SOMMAIRE 1. PRSENTATION GNRALE D 'ISA SERVER 2004 1.1 INTRODUCTION 1.2 NOUVEAUTS PAR RAPPORT LA VERSION 2000 1.

.3 CONFIGURATION REQUISE 1.4 LES DIFFRENTES VERSIONS DISPONIBLES 1.5 VALUER ISA SERVER 2004 GRATUITEMENT 2. INSTALLATION ET CONFIGURATION INITIALE 2.1 INSTALLATION DU LOGICIEL 2.2 UNE INTERFACE ENTIREMENT REPENSE 2.3 L' ASSISTANT MODLE RSEAU 2.4 LE CHANAGE DE PARE-FEU ET LE CHANAGE 3. PARAMTRAGE DU PARE-FEU 3.1 INTRODUCTION 3.2 LES LMENTS DE STRATGIE 3.3 LA CRATION DES RGLES DE PARE-FEU 3.4 ORDRE D 'APPLICATION DES RGLES 3.5 LES RGLES DE STRATGIE SYSTME 3.6 LE FILTRAGE APPLICATIF 3.7 CONCLUSION 4. EXEMPLES DE CONFIGURATION 4.1 INTRODUCTION 4.2 AUTORISER L 'ACCS INTERNET POUR LES CLIENTS DU RSEAU INTERNE 4.3 INTERDIRE COMPLTEMENT L 'ACCS MSN MESSENGER 4.4 INTERDIRE L'ACCS MSN WEB MESSENGER 4.5 CONCLUSION 5. I MPLMENTATION DE LA MISE EN CACHE 5.1 INTRODUCTION 5.2 CONFIGURATION DE LA MISE EN CACHE D 'UN SERVEUR WEB 5.3 CONCLUSION 6. MISE EN PLACE D 'UN SERVEUR VPN 6.1 INTRODUCTION 6.2 UN PARAMTRAGE SIMPLIFI 6.3 DE NOUVELLES OPTIONS 6.4 LA FONCTION DE MISE EN QUARANTAINE 6.5 CONCLUSION 7. CONFIGURATION DES ORDINATEURS CLIENTS 7.1 INTRODUCTION 7.2 CONFIGURER UN CLIENT SECURENAT 7.3 CONFIGURER UN CLIENT DU PROXY WEB 7.4 UTILISATION DU PROTOCOLE WPAD POUR PARAMTRER AUTOMATIQUEMENT 7.5 DPLOIEMENT ET CONFIGURATION DES CLIENTS PARE-FEU 7.6 INTEROPRABILIT AVEC LE CLIENT PARE- FEU D'ISA 2000 7.7 CONCLUSION 8. SURVEILLANCE ET MONITORING D 'ISA SERVER 2004 8.1 INTRODUCTION 8.2 VUE D 'ENSEMBLE DU TABLEAU DE BORD 8.3 CONFIGURATION ET UTILISATION DES VRIFICATEURS DE CONNECTIVIT 8.4 GESTION DE LA JOURNALISATION 8.5 GNRATION DE RAPPORTS 8.6 CONCLUSION 9. MIGRATION D 'ISA SERVER 2000 VERS ISA SERVER 2004 9.1 PRREQUIS 9.2 SAUVEGARDE DES PARAMTRES DU SERVEUR ISA EN VUE D' UNE MIGRATION 9.3 MISE NIVEAU DU SERVEUR 9.4 IMPORTATION DES PARAMTRES PRCDEMMENT SAUVEGARDS DANS ISA SERVER 2004 10. CONCLUSION

WEB

LES CLIENTS DU

PROXY WEB

1. PRSENTATION GNRALE D'ISA SERVER 2004 1.1 INTRODUCTION LA SORTIE DINTERNET SECURITY & ACCELERATION SERVER 2004 DURANT LE MOIS DE JUILLET (2004) A T UN VNE MENT TRS IMPORTANT POUR MICROSOFT . EN EFFET CE LOGICIEL APPARAT COMME TANT L LMENT CLEF DE LA POLITIQUE DE SCURIT ACTUELLEMENT INSTAURE PAR LA FIRME DE REDMOND ( CF. : NOTRE ARTICLE). POUR RAPPEL ,
CETTE POLITIQUE EST ESSENTIELLEMENT COMPOSE DE QUATRE POINTS :

UNE

AUGMENTATION DU NIVEAU DE SCURIT PAR

DFAUT POUR LES APPLICATIONS ( ON PEUT PAR EXEMPLE CITER LE FIREWALL DE WINDOWS XP QUI S ACTIVE AUTOMATIQUEMENT DS L INSTALLATION DU PACK 2).

