.

Cours de scurit informatique

ISA Server 2004

. DECEMBRE 2008 daprs le site www.supinfo.com

ISA Server 2004 .

I. Prsentation gnrale d'ISA Server 2004 :

1) Nouveauts par rapport la version 2000 : .ISA Server ne joue pas simplement le rle de pare-feu mais aussi de serveur de Proxy et de serveur VPN. Voici une liste non exhaustive des principales nouveauts et amliorations apportes depuis la version 2000 :

Une nouvelle interface graphique beaucoup plus ergonomique et intuitive. Le paramtrage des rgles de routage/NAT entre les diffrents rseaux connects au serveur ISA a t rvolutionn grce la cration dun assistant de configuration rseau qui permet de se dcharger totalement de cette opration et permet ainsi de se concentrer sur le paramtrage des options lies la scurit. La configuration des rgles du pare-feu a t entirement revue par rapport la version 2000 notamment au niveau de lordre dapplication des rgles. De nouveaux filtres applicatifs ont t ajouts ou modifis. Par exemple le filtre HTTP a t grandement remani afin daugmenter le niveau de scurit des applications web comme IIS, Exchange ou bien encore Outlook. Les possibilits au niveau de la surveillance (ou monitoring) ont t dveloppes en profondeur. Ainsi on pourra visualiser les journaux (logs) et les sessions actives en temps rel, importer et exporter des rapports au format HTML, tester la connectivit rseau, Le serveur VPN est dornavant totalement intgr au serveur ISA et son paramtrage en est dautant plus facilit. La possibilit dimporter et dexporter la configuration du serveur ISA au format XML. 2) Configuration requise :

Voici les caractristiques logicielles et matrielles requises pour excuter ISA Server 2004 :

processeur Pentium III 550 ou plus performant 256Mo de mmoire vive un nombre de cartes rseaux et/ou modems adquats une partition ou un volume format avec le systme de fichier NTFS et disposant de 150Mo despace libre (bien entendu, si vous souhaitez activer la mise en cache, il faudra disposer de plus despace). un minium de deux interfaces rseau (carte rseau, modem RNIS, modem ADSL,...) Windows Server 2003 ou Windows 2000 Server SP4 Internet Explorer 6.0 ou suprieur

Il faut aussi tenir compte du nombre de clients connects "derrire" le serveur ISA ainsi que des fonctions quon peut activer pour ajuster le matriel du serveur. 3) Les diffrentes versions disponibles :

Page 2 sur 24

16/05/2012

ISA Server 2004

II. Installation et configuration initiale :

1) Installation du logiciel : Contrairement la version 2000 qui proposait 3 modes d'installation diffrents (mode cache, mode pare-feu et mode intgr), ISA Server 2004 ne propose qu'un seul mode d'installation. Dornavant l'activation ou non de la mise en cache se paramtre dans la console de Gestion ISA et n'est plus tributaire du mode d'installation choisi au dpart. L'installation ne prsentant aucunes difficults (choix des composants installer, dfinition de la table d'adresses locales, activation de la prise en charge des clients pare-feu utilisant l'ancienne version du client...) Une fois l'installation termine, six nouveaux services sont installs et doivent tre dmarrs pour que le serveur fonctionne correctement. Quatre de ces services concernent directement ISA Server :

Contrle de Microsoft ISA Server : ce service est le service principal d'ISA 2004. Il se rvle trs utile pour arrter/dmarrer le service pare-feu et le service Planificateur de tches Microsoft ISA Server en une seule opration. Pare-feu Microsoft : ce service est le plus important, il gre toutes les connexions faites au serveur, les rgles du pare-feu, les rgles de mise en cache, ... S'il n'est pas dmarr, aucune des fonctionnalit du serveur n'est assure (mise en cache, pare-feu et serveur VPN). Planificateur de tches Microsoft ISA Server : ce service permet de planifier des rapports sur l'activit du serveur. Espace de stockage Microsoft ISA Server : ce service gre notamment le systme de surveillance intgr ISA Server et l'espace mmoire ncessaire la mise en cache .

