Académique Documents
Professionnel Documents
Culture Documents
.3 CONFIGURATION REQUISE 1.4 LES DIFFRENTES VERSIONS DISPONIBLES 1.5 VALUER ISA SERVER 2004 GRATUITEMENT 2. INSTALLATION ET CONFIGURATION INITIALE 2.1 INSTALLATION DU LOGICIEL 2.2 UNE INTERFACE ENTIREMENT REPENSE 2.3 L' ASSISTANT MODLE RSEAU 2.4 LE CHANAGE DE PARE-FEU ET LE CHANAGE 3. PARAMTRAGE DU PARE-FEU 3.1 INTRODUCTION 3.2 LES LMENTS DE STRATGIE 3.3 LA CRATION DES RGLES DE PARE-FEU 3.4 ORDRE D 'APPLICATION DES RGLES 3.5 LES RGLES DE STRATGIE SYSTME 3.6 LE FILTRAGE APPLICATIF 3.7 CONCLUSION 4. EXEMPLES DE CONFIGURATION 4.1 INTRODUCTION 4.2 AUTORISER L 'ACCS INTERNET POUR LES CLIENTS DU RSEAU INTERNE 4.3 INTERDIRE COMPLTEMENT L 'ACCS MSN MESSENGER 4.4 INTERDIRE L'ACCS MSN WEB MESSENGER 4.5 CONCLUSION 5. I MPLMENTATION DE LA MISE EN CACHE 5.1 INTRODUCTION 5.2 CONFIGURATION DE LA MISE EN CACHE D 'UN SERVEUR WEB 5.3 CONCLUSION 6. MISE EN PLACE D 'UN SERVEUR VPN 6.1 INTRODUCTION 6.2 UN PARAMTRAGE SIMPLIFI 6.3 DE NOUVELLES OPTIONS 6.4 LA FONCTION DE MISE EN QUARANTAINE 6.5 CONCLUSION 7. CONFIGURATION DES ORDINATEURS CLIENTS 7.1 INTRODUCTION 7.2 CONFIGURER UN CLIENT SECURENAT 7.3 CONFIGURER UN CLIENT DU PROXY WEB 7.4 UTILISATION DU PROTOCOLE WPAD POUR PARAMTRER AUTOMATIQUEMENT 7.5 DPLOIEMENT ET CONFIGURATION DES CLIENTS PARE-FEU 7.6 INTEROPRABILIT AVEC LE CLIENT PARE- FEU D'ISA 2000 7.7 CONCLUSION 8. SURVEILLANCE ET MONITORING D 'ISA SERVER 2004 8.1 INTRODUCTION 8.2 VUE D 'ENSEMBLE DU TABLEAU DE BORD 8.3 CONFIGURATION ET UTILISATION DES VRIFICATEURS DE CONNECTIVIT 8.4 GESTION DE LA JOURNALISATION 8.5 GNRATION DE RAPPORTS 8.6 CONCLUSION 9. MIGRATION D 'ISA SERVER 2000 VERS ISA SERVER 2004 9.1 PRREQUIS 9.2 SAUVEGARDE DES PARAMTRES DU SERVEUR ISA EN VUE D' UNE MIGRATION 9.3 MISE NIVEAU DU SERVEUR 9.4 IMPORTATION DES PARAMTRES PRCDEMMENT SAUVEGARDS DANS ISA SERVER 2004 10. CONCLUSION
WEB
LES CLIENTS DU
PROXY WEB
1. PRSENTATION GNRALE D'ISA SERVER 2004 1.1 INTRODUCTION LA SORTIE DINTERNET SECURITY & ACCELERATION SERVER 2004 DURANT LE MOIS DE JUILLET (2004) A T UN VNE MENT TRS IMPORTANT POUR MICROSOFT . EN EFFET CE LOGICIEL APPARAT COMME TANT L LMENT CLEF DE LA POLITIQUE DE SCURIT ACTUELLEMENT INSTAURE PAR LA FIRME DE REDMOND ( CF. : NOTRE ARTICLE). POUR RAPPEL ,
CETTE POLITIQUE EST ESSENTIELLEMENT COMPOSE DE QUATRE POINTS :
UNE
DFAUT POUR LES APPLICATIONS ( ON PEUT PAR EXEMPLE CITER LE FIREWALL DE WINDOWS XP QUI S ACTIVE AUTOMATIQUEMENT DS L INSTALLATION DU PACK 2).
SERVICE
UNE
MISES JOUR GRCE DE NOUVEAUX OUTILS (SUS, MBSA, SMS, ET BIENTT WUS ...).
y y
UNE
UN
DVELOPPEMENT
(MICROSOFT
SCURIS ).
APRS UN TEL DISCOURS ET TANT DONN LE CONTEXTE ACTUEL ( POURRIELS , VERS ET VIRUS SONT DEVENUS LE QUOTIDIEN DES INTERNAUTES ET LE CAUCHEMAR DES
ADMINISTRATEURS ), MICROSOFT SE DEVAIT DE LANCER UNE MISE JOUR CONVAINCANTE DE SON LOGICIEL PHARE CONCERNANT LA SCURIT .
RAPPORT LA VERSION
POUR COMMENCER, RAPPELONS QUISA SERVER NE JOUE PAS SI MPLEMENT LE RLE DE PARE-FEU MAIS AUSSI DE SERVEUR DE PROXY ET DE SERVEUR VPN. VOICI UNE LISTE NON EXHAUSTIVE DES PRINCIPALES NOUVEAUTS ET AMLIORATIONS APPORTES DEPUIS LA VERSION 2000 :
y UNE NOUVELLE INTERFACE GRAPHIQUE BEAUCOUP PLUS ERGONOMIQUE ET INTUITIVE. LE PARAMTRAGE DES RGLES DE ROUTAGE/NAT ENTRE LES DIFFRENTS RSEAUX CONNECTS AU SERVEUR ISA A T RVOLUTIONN GRCE LA CRATION D UN ASSISTANT DE CONFIGURATION RSEAU QUI PERMET DE SE DCHARGER
TOTALEMENT DE CETTE OPRATION ET PERMET AINSI DE SE CONCENTRER SUR LE PARAMTRAGE DES OPTIONS LIES LA
SI
VOUS SOUHAITEZ PRENDRE CONNAISSANCE DE L ENSEMBLE DE MODIFICATIONS ET DES NOUVEAUTS PAR CETTE NOUVELLE VERSION , DEUX ALTERNATIVES S' OFFRENT VOUS
o o
TLCHARGER LES SPCIFICATIONS TECHNIQUES AU FORMAT *. DOC DISPONIBLE ICI . o VISUALISER LES SPCIFICATIONS TECHNIQUES EN HTML. TLCHARGER LE DOCUMENT DE PRSENTATION OFFICIEL AU FORMAT POWER POINT ICI .
ISA SERVER
SCURIT . 2000 NOTAMMENT AU NIVEAU DE L ORDRE D APPLICATION DES RGLES . y DE NOUVEAUX FILTRES APPLICATIFS ONT T AJOUTS OU MODIFIS. PAR EXEMPLE LE FILTRE HTTP A T GRANDEMENT REMANI AFIN D AUGMENTER LE NIVEAU DE SCURIT DES APPLICATIONS WEB COMME IIS, EXCHANGE OU BIEN ENCORE OUTLOOK . y LES POSSIBILITS AU NIVEAU DE LA SURVEILLANCE (OU MONITORING) ONT T DVELOPPES EN PROFONDEUR . AINSI ON POURRA VISUALISER LES JOURNAUX ( LOGS ) ET LES SESSIONS ACTIVES EN TEMPS REL , IMPORTER ET EXPORTER DES RAPPORTS AU FORMAT HTML, TESTER LA CONNECTIVIT RSEAU , y LE SERVEUR VPN EST DORNAVANT TOTALEMENT INTGR AU SERVEUR ISA ET SON PARAMTRAGE EN EST DAUTANT PLUS FACILIT . y LA POSSIBILIT D IMPORTER ET DEXPORTER LA CONFIGURATION DU SERVEUR ISA AU FORMAT XML.
LA
CONFIGURATION DES RGLES DU PARE - FEU A T ENTIREMENT REVUE PAR RAPPORT LA VERSION
PENTIUM III 550 OU PLUS PERFORMANT y 256MO DE MMOIRE VIVE y UN NOMBRE DE CARTES RSEAUX ET /OU MODEMS ADQUATS y UNE PARTITION OU UN VOLUME FORMAT AVEC LE SYSTME DE FICHIER NTFS ET DISPOSANT DE 150MO D ESPACE LIBRE ( BIEN ENTENDU, SI VOUS SOUHAITEZ ACTIVER LA MISE EN CACHE, IL FAUDRA DISPOSER DE PLUS D ESPACE). y UN MINIUM DE DEUX INTERFACES RSEAU ( CARTE RSEAU, MODEM RNIS, MODEM ADSL,...) WINDOWS SERVER 2003 OU WINDOWS 2000 SERVER SP4 (AT TENTION : MICROSOFT RECOMMANDE L ' INSTALLATION DU CORRECTIF DISPONIBLE SUR LA PAGE SUIVANTE EN PLUS DU SERVICE PACK 4) y INTERNET EXPLORER 6.0 OU SUPRIEUR
PROCESSEUR
BIEN ENTENDU
VOUS DEVREZ TENIR COMPTE DU NOMBRE DE CLIENTS CONNECTS "DERRIRE " LE SERVEUR
DES FONCTIONS QUE VOUS ACTIVEREZ POUR AJUSTER LE MATRIEL DE VOTRE SERVEUR .
VERSIONS DISPONIBLES
A L 'HEURE ACTUELLE ISA SERVER EST UNIQUEMENT DISPONIBLE EN VERSION STANDARD (CETTE VERSION NE PEUT GRER QU 'UN MAXIMUM DE 4 PROCESSEURS PHYSIQUES ). LA VERSION ENTREPRISE QUI DEVRAIT BNFICIER DE FONCTIONNALIT TENDUE N 'A PAS ENCORE T COMMERCIALISE MAIS EST DJ MENTIONNE SUR LE SITE AMRICAIN . EN CE QUI
CONCERNE LA RESTRICTION APPLIQUE AU NIVEAU DU NOMBRE DE PROCESSEUR, ELLE PREND UNIQUEMENT EN COMPTE LES PROCESSEURS PHYSIQUES . AINSI IL EST POSSIBLE D' UTILISER L 'DITION STANDARD DU SERVEUR ISA SUR UN SYSTME QUIP DE 4 PROCESSEURS BI - CORES SUPPORTANT L' HYPERTHREADING . LE SYSTME D' EXPLOITATION RECONNATRA SEIZE PROCESSEURS MAIS SEULEMENT 4 PROCESSEURS SERONT COMPT EN CE QUI CONCERNE LE LICENSING
. IL EST
IMPORTANT DE LE PRCISER CAR TOUS LES DITEURS DE LOGICIELS NE MNENT PAS LA MME POLITIQUE VIS - - VIS DES PROCESSEURS SUPPORTANT L 'HYPERTHREADING ET / OU LE MULTI- CORES.
POUR ACQURIR ISA SERVER 2004 EN FRANCE, IL FAUT PASSER PAR LE BIAIS D' UN
REVENDEUR AGRE
MICROSOFT . LE
COT D 'UNE LICENCE STANDARD POUR ISA 2004 EST SEMBLABLE CELUI PRATIQU AU TATS - UNIS, SOIT ENVIRON 1499 EUROS . ON SE RETROUVE DONC DANS LA MME GAMME DE PRIX QUE POUR LA VERSION 2000...
1.5 VALUER ISA SERVER 2004 GRATUITEMENT CONFORM MENT LA POLITIQUE MENE PAR MICROSOFT DEPUIS QUELQUES ANNES, UNE VERSION COMPLTE D'ISA SERVER 2004 LIMITE 120 JOURS EST DISPONIBLE GRATUITEMENT SUR LE SITE DE MICROSOFT . VOUS DEVEZ POSSDER UN COMPTE PASSPORT .NET ACCDER LA PAGE DE TLCHARGE MENT . LE FICHIER , D 'UNE TAILLE DE 46,8 MO EST DISPONIBLE ICI EN VERSION FRANAISE . 2. INSTALLATION ET CONFIGURATION INITIALE 2.1 INSTALLATION DU LOGICIEL
CONTRAIREMENT LA VERSION 2000 QUI PROPOSAIT 3 MODES D' INSTALLATION DIFFRENTS ( MODE CACHE, MODE PARE-FEU ET MODE INTGR ), ISA SERVER 2004 NE PROPOSE QU' UN SEUL MODE D 'INSTALLATION. DORNAVANT
L 'ACTIVATION OU NON DE LA MISE EN CACHE SE PARAMTRE DANS LA CONSOLE DE GESTION ISA ET N 'EST PLUS TRIBUTAIRE DU MODE D' INSTALLATION CHOISI AU DPART .