SERVICE

UNE

MAINTENANCE ET UN DPLOIEMENT FACILIT DES

MISES JOUR GRCE DE NOUVEAUX OUTILS (SUS, MBSA, SMS, ET BIENTT WUS ...).

y y
UNE

UN

MEILLEUR NIVEAU DE SCURIT DANS LE

DVELOPPEMENT

(MICROSOFT

ASSURE QUE LE CODE DE

SES PROCHAINES APPLICATIONS SERA PLUS

SCURIS ).

MEILLEURE SENSIBILISATION DES UTILISATEURS ET SCURIT VIA UN SITE WEB DDI.

NOTAMMENT DU GRAND PUBLIC SUR LE PROBLME DE LA

APRS UN TEL DISCOURS ET TANT DONN LE CONTEXTE ACTUEL ( POURRIELS , VERS ET VIRUS SONT DEVENUS LE QUOTIDIEN DES INTERNAUTES ET LE CAUCHEMAR DES
ADMINISTRATEURS ), MICROSOFT SE DEVAIT DE LANCER UNE MISE JOUR CONVAINCANTE DE SON LOGICIEL PHARE CONCERNANT LA SCURIT .

CET ARTICLE SOUHAITE 2000

PRSENTER CE NOUVEAU PRODUIT SOUS TOUTES SES COUTURES.

1.2 NOUVEAUTS PAR

RAPPORT LA VERSION

POUR COMMENCER, RAPPELONS QUISA SERVER NE JOUE PAS SI MPLEMENT LE RLE DE PARE-FEU MAIS AUSSI DE SERVEUR DE PROXY ET DE SERVEUR VPN. VOICI UNE LISTE NON EXHAUSTIVE DES PRINCIPALES NOUVEAUTS ET AMLIORATIONS APPORTES DEPUIS LA VERSION 2000 :

y UNE NOUVELLE INTERFACE GRAPHIQUE BEAUCOUP PLUS ERGONOMIQUE ET INTUITIVE. LE PARAMTRAGE DES RGLES DE ROUTAGE/NAT ENTRE LES DIFFRENTS RSEAUX CONNECTS AU SERVEUR ISA A T RVOLUTIONN GRCE LA CRATION D UN ASSISTANT DE CONFIGURATION RSEAU QUI PERMET DE SE DCHARGER
TOTALEMENT DE CETTE OPRATION ET PERMET AINSI DE SE CONCENTRER SUR LE PARAMTRAGE DES OPTIONS LIES LA

SI

VOUS SOUHAITEZ PRENDRE CONNAISSANCE DE L ENSEMBLE DE MODIFICATIONS ET DES NOUVEAUTS PAR CETTE NOUVELLE VERSION , DEUX ALTERNATIVES S' OFFRENT VOUS

o o

TLCHARGER LES SPCIFICATIONS TECHNIQUES AU FORMAT *. DOC DISPONIBLE ICI . o VISUALISER LES SPCIFICATIONS TECHNIQUES EN HTML. TLCHARGER LE DOCUMENT DE PRSENTATION OFFICIEL AU FORMAT POWER POINT ICI .