Les deux autres services correspondent au moteur de SQL Server 2000. En effet, MSDE 2000 version A (pour Microsoft SQL Server Desktop Engine) est utilis afin de stocker les donnes (notamment les donnes des journaux et des rapports) :

MSSQL$MSFW MSSQLServerADHelper

A l'issu du processus d'installation, il est conseill de consulter les trois fichiers journaux gnrs dans le rpertoire %WINDIR%\temp:

le fichier ISAWRAP_xxx contient un rsum du processus d'installation. le fichier ISAMSDE_xxx contient des information dtailles concernant l'installation du moteur de base de donnes MSDE. le fichier ISAFWSV_xxx contient des informations dtailles concernant l'installation d'ISA Server. 2) Une interface entirement repense :

Page 3 sur 24

16/05/2012

ISA Server 2004

Tout comme pour la version 2000, on utilise une console MMC (Microsoft Management Console) pour grer le serveur ISA. Cependant, ISA Server 2004 a fait lobjet dune refonte totale au niveau graphique. Outre le nouvel aspect bien plus esthtique grce ses formes arrondies, cette console nouvelle gnration apporte un rel plus en terme d'ergonomie par rapport l'ancienne console qui possde une lourde interface compose dune arborescence complique et de menu mal conus.

Comme on peut le voir sur la figure ci-dessus, le nouvel utilitaire de configuration conserve un systme avec deux fentres. Cependant, la fentre de gauche prsente dornavant une arborescence bien plus simpliste compose de 4 menus principaux :

Surveillance Stratgie de pare-feu Rseaux privs virtuels (VPN) Configuration (compose de 4 sous menus : Rseaux, Cache, Add-ins et Gnral)

Les autres options de configuration sont ensuite accessibles par le biais de la fentre de droite grce un systme donglets trs bien pens. (Comme illustre cidessous)

Page 4 sur 24

16/05/2012

ISA Server 2004

3)

Lassistant modle rseau :

Lune des principales amliorations au niveau de l'interface concerne la configuration du NAT et/ou routage entre les diffrents rseaux connects au serveur ISA. En effet, un assistant trs efficace est dsormais disponible pour mettre en place sans efforts administratifs les topologies rseau classiquement utilises sur un pare-feu. Il suffit de lancer lassistant et en 3 clics de souris, les rgles qui permettent la communication entre les diffrents rseaux relis au serveur sont automatiquement paramtres. Cinq configurations sont prdfinies :
Pare-feu de primtre Dans cette configuration, le serveur ISA est un hte bastion, cest--dire un pare-feu interconnectant un rseau priv un rseau public. Cest le scnario classique en entreprise lorsque lon souhaite filtrer laccs Internet.

Page 5 sur 24

16/05/2012

ISA Server 2004

Primtre en trois parties Le serveur ISA possde trois interfaces chacune connecte un sous rseau ou un rseau diffrent : - la premire est connecte au rseau interne de lentreprise - la seconde un rseau priphrique encore appel zone dmilitarise ou DMZ (DeMilitarized Zone) - la dernire un rseau public comme Internet. Pare-feu avant Dans ce scnario, le serveur ISA est configur pour tre le premier pare-feu dun rseau quip de deux pare-feu mis dos--dos. Le serveur ISA est lordinateur qui filtre les informations circulant entre le rseau priphrique (DMZ) et le rseau public (ex. : Internet).

Pare-feu arrire Dans ce scnario, le serveur ISA est configur pour tre le second pare-feu dun rseau quip de pare-feu dos--dos. Le serveur ISA est lordinateur qui filtre les informations circulant entre le rseau interne de lEntreprise et le rseau Priphrique (DMZ).

Carte rseau unique Dans cette configuration, ISA Server 2004 est paramtr pour assurer uniquement la fonction de mise en cache (serveur de Proxy). Il fonctionne sur le mme rseau que le rseau interne et ne peut faire ni routage, ni serveur VPN, ni pare-feu.

Bien entendu ladministrateur du serveur a toujours la possibilit de crer ces rgles rseaux et il peut aussi diter manuellement toute la configuration. Cependant, lassistant a le mrite de dbarrasser ladministrateur de cette tche

Page 6 sur 24

16/05/2012

ISA Server 2004

supplmentaire ce qui lui permet de se concentrer sur les autres paramtres du serveur ddis eux la scurit (mise en place de rgles, dalertes et de filtres). On peut galement noter quune configuration rseau peut tre sauvegarde au format XML ce qui permet de pouvoir la restaurer trs rapidement. La possibilit de pouvoir importer/exporter une configuration est d'ailleurs disponible pour tous les types de paramtres du serveur (ensemble de rseaux, rgles de rseaux, rgles de chanage web, stratgies de parefeu, configuration des clients VPN, rgles de cache, filtres,...). Voir figure ci-dessous

