui-ci install. Donc pour toutes les mthodes dinstallation, vous devez installer le logiciel client pare-feu depuis le point dinstallation sur lordinateur ISA Server afin que lordinateur reoive toutes les informations ncessaires relatives la configuration.

Installation partir dun dossier partag : Lors de linstallation dISA Server, il cre automatiquement un dossier Program Files\Microsoft ISA Server\Clients, copie les fichiers dinstallation cet emplacement, puis partage ce dossier en tant que MSPClnt. Pour installer le client, il faut utiliser lexplorateur Windows pour se connecter \\isa_serveur\MPSClnt (ou isa_serveur reprsente lordinateur ISA Server) puis excuter le Setup.exe.

Page - 12 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Installation partir dun emplacement Web : Lordinateur ISA Server fourni un fichier .htm (Default.htm) et un fichier dinstallation .bat (Setup.bat). Il suffit simplement de dplacer ces 2 fichiers contenus dans le dossier Program Files\Microsoft ISA Server\Clients\WEBINST vers un serveur Web disponible sur le rseau. Finalement, le client doit utiliser un navigateur Web pour se connecter au serveur Web, puis afficher Default.htm et suivre les indications.

Installation laide dune stratgie de groupe : Pour installer le client pare-feu laide dune stratgie de groupe, attribuez le package Windows Installer MS_FWC.msi dans le dossier partag \\isa_server\MSPClnt des utilisateurs ncessitant le client pare-feu. Serveur Web, puis afficher Default.htm et suivre les indications. Quels sont les 3 types de client ISA ? Clients du proxy Web : Amliorent la performance des requtes Web. Un client du proxy Web envoie directement les demandes vers l'ordinateur ISA Server, mais l'accs Internet est limit au navigateur. Vous pouvez configurer la plupart des navigateurs Web prenant en charge le protocole HTTP 1.1 en tant que clients du proxy Web. Clients SecureNAT : Offrent la scurit et la mise en cache des demandes HTTP mais n'autorisent pas l'authentification au niveau de l'utilisateur. Les clients SecureNAT peuvent prendre en charge la plupart des protocoles TCP/IP. Pour configurer un client SecureNAT, vous devez configurer l'ordinateur client pour router tous les paquets vers Internet par l'intermdiaire de l'ordinateur ISA Server. Pour ce faire, vous dfinissez habituellement la passerelle par dfaut sur l'ordinateur client vers l'adresse IP de l'ordinateur ISA Server. Clients pare-feu : Limitent par utilisateur l'accs sortant des demandes qui utilisent les protocoles TCP et UDP. Pour configurer un client pare-feu, vous devez installer le logiciel client pare-feu sur chaque ordinateur client. Vous pouvez installer ce logiciel sur les ordinateurs excutant uniquement Microsoft Windows dition Millnium, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0, Windows 2000 ou Windows XP. Quest ce que lenregistrement WPAD ? Les clients du proxy Web activent la recherche automatique en utilisant les informations WPAD (Web Proxy AutoDiscovery Protocol). Les clients pare-feu utilisent le protocole WSPAD (WinSock Proxy AutoDetect Protocol). Ces deux types de clients se connectent un ordinateur ISA Server et demandent des informations de configuration aprs avoir localis l'ordinateur ISA Server l'aide d'une entre WPAD sur le serveur DHCP (Dynamic Host Configuration Protocol) ou le serveur DNS (Domain Name System). Pour qu'un client du proxy Web ou pare-feu se connecte un ordinateur ISA Server, vous devez configurer le navigateur ou le client pare-feu pour qu'il transfre les demandes Internet vers un ordinateur ISA Server spcifique. Si l'ordinateur ISA Server devient inaccessible ou si vous souhaitez utiliser un autre ordinateur ISA Server, vous devez modifier cette configuration. Lorsque vous activez la recherche automatique, les clients pare-feu et les clients du proxy Web peuvent automatiquement trouver un ordinateur ISA Server sur le rseau. L'utilisation de la fonction de recherche automatique peut vous permettre de rduire le temps que vous passez rsoudre les problmes de connexion sur les ordinateurs clients. De quelles attaques IP vous protge ISA serveur 2000 (par dfaut) ? Au niveau des paquets IP, ISA peut dtecter les attaques suivantes:

Page - 13 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

- Port scan: Se produit lorsqu'une intruse tente d'accder A vos ports et lorsquil y a une tentative de listage des ports ouverts ou ferms. - IP half scan: Se produit lorsqu'un individu tente de se connecter plusieurs fois un ordinateur en modifiant les en-ttes de paquets TCP de faon obtenir plusieurs informations dans le but dattaquer lordinateur distant. -Land: Se produit lorsqu'un intrus tablit une connexion TCP en usurpant une adresse IP source et un numro de port source qui correspondent une adresse IP et un numro de port de destination. -Ping of death: Se produit lorsqu'une intruse ajoute un gros volume de donnes un paquet de requtes d'cho ICMP (Internet Control Message Protocol). Cette attaque peut entraner le blocage des ordinateurs. -UDP bomb : Se produit lorsqu'un intrus essaye d'envoyer un paquet UDP mal form , avec des valeurs errones dans les paquets. - WinNuke (Windows-Out-Of-Band): Se produit lorsqu'un intrus essaye d'effectuer une attaque de dni de service sur le port 139 NetBios. Quest-ce quune stratgie daccs sur ISA Server ? Les stratgies daccs dfinissent le type daccs Internet quautorisez. En crant une stratgie daccs et les rgles qui lui sont associes, vous pouvez autoriser ou interdire laccs des utilisateurs des protocoles, des sites Internet et des contenus spcifiques. Lorsque ISA Server traite une demande sortante, il utilise la stratgie daccs afin de dterminer si laccs doit tre autoriser ou refuser. Ci-dessous, les composants de stratgie daccs :

Une stratgie daccs comporte les trois types de composants : Rgles de protocole : Ces rgles dfinissent les protocoles que les clients ISA Server peuvent utiliser pour communiquer entre le rseau interne et Internet. Rgles de site et de contenu : Ces rgles dfinissent le type de contenu et les sites auxquels les clients du proxy Web peuvent accder ou ne peuvent pas accder. Elments de stratgie : Ces lments dfinissent les paramtres que vous utilisez dans les rgles. Par exemple, vous pouvez crer des lments de stratgie qui dfinissent une planification ou un type de contenu spcifique.

Page - 14 -

FirmFormation

Agre par ltat N 1075

Cours de rseaux approfondis

Peut on utiliser ISA Server 2000 avec la famille Windows Server 2003 ? Microsoft Internet Security and Acceleration (ISA) Server 2000 fonctionne seulement sur ldition standard et ldition Entreprise de Windows Server 2003. Par contre, le Service Pack 1 dISA Server (SP1) ou ultrieur est requis pour que Microsoft ISA Server 2000 fonctionne sur les ordinateurs fonctionnant sous Microsoft Windows Server 2003. Pour linstallation dISA Server 2000, trois cas sont envisageables : Migration de Windows Server ou de Windows Entreprise Server vers Windows Server 2003 sur un ordinateur disposant de Microsoft ISA Server 2000 : Si ISA Server est install, le Service Pack 1 d'ISA Server doit tre install avant la migration vers Windows Server 2003. Si le Service Pack 1 n'est pas install, la mise jour sera bloque. Installation de Microsoft ISA Server 2000 sur des ordinateurs Windows Server 2003 : Avant toutes choses, il est recommand pour installer ISA Server 2000 de dconnecter dInternet lordinateur sur lequel linstallation va avoir lieu jusqu la fin de linstallation du service pack 1 dISA Server 2000. Lors de linstallation de ISA Server 2000 sur un ordinateur Windows Server 2003, un des lecteurs (le "packet filter extension driver") de Microsoft ISA Server tant incompatible avec Windows Standard Server et Windows Entreprise Server, ne sera donc pas charg pendant l'installation. Ceci va engendrer une srie de message derreurs pendant linstallation quil faudra ignorer sans problme car le SP1 dISA Server contient le correctif de ce lecteur. Ltape suivante de linstallation et donc lapplication du service pack 1 dISA Server pour corriger cette incompatibilit. Suivez alors les instructions dinstallation, le systme redmarrera et ISA Server fonctionnera correctement. Utiliser la version d'valuation de Microsoft ISA Server sur des postes Windows Server 2003 : La version dvaluation de Microsoft ISA Server ne fonctionne que sur un environnement Windows Server 2000. Il faut donc ne pas oublier de dsinstaller cette version dISA de vos serveurs si vous comptez les migrer vers un environnement Windows Server 2003. Quel client installer pour utiliser ISA serveur ? En fonction de vos besoins, un client conviendra mieux quun autre. Le tableau vous aide dterminer le client employer :

- Vous souhaitez amliorer les performances web pour les clients internes, utilisez le client Web Proxy client. - Vous souhaitez viter davoir dployer un client ou davoir configurer des paramtres dans les applications, utilisez le client SecureNat. - Vous souhaitez amliorer les performances web pour les clients internes disposant de systmes dexploitation autre que Microsoft, utilisez le client SecureNat - Vous souhaitez publier un serveur situ sur votre rseau interne, utilisez le client SecureNat. - Vous souhaitez autoriser laccs Internet uniquement aux utilisateurs authentifis, utilisez un client Firewall .

Page - 15 -