CONSULTER LE SITE DDI

ISA SERVER

SCURIT . 2000 NOTAMMENT AU NIVEAU DE L ORDRE D APPLICATION DES RGLES . y DE NOUVEAUX FILTRES APPLICATIFS ONT T AJOUTS OU MODIFIS. PAR EXEMPLE LE FILTRE HTTP A T GRANDEMENT REMANI AFIN D AUGMENTER LE NIVEAU DE SCURIT DES APPLICATIONS WEB COMME IIS, EXCHANGE OU BIEN ENCORE OUTLOOK . y LES POSSIBILITS AU NIVEAU DE LA SURVEILLANCE (OU MONITORING) ONT T DVELOPPES EN PROFONDEUR . AINSI ON POURRA VISUALISER LES JOURNAUX ( LOGS ) ET LES SESSIONS ACTIVES EN TEMPS REL , IMPORTER ET EXPORTER DES RAPPORTS AU FORMAT HTML, TESTER LA CONNECTIVIT RSEAU , y LE SERVEUR VPN EST DORNAVANT TOTALEMENT INTGR AU SERVEUR ISA ET SON PARAMTRAGE EN EST DAUTANT PLUS FACILIT . y LA POSSIBILIT D IMPORTER ET DEXPORTER LA CONFIGURATION DU SERVEUR ISA AU FORMAT XML.

LA

CONFIGURATION DES RGLES DU PARE - FEU A T ENTIREMENT REVUE PAR RAPPORT LA VERSION

1.3 CONFIGURATION REQUISE VOICI LES CARACTRISTIQUES

LOGICIELLES ET MATRIELLES REQUISES POUR EXCUTER

ISA SERVER 2004 :

PENTIUM III 550 OU PLUS PERFORMANT y 256MO DE MMOIRE VIVE y UN NOMBRE DE CARTES RSEAUX ET /OU MODEMS ADQUATS y UNE PARTITION OU UN VOLUME FORMAT AVEC LE SYSTME DE FICHIER NTFS ET DISPOSANT DE 150MO D ESPACE LIBRE ( BIEN ENTENDU, SI VOUS SOUHAITEZ ACTIVER LA MISE EN CACHE, IL FAUDRA DISPOSER DE PLUS D ESPACE). y UN MINIUM DE DEUX INTERFACES RSEAU ( CARTE RSEAU, MODEM RNIS, MODEM ADSL,...) WINDOWS SERVER 2003 OU WINDOWS 2000 SERVER SP4 (AT TENTION : MICROSOFT RECOMMANDE L ' INSTALLATION DU CORRECTIF DISPONIBLE SUR LA PAGE SUIVANTE EN PLUS DU SERVICE PACK 4) y INTERNET EXPLORER 6.0 OU SUPRIEUR

PROCESSEUR

BIEN ENTENDU

VOUS DEVREZ TENIR COMPTE DU NOMBRE DE CLIENTS CONNECTS "DERRIRE " LE SERVEUR

ISA AINSI QUE

DES FONCTIONS QUE VOUS ACTIVEREZ POUR AJUSTER LE MATRIEL DE VOTRE SERVEUR .

1.4 LES DIFFRENTES

VERSIONS DISPONIBLES

A L 'HEURE ACTUELLE ISA SERVER EST UNIQUEMENT DISPONIBLE EN VERSION STANDARD (CETTE VERSION NE PEUT GRER QU 'UN MAXIMUM DE 4 PROCESSEURS PHYSIQUES ). LA VERSION ENTREPRISE QUI DEVRAIT BNFICIER DE FONCTIONNALIT TENDUE N 'A PAS ENCORE T COMMERCIALISE MAIS EST DJ MENTIONNE SUR LE SITE AMRICAIN . EN CE QUI
CONCERNE LA RESTRICTION APPLIQUE AU NIVEAU DU NOMBRE DE PROCESSEUR, ELLE PREND UNIQUEMENT EN COMPTE LES PROCESSEURS PHYSIQUES . AINSI IL EST POSSIBLE D' UTILISER L 'DITION STANDARD DU SERVEUR ISA SUR UN SYSTME QUIP DE 4 PROCESSEURS BI - CORES SUPPORTANT L' HYPERTHREADING . LE SYSTME D' EXPLOITATION RECONNATRA SEIZE PROCESSEURS MAIS SEULEMENT 4 PROCESSEURS SERONT COMPT EN CE QUI CONCERNE LE LICENSING

. IL EST

IMPORTANT DE LE PRCISER CAR TOUS LES DITEURS DE LOGICIELS NE MNENT PAS LA MME POLITIQUE VIS - - VIS DES PROCESSEURS SUPPORTANT L 'HYPERTHREADING ET / OU LE MULTI- CORES.