Page 7 sur 24

16/05/2012

ISA Server 2004

III.
1)

Paramtrage du pare-feu :
Introduction :

Nous allons maintenant voir comment paramtrer le pare-feu du serveur ISA. En effet, depuis la version 2000, les options du pare-feu ont t profondment revues. Voici un rappel des nouveauts :

Interface et mthode de cration des rgles d'accs amliores. Modification de lordre dapplication des rgles. Stratgie systme. Remaniement des filtres d'application. 2) Les lments de stratgie :

A linstar dISA 2000, on utilise des lments de stratgie dfinis pralablement afin de simplifier et de structurer la cration de rgles d'accs pour le pare-feu mais aussi pour la cration de tous les autres types de rgles existantes (rgles de mise en cache, rgles de stratgie systme,...) comme nous le verrons ultrieurement. Les diffrents types dlments sont :

Protocoles Utilisateurs Types de contenus Planifications Objets de rseau

Un certain nombre dlments existent par dfaut ce qui vite ladministrateur de devoir tous les re-dfinir. On peut crer et visionner les lments de stratgie dans longle bote outils (voir figure ci-dessous) situe dans le menu de la fentre de droite (ce menu saffiche si lon slectionne stratgie de pare-feu dans larborescence).

Par dfaut le nombre de protocoles prfinis est impressionnant. Ils sont classs par groupe ce qui facilite grandement les recherches. Ainsi si l'on souhaite paramtrer une rgle pour autoriser ou refuser l'accs aux pages Web il faudra aller chercher dans le conteneur Web qui contient notamment les protocoles HTTP et HTTPS. Cette classification se rvle trs utile l'usage. En effet, cela vite de devoir faire des recherches sur Internet lorsqu'on ne connat pas le numro de port et/ou les

Page 8 sur 24

16/05/2012

ISA Server 2004

plages de ports utilises par une application donne. On peut citer quelques dossiers intressants :

VPN et IPSec qui permet d'autoriser l'accs VPN (IKE, IPSec, L2TP, PPTP,...) Terminal distant donne accs aux principaux protocoles d'administration distance (RDP, Telnet, SSH,...) Messagerie instantane qui permet d'autoriser ou d'interdire rapidement l'accs aux principales applications (ICQ, AIM, MSN, IRC...)

Bien entendu on peut rajouter des dfinitions de protocoles la liste prsente au dpart si le besoin s'en fait sentir. L'onglet Utilisateurs permet de crer des groupes d'utilisateurs qui seront utiles lors de la cration des rgles du pare-feu. La grande nouveaut ce niveau est la gestion des comptes contenus sur les serveurs RADIUS ou sur les serveurs grant l'authentification via le protocole SecureID en plus des comptes de domaine Active Directory. Un certain nombre de types de contenus existe par dfaut, ce qui permet de simplifier la cration de rgles sur les contenus. On peut citer documents web, images, audio ou bien encore vido. Les lments de stratgie Types de contenus se rvlent trs utiles pour permettre des utilisateurs de surfer tout en les empchant de tlcharger certains fichiers (comme les vidos par exemple). Les deux planifications types prsentes par dfaut sont simplistes et devront tre retouches afin de correspondre aux horaires de votre entreprise. Il ne faudra pas hsiter ici crer plusieurs autres planifications comme pause ou repas qui permettront de paramtrer des rgles d'accs spcifiques certains moments de la journe. Les objets rseaux sont trs importants pour le paramtrage des diffrentes rgles du serveur ISA. Les ensembles de rseaux et les rseaux sont cres automatiquement lors de la slection d'un modle rseau. Par exemple si vous choisissez le modle pare-feu de primtre les rseaux Interne, Externe, Clients VPN et Clients VPN en quarantaine seront ajouts. Le rseau hte local est toujours prsent, il reprsente le serveur ISA. Le "rseau" clients VPN en quarantaine contient l'ensemble des clients VPN dont la connexion a t refuse car leurs niveaux de scurit ntaient pas satisfaisant. Cette mise en quarantaine des clients "non scuriss" est une nouveaut de la version 2004 d'ISA server. Une autre catgorie d'objet de rseau intressante est la possibilit de crer des ensembles d'URL et des ensembles de noms de domaines. Cela va permettre de bloquer ou d'autoriser certains sites ou certaines pages. Si le nombre de sites web auquel vos utilisateurs doivent accder est faible, il est fortement recommand de crer un lment de stratgie nomm sites autoriss ce qui permettra vos utilisateurs d'accder uniquement ces sites.