APRS L 'INSERTION DU CD-ROM D 'INSTALLATION , LE MENU CI- CONTRE APPARAT . IL PERMETD'INSTALLER ISA SERVER 2004 OU BIEN DE METTRE JOUR UN SERVEUR ISA 2000. POUR RALISEZ LA MIGRATION D 'ISA 2000 VERS ISA SERVER 2004, LE SERVICE PACK 1 POUR ISA 2000 DOIT TRE INSTALL AU PRALABLE. L'INSTALLATION NE PRSENTANT AUCUNES DIFFICULTS ( CHOIX DES COMPOSANTS INSTALLER , DFINITION DE LA TABLE D 'ADRESSES LOCALES , ACTIVATION DE LA PRISE EN CHARGE DES CLIENTS PARE- FEU UTILISANT L 'ANCIENNE VERSION DU CLIENT ...) ELLE NE SERA PAS DTAILLE DANS CETTE PAGE . CEPENDANT SI VOUS SOUHAITEZ
VRAIMENT CONNATRE TOUS LES DTAILS DU PROCESSUS D 'INSTALLATION VOUS POUVEZ TOUT DE MME CONSULTER CETTE PAGE .
UNE FOIS L 'INSTALLATION TERMINE, SIX NOUVEAUX SERVICES SONT INSTALLS ET DOIVENT
TRE DMARRS POUR QUE LE SERVEUR FONCTIONNE CORRECTEMENT . QUATRE DE CES SERVICES CONCERNENT DIRECTEMENT
ISA SERVER :
SERVICE EST LE SERVICE PRINCIPAL D 'ISA 2004. IL SE RVLE TRS UTILE POUR ARRTER / DMARRER LE SERVICE PARE- FEU ET LE SERVICE PLANIFICATEUR DE TCHES MICROSOFT ISA SERVER EN UNE SEULE OPRATION . PARE -FEU MICROSOFT : CE SERVICE EST LE PLUS IMPORTANT , IL GRE TOUTES LES CONNEXIONS FAITES AU SERVEUR , LES RGLES DU PARE- FEU, LES RGLES DE MISE EN CACHE , ... S' IL N 'EST PAS DMARR , AUCUNE DES FONCTIONNALIT DU SERVEUR N'EST ASSURE ( MISE EN CACHE, PARE FEU ET SERVEUR VPN). y PLANIFICATEUR DE TCHES MICROSOFT ISA SERVER : CE SERVICE PERMET DE PLANIFIER DES RAPPORTS SUR L 'ACTIVIT DU SERVEUR . ESPACE DE STOCKAGE MICROSOFT ISA SERVER : CE SERVICE GRE NOTAMMENT LE SYSTME DE SURVEILLANCE INTGR ISA SERVER ET L ' ESPACE MMOIRE NCESSAIRE LA MISE EN CACHE
LES DEUX AUTRES SERVICES CORRESPONDENT AU MOTEUR DE SQL SERVER 2000. EN EFFET , MSDE 2000 VERSION A ( POUR MICROSOFT SQL SERVER DESKTOP ENGINE) EST UTILIS AFIN DE STOCKER LES DONNES (NOTAMMENT LES DONNES DES JOURNAUX ET DES RAPPORTS) :
EST
%WINDIR%\TEMP:
CONTIENT UN
y y
LE FICHIER LE FICHIER
ISAWRAP_XXX ISAMSDE_XXX
RSU M DU PROCESSUS D 'INSTALLATION . CONTIENT DES INFORMATION DTAILLES CONCERNANT L 'INSTALLATION DU MOTEUR DE BASE DE DONNES
MSDE.
LE FICHIER ISAFWSV_XXX CONTIENT DES INFORMATIONS DTAILLES CONCERNANT L 'INSTALLATION D 'ISA S ERVER .
REPENSE
GRER LE SERVEUR ISA. CEPENDANT , ISA SERVER 2004 A FAIT L OBJET D UNE REFONTE TOTALE AU NIVEAU GRAPHIQUE . OUTRE LE NOUVEL ASPECT BIEN PLUS ESTHTIQUE GRCE SES FORMES ARRONDIES, CETTE CONSOLE NOUVELLE GNRATION
APPORTE
UN REL PLUS EN TERME D ' ERGONO MI E PAR RAPPORT L' ANCIENNE CONSOLE QUI POSSDE UNE LOURDE INTERFACE COMPOSE D UNE ARBORESCENCE COMPLIQUE ET DE MENU MAL CONUS .
4 MENUS PRINCIPAUX :
y SURVEILLANCE STRATGIE DE PARE- FEU y RSEAUX PRIVS VIRTUELS (VPN) MENUS : R SEAUX, CACHE , ADD- INS ET GNRAL ) y
UN SYSTME D ONGLETS TRS BIEN PENS .
MODLE RSEAU
NAT ET / OU
ROUTAGE ENTRE LES DIFFRENTS RSEAUX CONNECTS AU SERVEUR ISA. EN EFFET , UN ASSISTANT TRS EFFICACE EST DSORMAIS DISPONIBLE POUR METTRE EN PLACE SANS EFFORTS ADMINISTRATIFS LES TOPOLOGIES RSEAU CLASSIQUEMENT UTILISES SUR UN PARE - FEU . IL SUFFIT DE LANCER L ASSISTANT ET EN 3 CLICS DE SOURIS , LES RGLES QUI PERMETTENT LA COMMUNICATION ENTRE LES DIFFRENTS RSEAUX RELIS AU SERVEUR SONT AUTOMATIQUEMENT PARAMTRES . CINQ CONFIGURATIONS SONT PRDFINIES :
PARE-FEU DE
PRIMTRE
RSEAU INTERNE DE L ENTREPRISE - LA SECONDE UN RSEAU PRIPHRIQUE ENCORE APPEL ZONE DMILITARISE OU DMZ (DEMILITARIZED ZONE)
COMME INTERNET .
y
DANS
CE SCNARIO , LE SERVEUR
EST CONFIGUR POUR TRE LE PREMIER PARE - FEU D UN RSEAU QUIP DE DEUX PARE - FEU MIS DOS - DOS . LE SERVEUR ISA EST L ORDINATEUR QUI FILTRE LES INFORMATIONS CIRCULANT ENTRE LE RSEAU PRIPHRIQUE (DMZ) ET LE RSEAU PUBLIC ( EX.
: INTERNET ).
y
DANS
PARE-FEU ARRIRE
SECOND PARE - FEU D UN RSEAU QUIP DE PARE - FEU DOS - - DOS . LE SERVEUR
FILTRE LES INFORMATIONS CIRCULANT ENTRE LE RSEAU INTERNE DE L ENTREPRISE ET LE RSEAU PRIPHRIQUE (DMZ).
PROXY). IL FONCTIONNE
RSEAU QUE LE RSEAU INTERNE ET NE PEUT FAIRE NI ROUTAGE , NI SERVEUR VPN, NI PARE - FEU.
A TOUJOURS LA POSSIBILIT DE CRER CES RGLES RSEAUX ET IL PEUT AUSSI DITER MANUELLEMENT TOUTE LA CONFIGURATION . C EPENDANT , L ASSISTANT A LE MRITE DE DBARRASSER L ADMINISTRATEUR DE CETTE TCHE SUPPLMENTAIRE CE QUI LUI PERMET DE SE CONCENTRER SUR LES AUTRES PARAMTRES DU SERVEUR DDIS EUX LA SCURIT ( MISE EN PLACE DE RGLES , D ALERTES ET DE FILTRES).
ON PEUT
GALEMENT NOTER QU UNE CONFIGURATION RSEAU PEUT TRE SAUVEGARDE AU FORMAT XML CE QUI PERMET DE POUVOIR LA RESTAURER TRS RAPIDEMENT . LA POSSIBILIT DE POUVOIR IMPORTER/ EXPORTER UNE CONFIGURATION EST D 'AILLEURS DISPONIBLE POUR TOUS LES TYPES DE PARAMTRES DU SERVEUR
(ENSEMBLE DE RSEAUX, RGLES DE RSEAUX, RGLES DE CHANAGE WEB, STRATGIES DE PARE - FEU, CONFIGURATION DES
CLIENTS VPN, RGLES DE CACHE , FILTRES ,... ). ON PEUT SUPPOSER QUE CETTE POSSIBILIT S ' TENDRA TOUS LES FUTURS PRODUITS MICROSOFT .
POUR ACCDER L ONGLET CI -CONTRE, IL SUFFIT DE DVELOPPER L ARBORESCENCE ET D ALLER DANSCONFIGURATION / NETWORKS .
2.4 CHANAGE DE PARE-FEU ET LE CHANAGE CONSISTE RACCORDER PLUSIEURS SERVEURS ISA ENTRES EUX
CHANAGE WEB
L 'UTILISATION DE LA BANDE PASSANTE RSEAU . C ETTE FONCTIONNALIT PEUT SE RVLER TRS UTILE DANS LE CAS D 'UNE ENTREPRISE POSSDANT UN SITE PRINCIPAL ET PLUSIEURS SITES DISTANTS . I L EXISTE DEUX TYPES DE CHANAGE SOUS ISA SERVER 2004 : LE CHANAGE WEB QUI S 'APPLIQUE UNIQUE MENT AUX CLIENTS DU
y y
PROXY WEB
SECURE NAT ET
CONSIDRONS UNE ENTREPRISE POSSDANT UN SITE PRINCIPAL ET DEUX SITES DISTANTS. ADMETTONS QUE LE SITE PRINCIPAL REGROUPENT ENVIRON 2500 MACHINES ALORS QUE LES SUCCURSALES EN REGROUPENT 50 CHACUNE . TOUTES
LES MACHINES CLIENTES SONT CONFIGURES EN TANT QUE CLIENTS DU PROXY WEB . CHAQUE SUCCURSALE CONTIENT UN SERVEUR ISA FONCTIONNANT EN TANT QUE SERVEUR DE PROXY . DANS CE CAS , IL EST POSSIBLE D 'ACCLRER GRANDEMENT LES PERFOR MANCES DE LA NAVIGATION WEB DANS LES SITES DISTANTS DE LA MANIRE SUIVANTE : UTILISER LA CONNEXION INTERNET LOCALE POUR LES REQUTES REDIRIGER TOUTES LES AUTRES REQUTES VERS LE SERVEURS
y y
HTTP DESTINES DES SITES WEB FRANAIS (C 'EST -DIRE DES SITES APPARTENANT AU DOMAINE DNS *. FR) ISA DU SITE PRINCIPAL AFIN DE BNFICIER DU FICHIER DE
APPARTENANT AU SITE PRINCIPAL .
CACHE DE CE SERVEUR QUI DOIT TRE PLUS CONSQUENT ET PLUS JOUR TANT DONN LE NOMBRE DE CLIENTS
LE CHANAGE DE SERVEURS
ISA
LE CHANAGE WEB ROUTE ( OU REDIRIGE) LES DEMANDES DES CLIENTS DU PROXY WEB VERS LA CONNEXION INTERNET LOCALE, UN AUTRE SERVEUR DE PROXY SITU EN AMONT OU BIEN DIRECTEMENT VERS UN SERVEUR HTTP. ISA SERVER 2004 PERMET DE DFINIR DES RGLES DE CHANAGE WEBTRS FLEXIBLE AFIN D' OPTIMISER AU MAXIMUM LES PERFORMANCES DE LA NAVIGATION ET LA CHARGE RSEAU. ON PEUT PAR EXEMPLE REDIRIGER LES REQUTES
DESTINATION D' UNE
LE CHANAGE DE PARE-FEU REDIRIGE LES DEMANDES DES CLIENTS SECURENAT ET DES CLIENTS PARE-FEU VERS LA CONNEXION I NTERNET LOCALE OU VERS UN AUTRE SERVEUR ISA SITU EN AMONT . IL N ' EST PAS POSSIBLE DE DFINIR DE
RGLES PRCISES EN CE QUI CONCERNE LE CHANAGE DE PARE - FEU .