LA VERSION STANDARD D 'ISA SERVER 2004 NE

COMPORTA AUCUNE RESTRICTION EN CE QUI CONCERNE LA M MOIRE VIVE. LES SEULES LIMITATIONS CE NIVEAU SERONT CELLES DU MAT RIEL ET DE L'OS (4GO SUR LA VERSION STANDARD DE WINDOWS SERVER 2003, 32GO SUR LA VERSION ENTREPRISE ET JUSQU' 512GO SUR LA VERSION 64 BITS DE WINDOWS SERVER 2003 DATACENTER EDITION ).

POUR ACQURIR ISA SERVER 2004 EN FRANCE, IL FAUT PASSER PAR LE BIAIS D' UN

REVENDEUR AGRE

MICROSOFT . LE

COT D 'UNE LICENCE STANDARD POUR ISA 2004 EST SEMBLABLE CELUI PRATIQU AU TATS - UNIS, SOIT ENVIRON 1499 EUROS . ON SE RETROUVE DONC DANS LA MME GAMME DE PRIX QUE POUR LA VERSION 2000...

1.5 VALUER ISA SERVER 2004 GRATUITEMENT CONFORM MENT LA POLITIQUE MENE PAR MICROSOFT DEPUIS QUELQUES ANNES, UNE VERSION COMPLTE D'ISA SERVER 2004 LIMITE 120 JOURS EST DISPONIBLE GRATUITEMENT SUR LE SITE DE MICROSOFT . VOUS DEVEZ POSSDER UN COMPTE PASSPORT .NET ACCDER LA PAGE DE TLCHARGE MENT . LE FICHIER , D 'UNE TAILLE DE 46,8 MO EST DISPONIBLE ICI EN VERSION FRANAISE . 2. INSTALLATION ET CONFIGURATION INITIALE 2.1 INSTALLATION DU LOGICIEL

CONTRAIREMENT LA VERSION 2000 QUI PROPOSAIT 3 MODES D' INSTALLATION DIFFRENTS ( MODE CACHE, MODE PARE-FEU ET MODE INTGR ), ISA SERVER 2004 NE PROPOSE QU' UN SEUL MODE D 'INSTALLATION. DORNAVANT
L 'ACTIVATION OU NON DE LA MISE EN CACHE SE PARAMTRE DANS LA CONSOLE DE GESTION ISA ET N 'EST PLUS TRIBUTAIRE DU MODE D' INSTALLATION CHOISI AU DPART .

APRS L 'INSERTION DU CD-ROM D 'INSTALLATION , LE MENU CI- CONTRE APPARAT . IL PERMETD'INSTALLER ISA SERVER 2004 OU BIEN DE METTRE JOUR UN SERVEUR ISA 2000. POUR RALISEZ LA MIGRATION D 'ISA 2000 VERS ISA SERVER 2004, LE SERVICE PACK 1 POUR ISA 2000 DOIT TRE INSTALL AU PRALABLE. L'INSTALLATION NE PRSENTANT AUCUNES DIFFICULTS ( CHOIX DES COMPOSANTS INSTALLER , DFINITION DE LA TABLE D 'ADRESSES LOCALES , ACTIVATION DE LA PRISE EN CHARGE DES CLIENTS PARE- FEU UTILISANT L 'ANCIENNE VERSION DU CLIENT ...) ELLE NE SERA PAS DTAILLE DANS CETTE PAGE . CEPENDANT SI VOUS SOUHAITEZ
VRAIMENT CONNATRE TOUS LES DTAILS DU PROCESSUS D 'INSTALLATION VOUS POUVEZ TOUT DE MME CONSULTER CETTE PAGE .