Page 9 sur 24

16/05/2012

ISA Server 2004 3) La cration des rgles du pare-feu :

Par rapport sa version 2000, la cration des rgles du pare-feu a t modifie. Ainsi il ny a plus quun seul type de rgles contrairement aux trois types de rgles (rgles de protocoles, rgles de sites et de contenu et filtres de paquets) dISA Server 2000. Voici les informations rentrer pour paramtrer une rgle type.
ACTION -refuser -autoriser PROTOCOLE - ensemble de protocoles - port particulier SOURCE / DESTINATION - ensemble de site - ensemble de noms de domaine - plage dadresses IPs APPLICATION - utilisateurs - groupes - personnalise CONDITION -plage horaire -type de contenu

Cette nouveaut a le mrite de simplifier la configuration et la comprhension car on na beaucoup moins de rgles paramtrer. Par exemple pour autoriser laccs Internet avec ISA Server 2000 il faut crer deux rgles (une rgle de site et de contenu pour autoriser laccs vers telle ou telle destination et une rgle de protocoles pour autoriser les protocoles HTTP et HTTPS) alors quISA Server 2004 ne ncessite quune seule rgle pour arriver au mme rsultat.

Page 10 sur 24

16/05/2012

ISA Server 2004

Longlet tches (voir figure ci-dessus) contient lensemble des actions ralisables pour paramtrer le pare-feu. On y retrouve les possibilits sappliquant aux rgles d'accs (cration, dition, dsactivation, suppression), mais aussi tous les types de publication (publication dun serveur Web, publication dun serveur web scuris, publication dun serveur de messagerie, publication de serveur). On peut de plus afficher, modifier, importer et exporter les rgles de la stratgie systme. Ces rgles sont dfinies automatiquement et s'appliquent spcifiquement au serveur ISA qui correspond au "rseau" hte local. Ces rgles permettent par exemple au serveur ISA de joindre un serveur DHCP ou un contrleur de domaine. Les rgles de stratgie systme sont donc essentielles au bon fonctionnement du serveur ISA. Le lien dfinir les prfrences d'IP permet quand lui d'activer le routage IP et de paramtrer le filtre d'options IP. Le filtre d'options IP permet d'autoriser ou de refuser les paquets possdant des options spcifiques. Toutes les oprations d'importation et d'exportation utilisent le format XML. 4) Ordre d'application des rgles :

Chaque rgle possde un numro et lorsquune requte arrive au serveur, cest la rgle qui a le numro le plus faible qui sapplique. Voici un exemple de rgles que lon peut paramtrer.

On note la prsence dune rgle spcifique ne portant pas de numro et note : Dernier . Comme vous pouvez le voir sur la capture dcran ci-dessus, cette rgle bloque tous les protocoles de toutes les sources vers toutes les destinations. Elle est toujours situe la fin et possde donc la priorit la plus basse. 5) Les rgles de stratgie systme :

La stratgie systme est un ensemble de rgles qui permettent au serveur ISA de joindre certains services rseau frquemment utiliss. Au premier abord, on pourrait considrer ces rgles de stratgie systme comme un trou de scurit. Cependant la plupart de ces rgles autorisent juste la communication entre l'hte local et le rseau interne. En aucun cas, un utilisateur externe ne peut accder au serveur ISA ou bien au rseau de l'entreprise via l'une de ces rgles. Le but de Microsoft avec la stratgie systme est de trouver un bon compromis entre connectivit et scurit. Si la stratgie systme n'existait pas, le serveur ISA ne pourrait communiquer avec aucune autre machine. Ceci empcherait notamment le serveur ISA de raliser les actions suivantes : . Page 11 sur 24 16/05/2012

ISA Server 2004

ouvrir une session sur le domaine rcuprer un bail DHCP rsoudre les noms de domaines pleinement qualifi en adresse IP etc.

Le scnario de l'installation distance via une session Terminal Server permet de bien se rendre compte de l'utilit de la stratgie systme du point de vu administratif. En effet, si la stratgie systme n'existait pas, vous pourriez installer ISA 2004 sur une machine distante, mais ds le lancement du service pare-feu, la session Terminal Server serait immdiatement dconnecte car le protocole RDP serait bloqu. Cela obligerait ensuite l'administrateur se dplacer sur le site distant pour crer une rgle d'accs autorisant le protocole RDP ce qui peut s'avrer contraignant si le site distant est situ 6000 kilomtres. La figure ci-dessous liste les rgles de stratgie systme.