2000,
INTERFACE ET
MODIFICATION DE L ORDRE D APPLICATION DES RGLES y STRATGIE SYSTME y REMANIEMENT DES FILTRES D'APPLICATION
DFINIS PRALABLEMENT AFIN DE SIMPLIFIER ET DE STRUCTURER LA CRATION DE RGLES D 'ACCS POUR LE PARE - FEU MAIS AUSSI POUR LA CRATION DE TOUS LES AUTRES TYPES DE RGLES EXISTANTES (RGLES DE MISE EN CACHE , RGLES DE STRATGIE SYSTME,...) COMME NOUS LE VERRONS ULTRIEUREMENT . LES DIFFRENTS TYPES D LMENTS SONT
y y y y
PROTOCOLES UTILISATEURS
UN
CERTAIN NOMBRE D LMENTS EXISTENT PAR DFAUT CE QUI VITE L ADMINISTRATEUR DE DEVOIR TOUS LES RE DFINIR. ON PEUT CRER ET VISIONNER LES LMENTS DE STRATGIE DANS L ONGLE BOTE OUTILS SITUE DANS LE MENU DE LA FENTRE DE DROITE ( CE MENU S AFFICHE SI L ON SLECTIONNESTRATGIE DE PARE - FEU DANS L ARBORESCENCE).
PAR DFAUT
IMPRESSIONNANT . ILS SONT CLASSS PAR GROUPE CE QUI FACILITE GRANDEMENT LES RECHERCHES. AINSI SI L 'ON SOUHAITE PARAMTRER UNE RGLE POUR AUTORISER OU REFUSER L 'ACCS AUX PAGES WEB IL FAUDRA ALLER CHERCHER DANS LE CONTENEUR WEB QUI CONTIENT NOTAMMENT LES PROTOCOLES HTTP ET HTTPS.
CETTE
EN EFFET ,
CELA VITE DE DEVOIR FAIRE DES RECHERCHES SUR I NTERNET LORSQU ' ON NE CONNAT PAS LE NUMRO DE PORT ET / OU LES PLAGES DE PORTS UTILISES PAR UNE APPLICATION DONNE . ON PEUT CITER QUELQUES DOSSIERS INTRESSANTS
VPN ET IPSEC
TERMINAL DISTANT DONNE ACCS AUX PRINCIPAUX PROTOCOLES D 'ADMINISTRATION DISTANCE (RDP, TELNET , SSH,...) MESSAGERIE INSTANTANE QUI PERMET D'AUTORISER OU D ' INTERDIRE RAPIDEMENT L ' ACCS AUX PRINCIPALES APPLICATIONS (ICQ, AIM, MSN, IRC...)
BIEN ENTENDU ON PEUT RAJOUTER DES DFINITIONS DE PROTOCOLES LA LISTE PRSENTE AU DPART SI LE BESOIN S 'EN FAIT SENTIR .
L'ONGLET UTILISATEURS PERMET DE CRER DES GROUPES D' UTILISATEURS QUI SERONT UTILES LORS DE LA CRATION DES
RGLES DU PARE - FEU. LA GRANDE NOUVEAUT CE NIVEAU EST LA GESTION DES COMPTES CONTENUS SUR LES SERVEURS RADIUS OU SUR LES SERVEURS GRANT L'AUTHENTIFICATION VIA LE PROTOCOLE
SECUREID
UN CERTAIN NOMBRE
CONTENUS.
DE TYPES DE CONTENUS EXISTE PAR DFAUT , CE CITER DOCUMENTS WEB , IMAGES , AUDIO OU BIEN
ON PEUT
ENCORE VIDO. LES LMENTS DE STRATGIE TYPES DE CONTENUS SE RVLENT TRS UTILES POUR PERMETTRE DES UTILISATEURS DE SURFER TOUT EN LES EMPCHANT DE TLCHARGER CERTAINS FICHIERS ( COMME LES VIDOS PAR EXEMPLE ).
LES DEUX PLANIFICATIONS TYPES PRSENTES PAR DFAUT SONT SIMPLISTES ET DEVRONT TRE RETOUCHES AFIN DE CORRESPONDRE
AUX HORAIRES DE VOTRE ENTREPRISE . I L NE FAUDRA PAS HSITER ICI CRER PLUSIEURS AUTRES PLANIFICATIONS COMME PAUSE OU REPAS QUI PERMETTRONT DE PARAMTRER DES RGLES D ' ACCS SPCIFIQUES CERTAINS MOMENTS DE LA JOURNE .
LES OBJETS RSEAUX SONT TRS IMPORTANTS POUR LE PARAMTRAGE DES DIFFRENTES RGLES DU SERVEUR ISA. LES ENSEMBLES DE RSEAUX ET LES RSEAUX SONT CRES
AUTOMATIQUEMENT LORS DE LA SLECTION D' UN MODLE RSEAU . PAR EXEMPLE SI VOUS CHOISISSEZ LE MODLE PARE-FEU DE PRI MTRE LES RSEAUX I NTERNE,
ET C LIENTS VPN EN QUARANTAINE SERONT AJOUTS . LE RSEAU HTE LOCAL EST TOUJOURS PRSENT , IL REPRSENTE LE SERVEUR
VPN
LE "RSEAU"
CLIENTS VPN EN QUARANTAINE CONTIENT L 'ENSEMBLE DES CLIENTS VPN DONT LA CONNEXION A T REFUSE CAR LEURS
NIVEAUX DE SCURIT N 'TAIT PAS SATISFAISANT . C ETTE MISE EN QUARANTAINE DES CLIENTS " NON SCURISS " EST UNE NOUVEAUT DE LA VERSION 2004 D'ISA SERVER . N OUS ABORDERONS LA CONFIGURATION DE LA MISE EN QUARANTAINE DANS LE CHAPITRE DDI AU SERVEUR VPN.
POSSIBILIT DE CRER DES ENSE MBLES D 'URL ET DES ENSEMBLES DE NOMS DE DOMAINES . C ELA VA PERMETTRE DE BLOQUER OU D 'AUTORISER CERTAINS SITES OU CERTAINES PAGES . SI LE NOMBRE DE SITES WEB AUQUEL VOS UTILISATEURS DOIVENT ACCDER EST FAIBLE, IL EST FORTEMENT RECOMMAND DE CRER UN LMENT DE STRATGIE NOMM SITES AUTORISS CE QUI PERMETTRA VOS UTILISATEURS D' ACCDER UNIQUE MENT CES SITES .
PAR RAPPORT SA VERSION 2000, LA CRATION DES RGLES DU PARE-FEU A T MODIFIE. AINSI IL N Y A PLUS QU UN SEUL TYPE DE RGLES CONTRAIREMENT AUX TROIS TYPES DE RGLES ( RGLES DE PROTOCOLES , RGLES DE SITES ET DE
2000. VOICI LES INFORMATIONS RENTRER POUR PARAMTRER UNE RGLE TYPE . APPLICATIO N UTILISATEURS
ACTION
PROTOCOL E
CONDITIO N
-REFUSER AUTORISE R
ENSEMBLE DE
- ENSEMBLE
DE NOMS DE DOMAINE
-PLAGE
HORAIRE -TYPE DE CONTENU
GROUPES
PLAGE
PERSONNALIS
D ADRESSES IPS
CETTE
DE RGLES PARAMTRER . P AR EXEMPLE POUR AUTORISER L ACCS I NTERNET AVEC ISA S ERVER 2000 IL FAUT CRER DEUX RGLES ( UNE RGLE DE SITE ET DE CONTENU POUR AUTORISER L ACCS VERS TELLE OU TELLE DESTINATION ET UNE RGLE DE PROTOCOLES POUR AUTORISER LES PROTOCOLES HTTP ET HTTPS) ALORS QUISA SERVER 2004 NE NCESSITE QU UNE SEULE RGLE POUR ARRIVER AU MME RSULTAT .
LONGLET
TCHES CONTIENT L ENSEMBLE DES ACTIONS RALISABLES POUR PARAMTRER LE PARE - FEU. ON Y RETROUVE LES POSSIBILITS S APPLIQUANT AUX RGLES D ' ACCS ( CRATION, DITION , DSACTIVATION , SUPPRESSION ), MAIS AUSSI TOUS LES TYPES DE PUBLICATION ( PUBLICATION D UN SERVEUR WEB , PUBLICATION D UN SERVEUR WEB SCURIS , PUBLICATION D UN SERVEUR DE MESSAGERIE , PUBLICATION DE SERVEUR).
ON PEUT DE PLUS AFFICHER , MODIFIER , IMPORTER ET EXPORTER LES RGLES DE LA STRATGIE SYSTME . C ES RGLES SONT DFINIES PAR
AUTOMATIQUEMENT ET S'APPLIQUENT SPCIFIQUEMENT AU SERVEUR ISA QUI CORRESPOND AU "RSEAU" HTE LOCAL . CES RGLES PERMETTENT PAR EXEMPLE AU SERVEUR ISA DE JOINDRE UN SERVEUR DHCP OU UN CONTRLEUR DE DOMAINE. LES RGLES DE STRATGIE SYSTME SONT DONC ESSENTIELLES AU BON FONCTIONNEMENT DU SERVEUR ISA.
LE LIEN DFINIR LES PRFRENCES D'IP PERMET QUAND LUI D 'ACTIVER LE ROUTAGE IP ET DE PARAMTRERLE FILTRE D 'OPTIONS IP. LE FILTRE D 'OPTIONS IP PERMET D'AUTORISER OU DE REFUSER LES PAQUETS POSSDANT DES OPTIONS SPCIFIQUES . TOUTES LES OPRATIONS D' IMPORTATION ET D 'EXPORTATION UTILISENT LE FORMAT XML. DES
EXEMPLES DE CRATION DE RGLES D' ACCS SONT PRSENTS DANS LA PARTIE DDIE CET EFFET .
3.4 ORDRE D ' APPLICATION DES AVEC ISA SERVER 2000, LORSQU UNE
RGLES
REQUTE ARRIVE AU PARE - FEU , UNE PROCDURE SPCIFIQUE POUR AUTORISER OU REFUSER LE PASSAGE DE LA REQUTE EST RALISE :
2.
1. VRIFICATION DE LEXISTENCE D UNE RGLE DE SITE ET DE CONTENU QUI REFUSE LA REQUTE VRIFICATION DE L EXISTENCE D UNE RGLE DE SITE ET DE CONTENU QUI AUTORISE EXPLICITEMENT LA REQUTE 3. VRIFICATION DE LEXISTENCE D UNE DE PROTOCOLE QUI REFUSE LA REQUTE
4.
VRIFICATION DE LEXISTENCE D UNE DE PROTOCOLE QUI AUTORISE EXPLICITEMENT LA REQUTE 5. VRIFICATION DE LAPPLICATION D UN VENTUEL FILTRE DE PAQUET
AVEC LA NOUVELLE VERSION , CETTE PROCDURE COMPLEXE EST REMPLACE PAR UN AUTRE SYSTME. DORNAVANT , CHAQUE RGLE POSSDE UN NUMRO ET LORSQU UNE REQUTE ARRIVE AU SERVEUR, C EST LA RGLE QUI A LE NUMRO LE PLUS FAIBLE QUI S APPLIQUE . CE SYSTME A LE MRITE D TRE BEAUCOUP PLUS SI MPLE COMPRENDRE QUE L ANCIEN
EXEMPLE DE RGLES QUE L ON PEUT
POUVEZ LE VOIR SUR LA CAPTURE D CRAN CI - DESSUS, CETTE RGLE BLOQUE TOUS LES PROTOCOLES DE TOUTES LES SOURCES VERS TOUTES LES DESTINATIONS . ELLE EST TOUJOURS SITUE LA FIN ET POSSDE DONC LA PRIORIT LA PLUS BASSE .
ISA DE
SERVICES RSEAU FRQUEMMENT UTILISS . AU PREMIER ABORD , ON POURRAIT CONSIDRER CES RGLES DE STRATGIE SYSTME COMME UN TROU DE SCURIT. CEPENDANT LA PLUPART DE CES RGLES AUTORISENT JUSTE LA COMMUNICATION ENTRE L 'HTE LOCAL ET LE RSEAU INTERNE. EN AUCUN CAS , UN UTILISATEUR EXTERNE NE PEUT ACCDER AU SERVEUR ISA OU BIEN AU RSEAU DE L 'ENTREPRISE VIA L 'UNE DE CES RGLES. LE BUT DE MICROSOFT AVEC LA STRATGIE SYSTME EST DE TROUVER UN BON COMPRO MIS ENTRE CONNECTIVIT ET SCURIT .