Bien entendu, les rgles de stratgie systme inutiles doivent tre dsactives afin de rduire la surface d'attaque. Pour ce faire, un assistant spcifique nomm . Page 12 sur 24 16/05/2012

ISA Server 2004

diteur de stratgie systme (voir figure ci-dessous) est disponible. Il permet de dsactiver toutes les rgles de stratgie systme, mais aussi de les configurer.

6)

Le filtrage applicatif :

ISA Server 2004 met l'accent sur les filtres d'application qui sont maintenant plus nombreux et qui possdent des fonctionnalits avances. Contrairement aux filtres de paquets qui analysent uniquement l'en-tte des paquets IP pour savoir si le paquet doit tre bloqu ou non, les filtres d'application analysent aussi le corps du paquet. Les filtres d'application sont au nombre de 12.

Page 13 sur 24

16/05/2012

ISA Server 2004

Pour activer ou dsactiver des filtres d'application, il faut utiliser la fentre prsente ci-dessus (cette fentre est situe dans le menu configuration / Add-ins de l'arborescence). Par dfaut tous les filtres d'application sont activs afin de procurer une scurit maximale. Les filtres inutiliss peuvent tre dsactivs afin de ne pas faire chuter les performances sur une machine peu puissante.

7)

Conclusion :

Voici les points essentiels retenir pour crer des rgles d'accs sous ISA Server 2004 :

La cration des rgles d'accs fait appel des lments de stratgie Chaque rgle est applique dans un ordre bien prcis Des filtres spcifiques peuvent tre appliqus sur les rgles d'accs Certaines rgles sont prsentent par dfaut (stratgie systme)

Page 14 sur 24

16/05/2012

ISA Server 2004

IV.
1)

Implmentation de la mise en cache

Introduction :

A l'instar de la version 2000, ISA Server 2004 joue aussi le rle de serveur de proxy. Tous les paramtres relatifs la mise en cache se configurent dans une fentre spcifique accessible via l'arborescence principale (configuration / cache).

2)

Configuration de la mise en cache :

Un onglet "taches" rcapitule les diverses actions possibles :

activer/dsactiver la mise en cache dfinir la taille maximale qu'occupera le fichier de cache sur chaque partition ou sur chaque volume crer des rgles de cache en utilisant les lments de stratgie prdfinis importer/exporter les rgles de cache activer/dsactiver et paramtrer la mise en cache active

Les rgles de cache s'appliquent avec le mme systme que les rgles d'accs et que les rgles de stratgie systme. La rgle qui possde le numro le plus faible sera donc traite en priorit. Il existe une rgle par dfaut qui met en cache tous les types d'objets HTTP et FTP demands quel que soit le rseau source. Il aussi possible de planifier le tlchargement de certains contenus dans un onglet spcifique. . Page 15 sur 24 16/05/2012

ISA Server 2004

Les paramtres de la mise en cache restent les mme que sur ISA Server 2000 comme le montrent les deux captures d'cran ci-dessous :

Page 16 sur 24

16/05/2012

ISA Server 2004

V. Configuration des ordinateurs clients

1) Introduction : A l'instar d'ISA 2000, il est possible de configurer les ordinateurs clients de trois manires diffrentes. C'est pourquoi on en distingue trois types :

les clients de pare-feu les clients du Proxy web les clients SecureNAT

Les possibilits offertes en terme de scurit, de fonctionnalits mais aussi de dploiement diffrent en fonction du type de client. 2) Configurer un client SecureNAT :

Un client SecureNAT est un ordinateur configur pour utiliser l'adresse IP du serveur ISA en tant que passerelle par dfaut. Toute machine excutant un systme d'exploitation sur lequel la pile de protocole TCP/IP est supporte (UNIX, BSD, Linux, Windows,...) peut donc devenir un client SecureNAT. Bien videmment lorsqu'un ou plusieurs routeurs sparent le client SecureNAT du serveur ISA, le client devra utiliser l'adresse IP du routeur le plus proche de lui en tant que passerelle par dfaut. Ce type de client s'avre simple et rapide implmenter lorsque le protocole DHCP est utilis (en effet, il n'y a qu'une option a paramtrer au niveau du serveur DHCP pour que les clients SecureNAT fonctionnent).