SI
ISA NE POURRAIT
CECI
ISA DE RALISER
LE SCNARIO DE L 'INSTALLATION DISTANCE
RCUPRER UN BAIL
TERMINAL SERVER
DE L 'UTILIT DE LA STRATGIE SYSTME DU POINT DE VU ADMINISTRATIF . EN EFFET , SI LA STRATGIE SYSTME N'EXISTAIT PAS , VOUS POURRIEZ INSTALLER ISA 2004 SUR UNE MACHINE DISTANTE , MAIS DS LE LANCEMENT DU SERVICE PARE FEU, LA SESSION T ERMINAL SERVER SERAIT IMMDI ATEMENT DCONNECTE CAR LE PROTOCOLE RDP SERAIT BLOQU . CELA OBLIGERAIT ENSUITE L ' ADMINISTRATEUR A SE DPLACER SUR LE SITE DISTANT POUR CRER UNE RGLE D 'ACCS AUTORISANT LE PROTOCOLE RDP CE QUI PEUT S'AVRER CONTRAIGNANT SI LE SITE DISTANT EST SITU 6000 KILOMTRES
JOINDRE CERTAINS
ET IL EST D AILLEURS REPRIS EN CE QUI CONCERNE L ENSE MBLE DES RGLES QUE L ON PEUT CRER AVEC 2004 (RGLES DE TRANSLATION DADRESSE ET DE ROUTAGE, RGLES DE PARE-FEU, RGLES DE CACHE,
SYSTME
DHCP IP ETC .
BIEN ENTENDU , LES RGLES DE STRATGIE SYSTME INUTILES DOIVENT TRE DSACTIVES AFIN DE RDUIRE LA SURFACE D 'ATTAQUE . POUR CE FAIRE , UN ASSISTANT SPCIFIQUE NOMM DITEUR DE STRATGIE SYSTME EST DISPONIBLE . IL PERMET DE DSACTIVER TOUTES LES RGLES DE STRATGIE SYSTME , MAIS AUSSI DE LES CONFIGURER .
TCHES
SERVER
MET L 'ACCENT SUR LES FILTRES D'APPLICATION QUI SONT MAINTENANT PLUS
NOMBREUX ET QUI POSSDENT DES FONCTIONNALITS AVANCES . C ONTRAIREMENT AUX FILTRES DE PAQUETS QUI ANALYSENT UNIQUEMENT L 'EN -TTE DES PAQUETS IP POUR SAVOIR SI LE PAQUET DOIT TRE BLOQU OU NON , LES FILTRES D' APPLICATION ANALYSENT AUSSI LE CORPS DU PAQUET .
UTILISER LA FENTRE PRSENTE CI - DESSUS ( CETTE FENTRE EST SITUE DANS LE MENU CONFIGURATION / ADD- INS DE L 'ARBORESCENCE). P AR DFAUT TOUS LES FILTRES D 'APPLICATION SONT ACTIVS AFIN DE PROCURER UNE SCURIT MAXI MALE. LES FILTRES INUTILISS PEUVENT TRE DSACTIVS AFIN DE NE PAS FAIRE CHUTER LES PERFORMANCES SUR UNE MACHINE PEU PUISSANTE .
3.7 CONCLUSION VOICI LES POINTS ESSENTIELS RETENIR POUR CRER DES RGLES D 'ACCS SOUS ISA SERVER 2004 :
y y
RGLES D ' ACCS FAIT APPEL DES LMENTS DE STRATGIE CHAQUE RGLE EST APPLIQUE DANS UN ORDRE BIEN PRCIS FILTRES SPCIFIQUES PEUVENT TRE APPLIQUS SUR LES RGLES D 'ACCS CERTAINES RGLES SONT PRSENTENT PAR DFAUT ( STRATGIE SYSTME)
4. EXEMPLES
DE CONFIGURATION
4.1 INTRODUCTION CE CHAPITRE A POUR BUT DE PRSENTER LA CONFIGURATION DE CERTAINES RGLES SOUVENT MISES EN PLACE (ACCS INTERNET , AUTORISATION/INTERDICTION DE MSN MESSENGER , ...). CHAQUE SOUS PARTIE SE CONSACRE UN EXEMPLE EN PARTICULIER . 4.2 AUTORISER L' ACCS INTERNET
POUR LES CLIENTS DU RSEAU INTERNE
NOUS ALLONS MAINTENANT CRER UNE RGLE AUTORISANT L 'ACCS INTERNET (C 'EST --DIRE AU RSEAU EXTERNE DANS CET EXEMPLE ) POUR TOUS LES CLIENTS PARE - FEU DU RSEAU INTERNE VIA LE PORTS 21, 80, 443 ET 1863 ( LE PORT
UTILIS PAR
MESSAGES).
IL FAUT
COMMENCER PAR DONNER LE NOM LE PLUS EXPLICITE POSSIBLE LA RGLE QUE L 'ON SOUHAITE CRER. ON DOIT ENSUITE SLECTIONNER L ' ACTION A EFFECTUER ( AUTORISER OU REFUSER). SI L' ON SLECTIONNE REFUSER , LA POSSIBILIT DE REDIRIGER LA REQUTE VERS UNE PAGE WEB EST OFFERTE ( CELA PERMET DE FAIRE COMPRENDRE
L 'UTILISATEUR QUE LA PAGE A T BLOQUE INTENTIONNELLEMENT PAR LE PARE - FEU ET QUE CE N' EST DONC PAS UN PROBLME TECHNIQUE ). I L FAUT CHOISIR LE OU LES PORTS DE DESTINATION POUR LE ( S ) QUEL ( S ) LA RGLE VA S ' APPLIQUER. DANS NOTRE EXE MPLE , TOUS LES PROTOCOLES SONT PRDFINS ( CE SONT DES LMENTS DE STRATGIE PRSENT PAR DFAUT DANS LE SERVEUR ) ET IL SUFFIT JUSTE D 'AJOUTER LES PROTOCOLES NOMMS FTP, HTTP ET
HTTPS
L 'AIDE DU BOUTON ADQUAT . IL EST POSSIBLE DE DFINIR QUELS SONT LES PORTS SOURCES L' AIDE DU
BOUTON PORTS ... DANS NOTRE EXEMPLE NOUS LAISSONS L ' OPTION PAR DFAUT QUI AUTORISE TOUS LES PORTS SOURCES (AINSI LES CLIENTS POURRONT ACCDER DES SITES WEB ET DES SERVEURS FTP QUEL QUE SOIT LE LOGICIEL CLIENT UTILIS).
DANS
RSEAU SOURCE CORRESPOND I NTERNE ( LE RSEAU LOCAL DE L' ENTREPRISE ) ET LE RSEAU DE DESTINATION CORRESPOND E XTERNE (INTERNET ).
ENFIN ON SLECTIONNE LES ENSE MBLES D' UTILISATEURS POUR LESQUELS LA RGLE ENTRERA EN ACTION . DANS NOTRE CAS , LE GROUPE NO MM T OUS LES UTILISATEUR AUTHENTIFIS EST RETENU. CEPENDANT , TOUS LES GROUPES DE SCURIT DFINIS DANS LE SERVICE D 'ANNUAIRE ACTIVE DIRECTORY PEUVENT TRE UTILISER POUR CRER UNE RGLE PLUS FINE .
DE CLIQUER
SUR LE BOUTON
APPLIQUER
ISA.
ET
VOIL
NAVIGATEUR (I NTERNET EXPLORER , SAFARI , FIREFOX , OPRA,...) OU BIEN LEUR CLIENT FTP (INTERNET EXPLORER , FILEZILLA,...). BIEN ENTENDU, CERTAINS PR-REQUIS DOIVENT TRE RESPECTSPOUR QUE TOUT FONCTIONNE CORRECTEMENT
y
LE
DNS RSOLVANT LES NOMS DNS "PUBLIQUES" y LES ORDINATEURS CLIENT DOIVENT TRE CONFIGURS POUR JOINDRE LE SERVEUR ISA SUR LES ORDINATEURS CLIENT DOIT LUI AUSSI TRE CONFIGUR POUR AUTORISER L 'ACCS INTERNET
JOINDRE UN SERVEUR
4.3 INTERDIRE COMPLTEMENT L' ACCS MSN MESSENGER A L' INSTAR DE WINDOWS MESSENGER , MSN MESSENGER EST UNE APPLICATION DE MESSAGERIE INSTANTANE PERMETTANT D 'ACCROTRE GRANDEMENT LA PRODUCTIVIT DES UTILISATEURS ( CHAT , VIDOCONFRENCE ,
CHANGE DE FICHIERS AIS ,...). CEPENDANT L 'UTILISATION DE CE LOGICIEL EN ENTREPRISE PEUT ENTRANER QUELQUES DRIVES ... SI VOUS SOUHAITEZ EMPCHER CERTAINS UTILISATEURS DE L 'UTILISER , PLUSIEURS SOLUTIONS SONT ENVISAGEABLES
y y
CRER DEUX RGLE D ' ACCS INTERDISANT LA COMMUNICATION AVEC LE SERVEUR MESSENGER . HOT MAIL . COM
y
CONFIGURER LE FILTRE
HTTP
MSN MESSENGER D ' ACCDER AU RSEAU MSN MESSENGER EN ANALYSANT LE PARAMTRE ADQUAT
NOUS
1RE TANT
DONN QUE
MTHODE
OU
SIMPLE
RESTE D 'INTERDIRE LE PORT TCP 1863 QUI EST UTILIS L ' CHANGE DE MESSAGES TEXTUELS MAIS SURTOUT POUR LA CONNEXION INITIALE . POUR CELA, IL N'EST PAS NCESSAIRE DE CRER UN LMENT DE STRATGIE , PUISQUE LE PROTOCOLE MSN MESSENGER EST PRDFINI DANS ISA 2004. IL SUFFIT DONC DE CRER UNE RGLE D' ACCS BLOQUANT LE PROTOCOLE MSN M ESSENGER ENTRE LE RSEAU INTERNE ET L RSEAU EXTERNE ET S 'APPLIQUANT AU BON GROUPE D ' UTILISATEURS.
CEPENDANT , UNE FOIS LA RGLE D'ACCS CORRECTEMENT CRE, TOUS LES UTILISATEURS PEUVENT ENCORE UTILISER MSN MESSENGER !!! LA CONNEXION EST UN PEU PLUS LENTE (ENVIRON 10 SECONDES D ' CART ), MAIS S'EFFECTUE TOUT DE MME , CE QUI PERMET DES UTILISATEURS NON AUTORIS DE " CHATTER". UNE BONNE MTHODE DANS UN CAS CO MME CELUI - CI , EST D 'UTILISER UN PROGRAMME POUR ANALYSER LES TRAMES ENVOYES PAR LE LOGICIEL MSN MESSENGER AFIN DE MIEUX COMPRENDRE SON FONCTIONNEMENT . IL EXISTE POUR CELA DES OUTILS GRATUIT TEL QUE LE MONITEUR RSEAU MICROSOFT OU BIEN ENCORE ETHEREAL . V OICI LES RSULTATS D'UNE ANALYSE DE TRAMES LANCE AU MO MENT O L 'UTILISATEUR CLIQUE SUR LE BOUTON OUVRIR UNE SESSION ...
IP EST 10.1.0.2)
ESSAYE DE SE
CONNECTER AU SERVEUR 207.46.104.20( CETTE ADRESSE CORRESPOND AU FQDN MESSENGER. HOT MAIL . COM) EN UTILISANT LE PORT 1863 DU PROTOCOLE TCP. L'OPRATION EST RPTE TROIS FOIS CONSCUTIVES SI LE SERVEUR NE RPOND PAS I MMDIATEMENT . CE PORT TANT BLOQU AU NIVEAU DU PARE - FEU, LA DEMANDE N ' ABOUTIE JAMAIS . L' APPLICATION ESSAYE ENSUITE DANS UN SECOND TEMPS DE SE CONNECTER CE MME SERVEUR MAIS L 'AIDE DU PORT 80 QUI EST NORMALEMENT RSERV AU PROTOCOLE HTTP. CE PORT TANT OUVERT AU NIVEAU DU PARE- FEU AFIN DE PERMETTRE LA NAVIGATION WEB , L 'APPLICATION RUSSI A SE CONNECTER ET LA SESSION DE L 'UTILISATEUR PEUT ENSUITE S' OUVRIR .
IP 207.46.104.20.
1863 EN AJOUTANT LE PROTOCOLE HTTP AU PROTOCOLE MSN MESSENGER ET EN PRCISANT QUE LA DESTINATION EST SERVEUR MSN MESSENGER. CETTE RGLE VA DONC EMPCHER LES PAQUETS IP EXPDIS PAR LE RSEAU INTERNE ET DESTINATION DU SERVEUR MESSENGER . HOT MAIL. COM D ' ATTEINDRE LEUR OBJECTIF QUEL QUE SOIT LE PORT UTILIS (1863 OU 80). CI - DESSOUS LES UTILISATEURS APPARTENANT AUX GROUPES C OMPTABILIT, PRODUCTION OU RECHERCHE NE PEUVENT PLUS SE CONNECTER L 'AIDE DU LOGICIEL MSN MESSENGER .
CETTE
PREMIRE MTHODE EST CELLE QUI RPOND LE MIEUX LA PROBLMATIQUE CAR ELLE DEMANDE PEU DE RESSOURCES ET RESTE SIMPLE METTRE EN UVRE .
2 ME
MTHODE
LES CLIENTS PARE-FEU RCUPRENT CHAQUE DMARRAGE UNE LISTE DES LOGICIELS AUTORISS
OU NON ACCDER AU RSEAU ( LORSQU ' UN LOGICIEL N' EST PAS MENTIONN DANS CETTE LISTE IL PEUT TOUT DE M ME ACCDER AU RSEAU ). IL EST POSSIBLE DE BLOQUER
IL SUFFIT D 'OUVRIR LA FENTRE PARAMTRE DU CLIENT DE PARE- FEUSITUE EN UTILISANT LE CONTENEUR G NRAL DE L ' ARBORESCENCE DE LA CONSOLE DE GESTION ISA. C ETTE FENTRE
MONTRE TOUTES LES APPLICATIONS POUR LESQUELLES L ' ACCS AU RSEAU A T CONFIGUR . POUR BLOQUER UNE APPLICATION, IL SUFFIT D 'AJOUTER UNE ENTRE CORRESPONDANTE AU NO M DU PROCESSUS LANC PAR CETTE APPLICATION ( SANS SON EXTENSION), PUIS DE DONNER LA VALEUR 1 AU PARAMTRE
DISABLE. DANS
EST MSN MSGR. EXE . I L FAUT DONC CRER UNE ENTRE NOMME MSNMSGR .
UNE FOIS LA MODIFICATION APPLIQUE AU NIVEAU DU SERVEUR , IL FAUT PENSER RED MARRER LE SERVICE AGENT DU CLIENT DE PARE- FEU L 'AIDE
DES COMMANDES NET STOP FCWAGENT ET NET START FCWAGENT ( OU BIEN EN UTILISANT LA CONSOLE SERVICES ). DS QUE CETTE OPRATION EST EFFECTUE , LE PROGRAMME NE PEUT PLUS ACCDER AU RSEAU ET LA FENTRE CI - DESSOUS APPARAT :
CETTE
CEPENDANT
INCONVNIENTS MAJEURS ELLE NE S ' APPLIQUE QU' AUX CLIENTS DE PARE - FEU ( ET PAS AUX CLIENTS
y y
SECURENAT ET
ELLE NE PERMET PAS D ' INTERDIRE L 'UTILISATION DU LOGICIEL DES UTILISATEURS DONNS ( TOUS LES UTILISATEURS SERONT AFFECTS PAR L 'INTERDICTION D 'UTILISATION )
3 ME UNE DERNIRE
MTHODE CONSISTE UTILISER UN FILTRE WEB (LE FILTRE
MTHODE
PROCD LE PLUS OPTIMIS ET LE PLUS SURE, CEPENDANT , IL A LE GROS INCONVNIENT DE DEMANDER NOR M MENT DE RESSOURCES SYSTME AU SERVEUR ISA. EN EFFET , LORSQUE LE FILTRAGE WEB EST ACTIV , LE SERVEUR ISA ANALYSE L 'EN - TTE ET / OU LE CONTENU DE CHAQUE PAQUET IP PROVENANT DU RSEAU I NTERNE ET DESTINATION DU RSEAU EXTERNE . C'EST POURQUOI IL FAUT TENIR COMPTE DES CAPACIT MATRIELLES DU SERVEUR AVANT D 'ACTIVER CETTE OPTION.
LE THME DU FILTRAGE APPLICATIF ET DU FILTRAGE WEB TANT TROP VASTE, NOUS NE DTAILLERONS PAS ICI LA CONFIGURATION DU FILTRE HTTP. ELLE SERA ABORDE DANS UN PROCHAIN ARTICLE . FILTRE HTTP RGLE D 'ACCS CONFIGURATION DU CLIENT PARE - FEU
TRS FORT
FAIBLE
QUASI NUL
ISA
TYPE DE PARE - FEU PARE - FEU PARE - FEU
OUI
OUI
NON
?
LONG ASSEZ LONG ( IL FAUT RELANCER LE SERVICE RAPIDE AGENT DU CLIENT DE PARE FEU SUR L 'ENSEMBLE DES CLIENTS )
TROIS MTHODES
4.4 INTERDIRE L' ACCS UNE FOIS LE LOGICIELS MSN MESSENGER BLOQU, LES UTILISATEURS
PEUVENT TOUJOURS ACCDER CE SERVICE PAR LE BIAIS DE SA VERSION WEB. EN EFFET , LE SITE HTTP :// WEBMESSENGER . MSN . COM/ P ROPOSE UNE INTERFACE REPRENANT LA PLUPART DES SERVICES DE LA VERSION LOGICIELLE . I L PEUT DONC S' AVRER UTILE DE BLOQUER L 'ACCS CETTE URL EN COMPLMENT DE LA DSACTIVATION DE L 'APPLICATION . POUR CELA IL SUFFIT DE CRER UNE RGLE INTERDISANT LE TRAFIC ENTRE LE RSEAU INTERNE ET LE DOMAINE WEBMESSENGER . HOT MAIL. COM SUR LE PORT 80 EN TCP. BIEN ENTENDU, ON PEUT TOUT AUSSI BIEN BLOQUER L 'URLHTTP :// WEBSSENGER . MSN . COM O U BIEN DIRECTEMENT L ' ADRESSE IP ( CI CONTRE L' ENSEMBLE DE STRATGIE NOMM SITES DE CHAT PEUT TRE UTILIS POUR INTERDIRE L 'ACCS WEBMESSENGER . MSN . COM).
SECONDAIRES OU DES LMENTS DE STRATGIE SUPPLMENTAIRE . C ERTAINS LOGICIELS DEVANT TRE AUTORISS OU INTERDIT SONT PARFOIS PAS OU PEU DOCUMENTS . UNE BONNE MTHODE PERMETTANT DE TROUVER LES INFORMATIONS MANQUANTES RESTE L 'UTILISATION D 'UN ANALYSEUR DE TRAMES COMME LE
CE CHAPITRE VA TRE
PROCHAINEMENT MODIFI AVEC L 'AJOUT DE NOUVEAUX EXEMPLES ( AUTORISER TOUTES LES FONCTION DE MSN MESSENGER , AUTORISER EMULE ,....) ET DE VIDOS EXPRESS .
A L' INSTAR DE LA VERSION 2000, ISA SERVER 2004 JOUE AUSSI LE RLE DE SERVEUR DE PROXY . TOUS LES PARAMTRES RELATIFS
LA MISE EN CACHE SE CONFIGURENT DANS UNE FENTRE SPCIFIQUE ACCESSIBLE VIA L'ARBORESCENCE PRINCIPALE (CONFIGURATION / CACHE).
UN ONGLET "TACHES"
o ACTIVER /DSACTIVER LA MISE EN CACHE DFINIR LA TAILLE MAXIMALE QU' OCCUPERA LE FICHIER DE CACHE o
SUR CHAQUE PARTITION OU SUR CHAQUE VOLUME CRER DES RGLES DE CACHE EN UTILISANT LES LMENTS DE STRATGIE PRDFINIS
o IMPORTER/ EXPORTER LES RGLES DE CACHE ACTIVER / DSACTIVER ET PARAMTRER LA MISE EN CACHE ACTIVE
LES RGLES DE CACHE S' APPLIQUENT AVEC LE MME SYSTME QUE LES RGLES D 'ACCS ET QUE LES RGLES DE STRATGIE SYSTME . LA RGLE QUI POSSDE LE NUMRO LE PLUS FAIBLE SERA DONC TRAITE EN PRIORIT . IL EXISTE
UNE RGLE PAR DFAUT QUI MET EN CACHE TOUS LES TYPES D 'OBJETS HTTP ET FTP DEMANDS QUEL QUE SOIT LE RSEAU SOURCE . IL AUSSI POSSIBLE DE PLANIFIER LE TLCHARGE MENT DE CERTAINS CONTENUS DANS UN ONGLET SPCIFIQUE .
LES PARAMTRES DE LA
5.3 CONCLUSION SUR LE PLAN DE LA MISE EN CACHE, LA VERSION 2004 N' APPORTE DONC AUCUNES MODIFICATIONS PAR RAPPORT L 'ANCIENNE MOUTURE SI CE N 'EST L 'ORDRE D 'APPLICATION DES RGLES DE CACHE ET LA CENTRALISATION DE TOUS LES
PARAMTRES DE LA MISE EN CACHE DANS UNE MME FENTRE .
6. MISE EN PLACE D'UN SERVEUR VPN 6.1 INTRODUCTION AVEC ISA SERVER 2000, IL EST POSSIBLE DE METTRE EN PLACE UN SERVEUR VPN DIRECTEMENT DANS LA CONSOLE DE ISA. CEPENDANT CE MME SERVEUR DOIT TRE PARAMTR CO MME UN SERVEUR VPN CLASSIQUE C EST -DIRE DANS LA CONSOLE ROUTAGE ET ACCS DISTANT . AVEC L INTRODUCTION DISA SERVER 2004, ON DOIT RALISER L INTGRALIT DE LA CONFIGURATION DU SERVEUR VPN DANS LA CONSOLE DE GESTION ISA. COMME NOUS ALLONS LE VOIR DANS LA SUITE DE CE CHAPITRE, CETTE NOUVEAUT PERMET
UNE CONFIGURATION PLUS AISE ET SURTOUT BIEN PLUS SCURISE .
GESTION
6.2 UN PARAMTRAGE SIMPLIFI POUR COMMENCER, LA FENTRE DE PARAMTRAGE DES RSEAUX PRIVS VIRTUELS PEUT TRE ACCDE DIRECTEMENT PARTIR DE
L ARBORESCENCE DE LA CONSOLE DU SERVEUR
ISA.
CETTE FENTRE VA PER METTRE DE METTRE EN PLACE UN SERVEUR VPN EN QUELQUES CLICS. EN EFFET , LORSQUE L ON SLECTIONNE UNE TOPOLOGIE RSEAU AVEC L ASSISTANT DE CONFIGURATION RSEAU, LES PARAMTRES DU VPN SONT AUTOMATIQUEMENT RGLS POUR UNE MISE EN PRODUCTION RAPIDE . AINSI LORSQUE L ON A CHOISI LA TOPOLOGIE RSEAU PARE-FEU DE PRIMTRE, UN SERVEUR VPN EST CONFIGUR AFIN D COUTER LES VENTUELLES REQUTES FAITES SUR LA CARTE RSEAU EXTERNE EN UTILISANT LE PROTOCOLE PPTP ET LA MTHODE D AUTHENTIFICATION MS-CHAP V2.0. D E PLUS LE SERVEUR VPN ASSIGNE LES ADRESSES IP AUX CLIENTS VPN EN UTILISANT UN SERVEUR DHCP ET ACCEPTE UN MAXIMUM DE 5 CONNEXIONS. EN RSU M, POUR RENDRE LE SERVEUR VPN FONCTIONNEL LORSQUE L ON A CHOISI LA TOPOLOGIE RSEAU PARE-FEU DE PRI MTRE , IL FAUT SIMPLEMENTACTIVER LE SERVEUR VPN ( QUI EST PARAMTR AUTOMATIQUEMENT , MAIS PAS ACTIV ) ET CHOISIR LES GROUPES ET / OU LES UTILISATEURS QUI ONT LE DROIT DE SE CONNECTER DISTANCE . ON PEUT DONC UTILISER LE SERVEUR VPN INTGR ISA EN TROIS CLICS DE SOURIS . BIEN ENTENDU , LES OPTIONS DU SERVEUR VPN PEUVENT TRE MODIFIES LOISIR . POUR CELA IL FAUT UTILISER TCHES QUI APPARAT SUR LA FENTRE DE CONFIGURATION DU VPN. NOUS ALLONS VOIR QUE LE SERVEUR VPN DISA POSSDE DES FONCTIONS NON IMPLMENTES DANS CELUI INTGR WINDOWS SERVER 2003.
L ONGLET
TCHES,
OPTIONS DU SERVEUR VPN. L'OPTION CONFIGURER L ' ACCS DES CLIENTS VPN LANCE UNE FENTRE COMPOSE DE QUATRE ONGLETS :
GNRAL : ACTIVER /DSACTIVER L ACCS DES CLIENTS AU SERVEUR VPN ET SLECTIONNER LE NOMBRE DE CONNEXIONS SIMULTANES (LE NOMBRE DE CONNEXION PAR DFAUT EST DE 5).
GROUPES : CHOISIR LES GROUPES QUI ONT L 'AUTORISATION D 'TABLIR UNE CONNEXION DISTANTE VIA LE SERVEUR VPN.
PROTOCOLES : PERMET
QUE L ' ON SOUHAITE UTILISER . LES CHOIX DISPONIBLES SONT PPTP ET L2TP/IPSEC (LE PROTOCOLE CHOISI PAR DFAUT EST PPTP).