L'un des dfauts majeur du client SecureNAT est l'absence de systme d'authentification. En effet, l o le client de pare-feu et le client du Proxy web permettent de retrouver l'identit de l'utilisateur, le client SecureNAT permet uniquement de retrouver l'adresse IP de la machine. Cela signifie que les restrictions sur les utilisateurs et les groupes d'utilisateurs ne s'appliquent pas aux clients SecureNAT. Ceci explique pourquoi ils sont utiliss uniquement lorsque cela est ncessaire : dans le cas d'ordinateurs ne supportant pas le client pare-feu (c'est--dire sous Unix/Linux) dans le cas de serveurs devant tre publis 3) Configurer un client du Proxy web :

Page 17 sur 24

16/05/2012

ISA Server 2004

Un client du Proxy web est un ordinateur excutant une application configure pour utiliser le serveur ISA en tant que serveur de proxy. L'exemple type est un navigateur web comme Safari, Opra ou bien encore Internet Explorer. Voici quelques caractristiques des clients du Proxy web :

ils sont utilisables sur n'importe quel systme d'exploitation (sauf les OS ne grant pas TCP/IP et ne possdant aucun navigateur web...). les seuls protocoles supports sont HTTP, HTTPS et FTP sur HTTP (protocole permettant de consulter le contenu d'un serveur FTP l'aide d'un navigateur web en saisissant des adresses du type ftp://nom_du_serveur dans la barre des URL). Ils proposent d'authentifier ou non les utilisateurs.

On donne ci-dessous, la capture d'cran d'un ordinateur excutant Internet Explorer et configur en tant que client du Proxy web. Il suffit dfinir le nom du serveur ISA ainsi que le port utilis dans le navigateur (cette fentre est est accessible via Outils / Options Internet / Connexions / Paramtres rseaux). Bien entendu, l'apparence et l'emplacement de ces paramtres changent d'un logiciel l'autre

Par dfaut, ISA Server 2004 utilise le port 8080 pour communiquer avec les clients du Proxy web. Pour modifier ce paramtre, il faut afficher les proprits du rseau Interne en dveloppant Configuration / Rseaux dans l'arborescence de la console de Gestion ISA. L'onglet Proxy web permet de modifier les ports utiliss pour les protocoles HTTP et HTTPS (les valeurs par dfaut sont respectivement 8080 et 8443).

Page 18 sur 24

16/05/2012

ISA Server 2004

L'onglet Proxy web permet aussi d'activer ou non l'authentification des clients du Proxy web (il suffit de ccher la case Exiger que tous les utilisateurs s'authentifient). Plusieurs mthodes d'authentifications sont disponibles :

De base : Cette mthode est proscrire absolument car les informations d'identification (identifiant et mot de passe) sont envoyes en clair ! Digest : Les informations d'identification sont haches ce qui offre une meilleure scurit que l'authentification de base. Lorsque l'on cche la case Digest et que le serveur ISA est install sur un ordinateur excutant Windows Server 2003, le protocole rellement utilis est WDigest. Intgre : L'authentification dite Intgre correspond au protocole Kerberos V5 (ou NTLM dans certains cas). Kerberos met en oeuvre le hachage des donnes et propose une authentification mutuelle. Certificat SSL : Cette mthode vrifie l'identit du client et du serveur l'aide de certificat numriques pralablement distribus par une autorit de certification. Le protocole de cryptage utilis est SSL pour Secure Sockets Layer. RADIUS : RADIUS signifie Remote Authentification Dial-In User Service. C'est un protocole d'authentification standard faisant intervenir le protocole de hachage MD5.

La mthode d'authentification privilgier au sein d'un domaine reste l'authentification intgre Windows en raison de son haut niveau de scurit. La mise en place de l'authentification des clients du Proxy web ne doit pas tre nglige sinon les restrictions des rgles accs sur les utilisateurs et sur les groupes d'utilisateurs ne s'appliqueront pas. En outre, l'authentification permet d'obtenir des statistiques concernant les utilisateurs par le biais des rapports. Le dploiement des clients proxy web peut tre faite par protocole WPAD ou par stratgie de groupes. . Page 19 sur 24 16/05/2012

ISA Server 2004 4) Configuration du client pare-feu :

Un client pare-feu est un ordinateur sur lequel l'application client de pare-feu Microsoft est installe. Cette application configure automatiquement la machine pour accder Internet ou un autre rseau par l'intermdiaire d'un serveur ISA. Il est possible de dployer ce logiciel de diverses manires :

via le partage \\serveur_isa_2004\mspclnt cre automatiquement lors de l'installation d'ISA via un objet stratgie de groupe (GPO) via un package System Management Server (SMS) 2003

Le paramtrage du client de pare-feu est trs simple. L'onglet Gnral permet de slectionner manuellement ou automatiquement le serveur ISA. Dans le second cas, le protocole WSPAD (WinSock Proxy AutoDetect) est utilis. WSPAD se configure de la mme manire que WPAD (via un serveur DHCP ou un serveur DNS). L'onglet Navigateur Web permet quand lui de configurer automatiquement Internet Explorer. Les paramtres appliqus au navigateur doivent tre dfinis au niveau du serveur ISA.