MAPPAGE
DES UTILISATEURS : PERMET D 'APPLIQUER LES RGLES DE STRATGIE D 'ACCS AU PARE - FEU DFINIES PAR DFAUT AUX CLIENT
VPN QUI S'AUTHENTIFIENT AVEC UN PROTOCOLE D ' AUTHENTIFICATION NON WINDOWS ( PAR EXEMPLE AVEC LE PROTOCOLE RADIUS OU LE
PROTOCOLE
EAP).
LES QUATRE
ATTRIBUTIONS D 'ADRESSES , SLECTIONNEZ LES MTHODES D ' AUTHENTIFICATION ET SPCIFIER LA CONFIGURATION RADIUS) RENVOIENT TOUTES LA MME FENTRE QUI SE COMPOSE LOGIQUEMENT DE QUATRE ONGLETS.
DANS
CELA EST
NORMAL PUISQUE
AVEC CETTE TOPOLOGIE , ON POSSDE DEUX RSEAU : UN RSEAU INTERNE ( LE RSEAU PRIV DE L 'ENTREPRISE ) ET UN RSEAU PUBLIC
(INTERNET ). ON
SOUHAITE BIEN ENTENDU FAIRE BNFICIER LES CLIENTS EXTERNES DE L ACCS DISTANCE ET NON L INVERSE .
DHCP.
DANS
DHCP
LE PROTOCOLE SLECTIONN
PAR
DFAUT EST MS-CHAP V 2. ON PEUT AUSSI UTILISER EAP. D'AUTRES MTHODES , MOINS SCURISES, SONT PRSENTES MAIS UNIQUEMENT TITRE DE COMPATIBILIT . ON PEUT CITER MS-CHAP, CHAP, SPAP ET PAP.
ENFIN , IL EST
POSSIBLE D UTILISER
UNE DES PRINCIPALES NOUVEAUTS DISA SERVER 2004 EST LA POSSIBILIT DE POUVOIR UTILISER UN SERVEUR RADIUS POUR AUTHENTIFIER
LES CLIENTS D ACCS DISTANTS .
DANS
LE CAS
O CE PARAMTRE EST SLECTIONN ON PEUT CHOISIR D 'ENREGISTRER LES VNEMENTS LIS L 'TABLISSEMENT ET LA FERMETURE DES SESSIONS VPN DANS LE JOURNAL DU SERVEUR
6.4 LA FONCTION DE MISE EN QUARANTAINE UNE DES FONCTIONNALITS LES PLUS INNOVANTES D 'ISA SERVER 2004 RESTE LA MISE EN QUARANTAINE DES CLIENTS VPN. EN EFFET , LA MISE EN PLACE D 'UN SERVEUR VPN POSE UN GROS PROBLME EN CE QUI CONCERNE LA SCURIT MALGR LE FAIT QUE LE PROCESSUS D 'AUTHENTIFICATION ET QUE LES CHANGES SOIENT CRYPTS . LA FAILLE PROVIENT SOUVENT DES MACHINES CLIENTES CAR ELLES SONT SOUVENT INFECTES PAR DIVERS VIRUS, VERS , CHEVAUX DE TROIE ET AUTRES LOGICIELS ESPIONS . CES VIRUS, PAR LE BIAIS DU RSEAU PRIV VIRTUEL , FINISSENT PAR SE RETROUVER SUR LE RSEAU DE L 'ENTREPRISE , RUINANT AINSI TOUS LES EFFORTS DES AD MINISTRATEURS RSEAU ! LA FONCTION DE MISE EN QUARANTAINE PERMET D 'ISOLER LES CLIENTS NE RPONDANT CERTAINS CRITRES DANS UN RSEAU SPCIFIQUE NOMMCLIENTS VPN EN QUARANTAINE. LES CRITRES DE SLECTIONS DOIVENT TRE DFINIS DANS
UN SCRIPT QUI S' EXCUTE APRS L' AUTHENTIFICATION DES CLIENTS . C E SCRIPT N' EST PAS FOURNI PAR MICROSOFT AVEC ISA SERVER ET DOIT DONC TRE DVELOPP PAR L' ADMINISTRATEUR CE QUI OFFRE UNE PLUS GRANDE FLEXIBILIT. IL EST TOUT DE M ME DOMMAGE QUE M ICROSOFT NE SE SOIT PAS DONN LA PEINE DE FOURNIR DES SCRIPTS PRDFINIS POUR CERTAINS SCNARIOS . ON PEUT NOTAMMENT CRER UN SCRIPT VRIFIANT SI LE PARE - FEU DU CLIENT EST ACTIF ET SI SON ANTIVIRUS ET SON SYSTME SONT JOUR .
CONFIGURATION DE LA MISE EN QUARANTAINE DANS UN AUTRE ARTICLE QUI LUI SERA DDI .
VPN.
PARMI
LE PROTOCOLE
LE SUPPORT DE L 'AUTHENTIFICATION
RADIUS ET SECUREID
QUI PERMET DE CRER UN LIEN DE SITE SITE ENTRE UN SERVEUR QUEL TYPE DE SERVEUR
C' EST
y y y
LES POSSIBILITS OFFERTES EN TERME DE
QUE PASSERELLE PAR DFAUT . TOUTE MACHINE EXCUTANT UN SYSTME D 'EXPLOITATION SUR LEQUEL LA PILE DE PROTOCOLE TCP/IP EST SUPPORTE (UNIX, BSD, LINUX, WINDOWS,...) PEUT DONC DEVENIR UN CLIENT SECURENAT. BIEN VIDEMMENT LORSQU 'UN OU PLUSIEURS ROUTEURS SPARENT LE CLIENT SECURENAT DU SERVEUR ISA, LE CLIENT DEVRA UTILISER L' ADRESSE IP DU ROUTEUR LE PLUS PROCHE DE LUI EN TANT QUE PASSERELLE PAR DFAUT . C E TYPE DE CLIENT S' AVRE SIMPLE ET RAPIDE IMPLMENTER LORSQUE LE PROTOCOLE DHCP EST UTILIS ( EN EFFET , IL N 'Y A QU'UNE OPTION A PARAMTRER AU NIVEAU DU SERVEUR
LES CLIENTS
SECURENAT FONCTIONNENT ).
MAJEUR DU CLIENT
EN EFFET , L O
LE CLIENT DE PARE - FEU ET LE CLIENT DU PROXY WEB PERMETTENT DE RETROUVER L ' IDENTIT DE L' UTILISATEUR, LE CLIENT SECURENAT PERMET UNIQUEMENT DE RETROUVER L ' ADRESSE IP DE LA MACHINE . C ELA SIGNIFIE QUE LES RESTRICTIONS SUR LES UTILISATEURS ET LES GROUPES D 'UTILISATEURS NE S 'APPLIQUENT PAS AUX CLIENTS SECURENAT. CECI EXPLIQUE POURQUOI ILS SONT UTILISS UNIQUEMENT LORSQUE CELA EST NCESSAIRE : DANS LE CAS D 'ORDINATEURS NE SUPPORTANT PAS LE CLIENT PARE - FEU ( C 'EST - - DIRE SOUS
UNIX/LINUX)
APPLICATION CONFIGURE POUR UTILISER LE SERVEUR ISA EN TANT QUE SERVEUR DE PROXY .
L'EXEMPLE TYPE EST UN NAVIGATEUR WEBCOMME SAFARI , OPRA OU BIEN ENCORE INTERNET EXPLORER . VOICI
QUELQUES CARACTRISTIQUES DES CLIENTS DU
PROXY WEB :
SUR N 'IMPORTE QUEL SYSTME D 'EXPLOITATION ( SAUF LES OS NE GRANT PAS TCP/IP ET NE POSSDANT AUCUN NAVIGATEUR WEB ...). SUPPORTS SONT HTTP, HTTPS ET FTP SUR HTTP ( PROTOCOLE PERMETTANT DE CONSULTER LE CONTENU D 'UN SERVEUR FTP L 'AIDE D 'UN NAVIGATEUR WEB EN SAISISSANT DES ADRESSES DU TYPE FTP ://NOM_ DU _SERVEUR D
ANS LA BARRE DES URL). ILS PROPOSENT D ' AUTHENTIFIER OU NON LES UTILISATEURS .
CI -CONTRE, LA CAPTURE
D ' CRAN D' UN ORDINATEUR EXCUTANT I NTERNET EXPLORER ET CONFIGUR EN TANT QUE CLIENT DU PROXY WEB . IL SUFFIT DFINIR LE NOM DU SERVEUR ISA AINSI QUE LE PORT UTILIS DANS LE NAVIGATEUR ( CETTE FENTRE EST EST ACCESSIBLE VIA
OUTILS / OPTIONS INTERNET / CONNEXIONS / PARAMTRES RSEAUX ). BIEN ENTENDU , L 'APPARENCE ET L 'EMPLACEMENT
DE CES PARAMTRES CHANGENT D 'UN LOGICIEL L 'AUTRE .
(SECURENAT, PROXY WEB OU PARE - FEU ). PAR DFAUT , ISA SERVER 2004 UTILISE LE PORT 8080 POUR COMMUNIQUER AVEC LES CLIENTS DU PROXY WEB . POUR MODIFIER CE PARAMTRE , IL FAUT AFFICHER LES PROPRITS DU RSEAU INTERNE EN DVELOPPANT CONFIGURATION / RSEAUX DANS L 'ARBORESCENCE DE LA CONSOLE DE GESTION ISA. L' ONGLET PROXY WEB PERMET DE MODIFIER LES PORTS UTILISS POUR LES PROTOCOLES HTTP ET HTTPS ( LES VALEURS PAR DFAUT SONT RESPECTIVEMENT 8080 ET 8443).
RELLE
L' ONGLET PROXY WEB PER MET AUSSI D 'ACTIVER OU NON L ' AUTHENTIFICATIONDES CLIENTS DU PROXY WEB ( IL SUFFIT DE CCHER LA CASE EXIGER QUE
TOUS LES UTILISATEURS S ' AUTHENTIFIENT ). PLUSIEURS MTHODES D 'AUTHENTIFICATIONS SONT DISPONIBLES :
DE BASE : CETTE
MTHODE EST
EST INSTALL SUR UN ORDINATEUR EXCUTANT WINDOWS SERVER 2003, LE PROTOCOLE RELLE MENT UTILIS EST WDIGEST . y INTGRE : L' AUTHENTIFICATION DITE I NTGRE CORRESPOND AU PROTOCOLE K ERBEROS V5 ( OU NTLM DANS CERTAINS CAS). KERBEROS MET EN OEUVRE LE HACHAGE DES DONNES ET PROPOSE UNE AUTHENTIFICATION MUTUELLE .
CERTIFICAT SSL : CETTE MTHODE VRIFIE L 'IDENTIT DU CLIENT ET DU SERVEUR L 'AIDE DE CERTIFICAT
NUMRIQUES PRALABLEMENT DISTRIBUS PAR UNE AUTORIT DE CERTIFICATION . LE PROTOCOLE DE CRYPTAGE UTILIS EST SSL POUR SECURE SOCKETS LAYER .
RADIUS : RADIUS SIGNIFIE REMOTE AUTHENTIFICATION DIAL -IN USER SERVICE. C' EST UN PROTOCOLE D' AUTHENTIFICATION STANDARD
MD5.
L 'AUTHENTIFICATION DES CLIENTS DU PROXY WEB NE DOIT PAS TRE NGLIGE SINON LES RESTRICTIONS DES RGLES ACCS SUR LES UTILISATEURS ET SUR LES GROUPES D 'UTILISATEURS NE S' APPLIQUERONT PAS . EN OUTRE , L 'AUTHENTIFICATION PERMET D 'OBTENIR DES STATISTIQUES CONCERNANT LES UTILISATEURS PAR LE BIAIS DES RAPPORTS .
DS QUE L 'UNE
DES MTHODES
D 'AUTHENTIFICATION A T CHOISIE, UNE FENTRE QUIVALENTE CELLE PRSENTE CI DROITE APPARAT . DEUX POSSIBILITS S 'OFFRENT L 'UTILISATEUR
DE
LES CLIENTS DU
PROXY WEB
LORSQUE LES ORDINATEURS UTILISENT MICROSOFT INTERNET EXPLORER , LEURS CONFIGURATION EN TANT QUE CLIENTS DU PROXY WEB EST FACILIT. EN EFFET , IL EST POSSIBLE DE CONFIGURER LES PARAMTRES DU PROXY L 'AIDE D ' UN OBJET STRATGIE DE GROUPE OU GPO (GROUP POLICY OBJECT ). CELA IMPLIQUE VIDEMMENT QUE
LES ORDINATEURS APPARTIENNENT UNDOMAINE ACTIVE DIRECTORY.