5)

Conclusion :

Il est difficile de dterminer quelle configuration est la plus adapte en ce qui concerne les machines clientes. En effet, ce choix dpend fortement du type de machines dployes (Windows, Linux, Mac OS, BSD,...), des logiciels installs (notamment des navigateurs), du niveau de scurit ncessaire, de l'infrastructure en place (domaine/groupe de travail; DMZ)... Voici un petit tableau rcapitulatif des caractristiques des diffrents clients : . Page 20 sur 24 16/05/2012

ISA Server 2004

Pare-feu Authentification des utilisateurs supporte Systme d'exploitation supports Protocoles supports Maintenance Oui Windows Tous contraignante (ncessit de redmarrer le service dans certains cas) installation et configuration d'un logiciel

Proxy web Oui si configure Tous HTTP / HTTPS / FTPover HTTP aise (sauf quand le Proxy est configur manuellement) configuration du navigateur

SecureNAT Non Tous Tous aise (rien configurer sauf la passerelle) configuration de la passerelle par dfaut

Configuration requise sur les clients

De manire gnrale, l'utilisation de clients pare-feu est recommande.

Page 21 sur 24

16/05/2012

ISA Server 2004

VI.
1)

Publication Web
Introduction :

Microsoft Internet Security and Acceleration (ISA) Server 2004 utilise les rgles de publication Web pour rsoudre les problmes associs la publication du contenu Web sur Internet sans pour autant compromettre la scurit du rseau interne. Les rgles de publication Web dterminent comment Microsoft ISA Server intercepte les demandes entrantes pour des objets HTTP hbergs sur un serveur Web interne et comment il rpond la place du serveur Web. Les demandes sont envoyes en aval vers un serveur interne situ derrire le serveur ISA. Dans la mesure du possible, la demande est satisfaite partir du cache de Microsoft ISA Server. Les rgles de publication Web mappent les requtes entrantes sur les serveurs Web appropris situs derrire le serveur ISA. 2) Prsentation de la publication d'un serveur Web :

Nous vous conseillons de sauvegarder la configuration en place l'aide de la fonctionnalit de sauvegarde de Microsoft ISA Server avant d'effectuer des modifications. Si les modifications que vous effectuez donnent des rsultats inattendus, vous pouvez alors rtablir la configuration d'origine. Pour sauvegarder la configuration entire du serveur ISA, procdez comme suit :

de

Cliquez avec le bouton droit de la souris sur le nom du serveur ISA, puis cliquez sur Sauvegarder. Dans Configuration de sauvegarde, indiquez l'emplacement et le nom du fichier dans lequel vous voulez enregistrer la configuration. Incluez la date de l'exportation dans le nom du fichier pour identifier plus facilement celui-ci, par exemple ExportationSauvegarde2juin2004. Cliquez sur Sauvegarder. Si vous exportez des informations confidentielles, telles que des mots de passe utilisateur, vous devrez fournir un mot de passe qui sera ncessaire pour restaurer la configuration partir du fichier export. Une fois l'opration de sauvegarde termine, cliquez sur OK. 3) Publication d'un serveur Web sur un rseau interne ou primtre :

Pour publier un serveur Web sur le rseau interne ou un rseau de primtre, crez une rgle de publication Web en suivant la procdure ci-aprs : Ouvrez le module Gestion ISA Server, dveloppez le nud du serveur ISA, puis cliquez sur Stratgie de pare-feu.