LES PARAMTRES DU PROXY ( ADRESSE IP, PORT , ...) POUR INTERNET EXPLORER SONT
CONFIGURABLES AU NIVEAU DU COMPTE D 'UTILISATEUR OU BIEN AU NIVEAU DU COMPTE D' ORDINATEUR. DANS LES DEUX CAS , IL FAUT DVELOPPER PARAMTRES WINDOWS /
LORSQU'UNE APPLICATION AUTRE QUE INTERNET EXPLORER DOIT TRE CONFIGURE, LA TCHE SE RVLE PLUS CONTRAIGNANTE PUISQU' IL N'EXISTE AUCUN MOYEN DE L 'AUTOMATISER . LES CLIENTS DOIVENT DONC TRE CONFIGURS
MANUELLE MENT CE QUI ENTRANE
y y
UNE PERTE DE TEMPS SI LE SERVEUR DE
PROXY CHANGE D ' ADRESSE IP ( IL FAUT ALORS RECONFIGURER LA MAIN TOUTES LES APPLICATIONS ALORS QU ' AVEC UNE GPO IL N 'Y A QU 'UNE VALEUR MODIFIER UNE SEULE FOIS ) y UNE PERTE DE TEMPS SI L ' ORDINATEUR QUI HBERGE LE PROGRAMME EST MOBILE. EN EFFET , UN CADRE SE DPLAANT DE SUCCURSALE EN SUCCURSALE AVEC SON ORDINATEUR PORTABLE DEVRA RECONFIGURER MANUELLEMENT L' ADRESSE IP DU SERVEUR DE PROXY CHAQUE CHANGEMENT DE SITE (EN SUPPOSANT QU ' IL Y AIT UN SERVEUR DE PROXY PAR SITE). DANS CE CAS BIEN PRCIS , UNE GPO N 'EST D 'AUCUN SECOURS ... POUR PALIER CELA,
IL EST POSSIBLE D' IMPL MENTER LE PROTOCOLE WPAD (WEB PROXY AUTO DETECT ) QUI PERMET DE CONFIGURER AUTOMATIQUEMENT LES PROGRAMMES POUR POINTER VERS LE BON SERVEUR DE PROXY. BIEN ENTENDU
LES APPLICATIONS DOIVENT TRE CONUES POUR SUPPORTER WPAD ( TOUS LES NAVIGATEURS RCENT TELS OPRA, IE, SAFARI , KONQUEROR, FIREFOX OU BIEN ENCORE NETSCAPE NAVIGATOR LE SUPPORTENT ). C'EST PAR EXEMPLE LE CAS AVEC I NTERNET EXPLORER DEPUIS LA VERSION 5.0 ET N ETSCAPE N AVIGATOR DEPUIS LA VERSION 2.0. WPAD PROPOSE DEUX MANIRE DIFFRENTE POUR CONFIGURER AUTOMATIQUEMENT LES APPLICATIONS WEB L 'AIDE D 'UN ENREGISTREMENT DE RESSOURCE SPCIFIQUE DANS LE SERVEUR
DNS DHCP
LA PREMIRE CHOSE FAIRE AVANT MME DE CONFIGURER LE SERVEUR DNS OU BIEN LE SERVEUR DHCP EST D 'ACTIVER
LA PRISE EN CHARGE DU PROTOCOLE
WPAD AU NIVEAU DU SERVEUR ISA. POUR CELA, IL SUFFIT D' ALLER DANS LES PROPRITS DU RSEAU INTERNE , PUIS DE CCHER LA CASE PUBLIER LES
INFORMATIONS DE DTECTION AUTOMATIQUE , SITUE DANS L 'ONGLET
DTECTION AUTOMATIQUE .
SI
VOUS CHOISISSEZ D 'UTILISER UN PORT DIFFRENT AVEC CES NAVIGATEURS , IL FAUDRA SPCIFIER L 'ADRESSE DE
CONFIGURATION AUTOMATIQUE DU
PROXY
MANUELLE MENTCE QUI S 'AVRE AUSSI CONTRAIGNANT QUE DE DFINIR L ' ADRESSE DU SERVEUR DE PROXY DE FAON CLASSIQUE ... L'UTILISATION DU DONC DE MISE POUR CE SERVICE SAUF SI UNE AUTRE APPLICATION UTILISE DJ CE PORT SUR LE SERVEUR PORT
80 EST
ISA.
FIREFOX ESSAYE DE SE
80.
DHCP
DHCP (CLIC DROIT SUR LE NOM DU SERVEUR , PUIS DFINIR LES OPTIONS
PRDFINIES... DANS LA CONSOLE DHCP). CI- CONTRE, LA FENTRE DE CRATION D' UNE OPTION DHCP. IL FAUT DFINIR PLUSIEURS PARAMTRES : LE NOM DE L 'OPTION
y y
LE CODE DE L 'OPTION
IL FAUT ENSUITE ATTRIBUER LA VALEUR HTTP://NOM_DU _SERVEUR _DE_PROXY:PORT _UTILIS/WPAD .DAT L 'OPTION WPAD PRCDEMMENT CRE. BIEN ENTENDU , VOUS POURREZ APPLIQUER CETTE OPTION AU NIVEAU DU SERVEUR , D' UNE TENDUE , D 'UNE CLASSE DHCP OU BIEN ENCORE D ' UN CLIENT RSERV .
ALIAS
(CNAME) CET
NOMM
WPAD
POINTANT VERS
LE NOM DE DOMAINE PLEINEMENT QUALIFI (FQDN) DU SERVEUR DE PROXY. ENREGISTREMENT DOIT TRE CR DANS LE MME DOMAINE QUE LES ORDINATEURS CLIENTS . LORSQUE L 'OPTION DHCP 252 N ' A PAS T AFFECTE, LE CLIENT CONTACTE LE SERVEUR DNS POUR SAVOIR SI IL EXISTE UN
y y
LE CLIENT CHERCHE LE
FQDN CORRESPONDANT
IP CORRESPONDANT
(LE SERVEUR DNS RENVOIE LA RPONSE ISA2004.LABOMS.NET ) ISA-2004. LABOMS . NET ( LE SERVEUR DNS RENVOIE LA RPONSE 10.1.0.1)
7.5 DPLOIEMENT
UN CLIENT PARE-FEU EST UN ORDINATEUR SUR LEQUEL L 'APPLICATION CLIENT DE PARE-FEU MICROSOFT EST INSTALLE. CETTE APPLICATION CONFIGURE AUTOMATIQUE MENT LA MACHINE POUR ACCDER INTERNET OU UN AUTRE RSEAU PAR L 'INTERMDI AIRE D 'UN SERVEUR ISA. IL EST POSSIBLE DE DPLOYER CE LOGICIEL DE DIVERSES MANIRES :
VIA LE PARTAGE
y y
VIA UN PACKAGE
VIA UN OBJET STRATGIE DE GROUPE (GPO) SYSTEM MANAGEMENT SERVER (SMS) 2003
LE PARAMTRAGE DU CLIENT DE PARE-FEU EST ON NE PEUT PLUS SIMPLE . L'ONGLET GNRAL PERMET
DE SLECTIONNER MANUELLE MENT OU AUTOMATIQUEMENT LE SERVEUR ISA. DANS LE SECOND CAS , LE PROTOCOLE WSPAD (WIN S OCK
WSPAD SE WPAD ( VIA UN SERVEUR DHCP OU UN SERVEUR DNS). L' ONGLET NAVIGATEUR WEBPERMET QUAND LUI DE CONFIGURER AUTOMATIQUEMENT INTERNET EXPLORER . LES PARAMTRES APPLIQUS AU
NAVIGATEUR DOIVENT TRE DFINIS AU NIVEAU DU SERVEUR
ISA.
ON PEUT PROXY
RSEAU I NTERNE.
TROIS
CHOIX SONT POSSIBLES CORRESPONDANT AUX TROIS MTHODES DE CONFIGURATION D' UN CLIENT DU PROXY WEB ( PARTIE 8.3)
y y y
DTECTER
UTILISER UN SCRIPT
DE
CONFIGURATION AUTOMATIQUE
2000
y y
ACTIVER
METTRE JOUR LE
CLIENT (FORTEMENT RECO MMAND ) LA PRISE EN CHARGE
DES CONNEXIONS NON CRYPTES. POUR CELA, IL FAUT DVELOPPER CONFIGURATION / DANS L 'ARBORESCENCE DE LA CONSOLE DE GESTION ISA, PUIS CLIQUER SUR DFINIR LES PARAMTRES DE CLIENTS DE PARE - FEU.
GNRAL
7.7 CONCLUSION IL EST DIFFICILE DE DTERMINER QUELLE CONFIGURATION EST LA PLUS ADAPTE EN CE QUI CONCERNE LES MACHINES CLIENTES . EN EFFET , CE CHOIX DPEND FORTEMENT DU TYPE DE MACHINES DPLOYES (WINDOWS, LINUX, MAC OS, BSD,...), DES LOGICIELS INSTALLS (NOTAMMENT DES NAVIGATEURS), DU NIVEAU DE SCURIT NCESSAIRE, DE L ' INFRASTRUCTURE EN PLACE ( DOMAINE / GROUPE DE TRAVAIL ; DMZ)... VOICI UN PETIT TABLEAU RCAPITULATIF DES CARACTRISTIQUES DES DIFFRENTS CLIENTS : PARE-FEU AUTHENTIFICATION DES UTILISATEURS
SUPPORTE
MAINTENANCE
RED MARRER LE SERVICE DANS CERTAINS CAS ) INSTALLATION ET CONFIGURATION D 'UN LOGICIEL
CONFIGURATION REQUISE DE
L 'UTILISATION DES CLIENTSSECURE NAT EST DE MISE . CEPENDANT , IL PEUT S 'AVRER UTILE DU POINT DE VUE DE LA SCURIT DE CONFIGURER LES CLIENTS SECURE NAT EN TANT QUECLIENTS DU PROXY WEB ( POUR BNFICIER DE
8. SURVEILLANCE ET
2004
ISA SERVER 2004 OFFRE PEU DE NOUVEAUTS PAR RAPPORT LA VERSION 2000 :
y y
y y
L 'INTERFACE DE CONFIGURATION EST BIEN PLUS INTUITIVE QUE CELLE DE L 'UTILITAIRE DE GESTION
ISA 2000
PAR DFAUT , TOUTES LES DONNES SONT STOCKES DANS LA BASE DE DONNE
L 'ACTIVIT DU SERVEUR
DE DIAGNOSTIQUER RAPIDEMENT UN VENTUEL PROBLME CAR IL SE RAFRACHIT INTERVALLES RGULIERS (IL EST POSSIBLE DE FORCER LE RAFRACHISSE MENT).
2004
VRIFICATEURS DE CONNECTIVIT
y y
UNE REQUTE
UNE REQUTE
y y
ACTIVE DIRECTORY (ENVOIE UNE LDAP AU CONTRLEUR DE DOMAINE CHOISI ) AUTRE (PROPOSE UNE TRENTAINE DE PORT TCP COMMUNMENT UTILISS COMME FTP, PPTP, POP3, RDP...) y DHCP y DNS y SERVEURS PUBLIS y WEB (INTERNET )
REQUTE
CR , IL EST POSSIBLE DE DFINIR UN SEUIL AU- DEL DUQUEL L ' ORDINATEUR EST CONSIDR
COMME INJOIGNABLE ( DANS CE CAS, UNE ALERTE EST GNRE ). LA FENTRE CONNECTIVIT LISTE LES VRIFICATEURS DE CONNECTIVIT ET AFFICHE LEUR TAT AINSI QUE DIVERSES AUTRES INFORMATIONS ( SEUIL, TYPE DE REQUTE , TEMPS DE RPONSE ,...).
ISA 2000,
L' ACTIVIT DU SERVEUR . I LS SONT GNRS PARTIR DES INFORMATIONS STOCKES DANS LES FICHIERS JOURNAUX ET PERMETTENT NOTAMMENT DE VRIFIER LES PERFORMANCES DE LA MISE EN CACHE ET LES ACCS NON SOUHAITS. IL EST TRS IMPORTANT DE BIEN CHOISIR LES CHAMPS QUI DOIVENT TRE SAUVEGARDS DANS LES FICHIERS JOURNAUX . EN EFFET PAR DFAUT QUASIMENT TOUS LES CHAMPS SONT SLECTIONNS , CE QUI GNRE DE " GROS " FICHIERS JOURNAUX . VOICI LES FICHIER JOURNAUX GNRS PAR UN SERVEUR ISA PROTGEANT UN RSEAU CONSTITU DE 35 POSTES CLIENTS SOUS
ON REMARQUE QUE L 'ESPACE DISQUE UTILIS POUR STOCKER LES "LOGS" DE TROIS
JOURS DISTINCT EST DE 1,4 GO ! LE NOMBRE DE CHAMPS ENREGISTRS DANS LA BASE DE DONNES SE CONFIGURE DANS L 'ONGLET JOURNALISATION DE LA FENTRE SURVEILLANCE .