Dans le volet des tches, dans l'onglet Tches, cliquez sur Publier un serveur Web afin de lancer l'Assistant Nouvelle rgle de publication Web. Sur la page Bienvenue, dans le champ Nom de la rgle de publication Web, tapez le nom de la rgle, par exemple, Publier le serveur Web interne, puis cliquez sur Suivant. Sur la page Slectionnez l'action de la rgle, vrifiez que l'option par dfaut Autoriser est slectionne. Cette option autorise les demandes accder au serveur Web en fonction des conditions dfinies par la rgle. Cliquez sur Suivant. Page 22 sur 24 16/05/2012

ISA Server 2004

Sur la page Dfinissez le site Web publier, dans Nom ou adresse IP de l'ordinateur, spcifiez le serveur Web qui hberge le site Web que vous voulez publier. Il peut s'agir du nom ou de l'adresse IP de l'ordinateur. Dans cet exemple, l'ordinateur est appel Interne_IIS. Vrifiez que l'option Transmettre l'en-tte de l'hte d'origine plutt que l'en-tte rel n'est pas slectionne. Il s'agit de la condition par dfaut. Pour plus d'informations, voir En-ttes d'htes d'origine dans ce document. Dans Dossier, spcifiez le dossier du site Web que vous voulez publier, par exemple, Nouvelles. Si vous ne renseignez pas ce champ, le site entier sera publi. L'utilisation du champ Dossier est dtaille plus loin dans ce document. Cliquez sur Suivant. Sur la page Informations sur les noms publics, fournissez les informations concernant quelles demandes seront reues par le serveur ISA et transmises au serveur Web. Dans Accepter les demandes pour, si vous slectionnez Tout nom de domaine, toute demande qui est rsolue pour l'adresse IP du port d'coute Web externe du serveur ISA sera transmise votre site Web. Si vous slectionnez Ce nom de domaine et fournissez un nom de domaine spcifique, par exemple www.fabrikam.com, en supposant que ce domaine est rsolu pour l'adresse IP du port d'coute Web externe du serveur ISA, seules les demandes pour http://www.fabrikam.com seront transmises au serveur Web. Si vous spcifiez un dossier dans Chemin d'accs, tel que Nouvelles, il sera galement requis dans la demande : http://www.fabrikam.com/nouvelles. Le format de demande requis est indiqu dans Site. Cliquez sur Suivant. Sur la page Slectionnez le port d'coute, spcifiez le port d'coute Web qui coutera les demandes de pages Web rediriger vers le serveur Web, puis cliquez sur Suivant. Si vous n'avez pas dfini de port d'coute, cliquez sur Nouveau et suivez ces instructions pour en crer un. Sur la page Bienvenue de l'Assistant Nouveau port d'coute Web, tapez le nom du nouveau port d'coute, par exemple, Port d'coute sur le rseau externe pour la publication Web interne, puis cliquez sur Suivant. Sur la page Adresses IP, slectionnez le rseau qui coutera les demandes Web. tant donn que Microsoft ISA Server devra recevoir les demandes provenant du rseau externe (Internet), le port d'coute devra correspondre aux adresses IP des cartes du rseau externe de Microsoft ISA Server. Par consquent, slectionnez Externe, puis cliquez sur Suivant. Sur la page Spcification de port, vrifiez que le numro du port HTTP est 80 (paramtre par dfaut). Si vous vouloir recevoir des demandes HTTPS, slectionnez Activer SSL, vrifiez que le numro du port SSL est 443 (paramtre par dfaut) et indiquez le nom du certificat dans le champ Certificat. Pour cela un certificat numrique doit tre install sur le serveur ISA. Pour plus d'informations sur les certificats, voir Certificats numriques utiliss pour Microsoft ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794). Cliquez sur Suivant. Sur la page Fin de l'Assistant Nouveau port d'coute Web, vrifiez les paramtres et cliquez sur Terminer. Sur la page Slectionnez le port d'coute, cliquez sur Suivant. Sur la page Ensembles d'utilisateurs, vrifiez que l'option par dfaut Tous les utilisateurs est disponible. Cette option permet aux ordinateurs du rseau externe d'accder aux pages Web publies. Vous pouvez limiter l'accs aux pages certains utilisateurs, servez-vous pour cela du bouton Supprimer pour supprimer tous les utilisateurs et du bouton Ajouter pour ouvrir la bote de dialogue Ajouter des utilisateurs. Cliquez sur Suivant. Sur la page de fin de l'Assistant Nouvelle rgle de publication Web, faites dfiler la configuration de la rgle pour vrifier que celle-ci est correcte, puis cliquez sur Terminer. Page 23 sur 24 16/05/2012

ISA Server 2004

Dans le volet d'informations de Microsoft ISA Server, cliquez sur Appliquer pour appliquer les modifications que vous avez effectues.

Page 24 sur 24

16/05/2012