8.5 GNRATION DE RAPPORTS LE PROCESSUS DE CRATION DE RAPPORT D 'ISA SERVER 2004 EST SIMILAIRE CELUI DE LA VERSION 2000. IL EST POSSIBLE DE GNRER DES RAPPORTS MENSUELS , HEBDOMADAIRES , QUOTIDIENS OU BIEN DE LES GNRER MANUELLE MENT . LORS DE LA CRATION DU RAPPORT UN PROCESSUS NOMM I SAREPG EN. EXE PARCOURT L 'INTGRALIT DES DONNES DE LA BASE ET COMPILE LES INFORMATIONS POUR LES RENDRE EXPLOITABLE ( EN CRANT UNE PAGE WEB). LES TCHES DE RAPPORTS NE DOIVENT PAS TRE EXCUTES AU HASARD , SURTOUT SUR UN SERVEUR EN PRODUCTION ! EN EFFET , LA CRATION DE RAPPORT DEMANDE BEAUCOUP DE RESSOURCES MATRIELLES SURTOUT EN CE QUI CONCERNE LE TEMPS PROCESSEUR , L 'UTILISATION DE LA MMOIRE VIVE ET LES ACCS DISQUE . D'O L 'INTRT DE PLANIFIER LES TCHES DE RAPPORT DANS UNE PLAGE HORAIRE O LE SERVEUR ISA N ' EST PAS OU PEU UTILIS ( LA NUIT OU LE WEEK END ). CI -CONTRE LA GNRATION D 'UN
RAPPORT D ' ACTIVIT MENSUEL SUR UN SERVEUR ISA GRANT CLIENTES .
2 GHZ ,
DISPOSE DE 512M O DE MMOIRE VIVE ET UTILISE UN DISQUE DUR TOURNANT 7200 TR/ MIN ! ON REMARQUE QUE LE PROCESSUS ACCAPARE : 99% DU TEMPS PROCESSEUR, 230MO DE M MOIRE VIVE ET 256 MO DE MMOIRE VIRTUELLE...
HEUREUSE MENT
CE PROCESSUS S' EXCUTE EN FOND DE TCHE ( ET AVEC UNE PRIORIT PLUS FAIBLE ) CE QUI PERMET AU SERVEUR DE CONTINUER RPONDRE AUX DEMANDES DES CLIENTS .
8.6 CONCLUSION POUR CONCLURE, LES CAPACIT DE MONITORING D 'ISA SERVER 2004 SONT IDENTIQUES CELLES DE LA VERSION 2000 MALGR QUELQUES AMLIORATIONS SENSIBLES EN TERME D 'ERGONO MIE ET DE PERFORMANCE ( UTILISATION DE MSDE AU
LIEU DES FICHIERS TEXTES POUR STOCKER LES DONNES ). EN REVANCHE IL FAUT SE MFIER DES FONCTION DE JOURNALISATION ET DE CRATION DE RAPPORTS QUI DEMANDENT : DE FORTES RESSOURCES MATRIELLES
9. MIGRATION DE ISA SERVER 2000 VERS ISA SERVER 2004 9.1 PRREQUIS POUR L 'INSTANT , LA SEULE VERSION DE ISA SERVER 2004 DISPONIBLE EST LA VERSION STANDARD. LA MIGRATION D ' UN D 'ISA 2000 ENTERPRISE VERS UNE ISA 2004 STANDARD EST IMPOSSIBLE . EN RSUM, LA SEULE MIGRATION ACTUELLEMENT POSSIBLE EST ISA 2000 STANDARD VERS ISA 2004 STANDARD . POUR RALISER CETTE MIGRATION , IL EST RECOMMAND D 'INSTALLER LE SERVICE PACK 2 POUR ISA 2000 QUE VOUS TROUVEREZ ICI . I L EST NANMOINS POSSIBLE DE SE PASSER DU SERVICE PACK 2 EN INSTALLANT UNE MISE JOUR SPCIFIQUE. CETTE MISE JOUR NCESSITE L' INSTALLATION :
y y
LA MISE JOUR ISA NE PRSENTANT
LES INSTALLATIONS
SI
SMTP,
LE SERVICE
SMTP DE IIS DOIT TRE INSTALL VIA LA CONSOLE AJOUTER OU SUPPRI MER DES COMPOSANTS WINDOWS .
MIGRATION
ISA,
IL EST POSSIBLE DE SAUVEGARDER LES PARAMTRES DE LA VERSION POUR LES RINJECTER DANS LA VERSION
2000 2004.
MIGRATION .
COMME
EXPLIQU SUR LA CAPTURE D 'CRAN , CET ASSISTANT PERMET D' EXPORTER LA CONFIGURATION VPN ET RAS DANS UN FICHIER XML, QUI SERA IMPORT SUR ISA SERVER 2004.
DS LE DBUT
XML QUI
LORS DE L 'INSTALLATION DE ISA SERVER 2000, LES CLIENTS ONT , PAR DFAUT , LA POSSIBILIT D' ACCDER L ' ORDINATEUR EXCUTANT ISA SERVER . I L EST POSSIBLE DANS ISA SERVER 2004 DE DSACTIVER CETTE FONCTION AFIN
DE GARANTIR UN MEILLEUR NIVEAU DE SCURIT .
T COLLECTES , LA SAUVEGARDE
PEUT DONC COMMENCER VERS LE FICHIER QUE VOUS AVEZ SLECTIONN LORS DE LA PREMI RE TAPE .
AU BOUT
XML CONTENANT TOUTES INFORMATIONS SUR LA CONFIGURATION DE VOTRE SERVEUR ISA 2000.
OPRATIONS EFFECTUES ONT T ENREGISTRES DANS UN FICHIER DE LOG DU M ME NOM QUE VOTRE FICHIER XML AVEC L 'EXTENSION . LOG .
LORS DE L 'OUVERTURE DE CE
FICHIER, ON PEUT CONSTATER QUE CERTAINES MISE JOUR N 'ONT PAS FONCTIONN . ON PEUT NOTAMMENT CITER LES ALERTES :
COMPOSANT D'INSTALLATION MANQUANT y PAQUET IP IGNOR y LE SERVEUR N' EST PAS DANS LE SITE DU GROUPE y CHEC DU FRACTIONNEMENT DE FLUX ACTIFS WMT y VIOLATION DE PROTOCOLE IP
CES COMPOSANTS NE SONT PAS IMPLMENTS DANS ISA SERVER 2004. C' EST POURQUOI IL EST IMPOSSIBLE DE LES SAUVEGARDER. EN REVANCHE, ON PEUT CONSTATER TOUS LES AUTRES PARAMTRES ONT T EXPORTS AVEC SUCCS .
2004. L'ASSISTANT
D 'I NSTALLATIO N NE VA PAS SUPPRIMER
LE PROCESSUS
DE MISE JOUR D 'ISA 2000 VERS
SAUVEGARDS DANS
CE FICHIER XML,
NOMM
ISA2KEXPORT .XML (SI VOUS AVEZ VALID ISA SERVER 2004 GRCE ISA SERVER EXPORT.
UNE BOITE DE DIALOGUE ACCESSIBLE VIA UN LIEN SITU DANS LE BAS DE L 'ONGLET TCHES : I MPORTER DEPUIS UN FICHIER DE CONFIGURATION
IL SUFFIT ICI DE SLECTIONNER LE FICHIER EXPORT PRCDEMMENT ET DE CLIQUER SUR IMPORTER AFIN DE CHARGER LA CONFIGURATION. IL EST GALE MENT POSSIBLE D ' IMPORTER LES PARAMTRES D' AUTORISATIONS UTILISATEURS ET CEUX DES LECTEURS DE CACHE ET DES CERTIFICATS SSL. UNE FOIS QUE LES MODIFICATIONS ONT T CHARGES, IL SUFFIT DE CLIQUER SUR APPLIQUER POUR LES RENDRE EFFICIENTES .
DE FICHIER DE SAUVEGARDE , LES SERVICES DOIVENT TRE REDMARRS POUR APPLIQUER CES MODIFICATIONS DE CONFIGURATION .
10. CONCLUSION EN CONCLUSION , ISA SERVER 2004 S'INSCRIT DANS LA LIGNE DE SON PRDCESSEUR TOUT EN APPORTANT UN GRAND NOMBRE D ' AMLIORATIONS. ON PEUT CITER LA NOUVELLE INTERFACE INTUITIVE GRCE AU SYSTME D' ONGLETS ET EFFICACE GRCE AU SYSTME D 'ACTUALISATION ( LE BOUTON APPLIQUER PERMET DE RENDRE LES MODIFICATIONS ACTIVES IMMDIATEMENT CE QUI N 'TAIT PAS LE CAS SOUS ISA 2000...). L'INTGRATION TOTALE DU SERVEUR VPN DANS LA CONSOLE DE GESTION ISA APPORTE DE NOMBREUX AVANTAGES :
y y y
CONFIGURATION FACILITE
INTEROPRABILIT DES LIAISONS SITES SITES L ' AIDE DU PROTOCOLE MEILLEURE SCURIT AVEC LE RSEAU CLIENTS
DE PLUS L 'ASSISTANT MODLE RSEAU AINSI QUE LE NOUVEAU SYSTME D ' APPLICATION DES RGLES ONT LE MRITE DE CLARIFIER LE PARAMTRAGE QUELQUE SOIT LE TYPE DE RGLES ( D 'ACCS , DE CHANAGE WEB , DE CACHE ,...). LE NIVEAU DE SCURIT A LUI AUSSI T AMLIOR DE PAR LE SYSTME DE CRYPTAGE ENTRE LE NOUVEAU LOGICIEL CLIENT PARE FEU MICROSOFT ET LE SERVEUR ISA, ET DE PAR LES AMLIORATIONS EFFECTUES SUR LES FILTRES APPLICATIFS ET LES LES FILTRES WEB . EN CE QUI CONCERNE LE MONITORING , LA REFONTE DE L'INTERFACE ET L 'AJOUT DES VRIFICATEURS DE CONNECTIVIT ET DU TABLEAU DE BORD PERMETTENT UNE MEILLEURE SURVEILLANCE DE L 'TAT ET DES CONNECTIONS DU SERVEUR .
QUELQUES
y y y
LA STRATGIE SYSTME S ' AVRE TRS PRATIQUE L 'USAGE MAIS RESTE UNE FAILLE DANS LA SCURIT DU SERVEUR PUISQU ' ELLE EST ACTIVE PAR DFAUT L ' UTILISATION DE
ISA 2000 HTTP/HTTPS/FTP EFFECTUES PAR LES UTILISATEURS ( DES SYSTMES DE CE TYPE QUIPENT DJ CERTAINS PARE - FEU MATRIEL , TELS CEUX DE LA MARQUE ARKOON , ET S' AVRENT TRS PRATIQUE L 'USAGE) y CERTAINES FONCTIONS AVANCES POURTANT MISENT EN AVANT PAR MICROSOFT DOIVENT PAR LEUR IMPLMENTATION DIFFICILE . ON PEUT CITER LE FILTRE HTTP ( AUCUNE MTHODE , EN-TTE OU SIGNATURE HTTP N' EST DFINIE PAR DFAUT , CE QUI OBLIGE L 'ADMINISTRATEUR A POSSDER UNE BONNE CONNAISSANCE DU PROTOCOLE HTTP ET UTILISER UN ANALYSEUR DE TRAMES ) OU BIEN ENCORE LE SYSTME DE MISE EN QUARANTAINE ( AUCUN SCRIPT N 'EST FOURNI PAR MICROSOFT ET UN ASSISTANT DE CONFIGURATION AURAIT T LE BIENVENUE TANT DONN LE NOMBRE D 'TAPES RALISER ...)
DE RESSOURCES MATRIELLES QUE LE SYSTME INCLUS DANS IL N' EST PAS POSSIBLE DE VOIR EN TEMPS REL TOUTES LES REQUTES
ESPRONS QUE LA VERSION ENTREPRISE D 'ISA SERVER 2004 PRVUE POUR LE PREMIER SEMESTRE 2005 CORRIGERA CES QUELQUES INCONVNIENTS QUI N' ENLVENT ( PRESQUE ) RIEN LA QUALIT DU PRODUIT QUI EST GLOBALEMENT TRS
BONNE .