UNE FOIS L 'INSTALLATION TERMINE, SIX NOUVEAUX SERVICES SONT INSTALLS ET DOIVENT
TRE DMARRS POUR QUE LE SERVEUR FONCTIONNE CORRECTEMENT . QUATRE DE CES SERVICES CONCERNENT DIRECTEMENT

ISA SERVER :

SERVICE EST LE SERVICE PRINCIPAL D 'ISA 2004. IL SE RVLE TRS UTILE POUR ARRTER / DMARRER LE SERVICE PARE- FEU ET LE SERVICE PLANIFICATEUR DE TCHES MICROSOFT ISA SERVER EN UNE SEULE OPRATION . PARE -FEU MICROSOFT : CE SERVICE EST LE PLUS IMPORTANT , IL GRE TOUTES LES CONNEXIONS FAITES AU SERVEUR , LES RGLES DU PARE- FEU, LES RGLES DE MISE EN CACHE , ... S' IL N 'EST PAS DMARR , AUCUNE DES FONCTIONNALIT DU SERVEUR N'EST ASSURE ( MISE EN CACHE, PARE FEU ET SERVEUR VPN). y PLANIFICATEUR DE TCHES MICROSOFT ISA SERVER : CE SERVICE PERMET DE PLANIFIER DES RAPPORTS SUR L 'ACTIVIT DU SERVEUR . ESPACE DE STOCKAGE MICROSOFT ISA SERVER : CE SERVICE GRE NOTAMMENT LE SYSTME DE SURVEILLANCE INTGR ISA SERVER ET L ' ESPACE MMOIRE NCESSAIRE LA MISE EN CACHE

CONTRLE DE MICROSOFT ISA SERVER : CE

LES DEUX AUTRES SERVICES CORRESPONDENT AU MOTEUR DE SQL SERVER 2000. EN EFFET , MSDE 2000 VERSION A ( POUR MICROSOFT SQL SERVER DESKTOP ENGINE) EST UTILIS AFIN DE STOCKER LES DONNES (NOTAMMENT LES DONNES DES JOURNAUX ET DES RAPPORTS) :

y MSSQL$MSFW MSSQLSERVER ADHELPER

A L ' ISSU DU PROCESSUS D' INSTALLATION, IL

EST

CONSEILL DE CONSULTER LES TROIS FICHIERS JOURNAUX GNRS DANS LE RPERTOIRE

%WINDIR%\TEMP:
CONTIENT UN

y y

LE FICHIER LE FICHIER

ISAWRAP_XXX ISAMSDE_XXX

RSU M DU PROCESSUS D 'INSTALLATION . CONTIENT DES INFORMATION DTAILLES CONCERNANT L 'INSTALLATION DU MOTEUR DE BASE DE DONNES

MSDE.

LE FICHIER ISAFWSV_XXX CONTIENT DES INFORMATIONS DTAILLES CONCERNANT L 'INSTALLATION D 'ISA S ERVER .

2.2 UNE INTERFACE ENTIREMENT TOUT

COMME POUR LA VERSION

REPENSE

2000, ON UTILISE UNE CONSOLE MMC (MICROSOFT MANAGEMENT CONSOLE) POUR

GRER LE SERVEUR ISA. CEPENDANT , ISA SERVER 2004 A FAIT L OBJET D UNE REFONTE TOTALE AU NIVEAU GRAPHIQUE . OUTRE LE NOUVEL ASPECT BIEN PLUS ESTHTIQUE GRCE SES FORMES ARRONDIES, CETTE CONSOLE NOUVELLE GNRATION

APPORTE

UN REL PLUS EN TERME D ' ERGONO MI E PAR RAPPORT L' ANCIENNE CONSOLE QUI POSSDE UNE LOURDE INTERFACE COMPOSE D UNE ARBORESCENCE COMPLIQUE ET DE MENU MAL CONUS .

LA CONSOLE DE GESTION ISA VERSION 2000 COMME

VOUS POUVEZ VOUS EN RENDRE CO MPTE LE NOUVEL UTILITAIRE DE CONFIGURATION CONSERVE UN SYSTME AVEC DEUX FENTRES . C EPENDANT , LA FENTRE DE GAUCHE PRSENTE DORNAVANT UNE ARBORESCENCE BIEN PLUS SIMPLISTE COMPOSE DE

4 MENUS PRINCIPAUX :

CONFIGURATION (COMPOSE DE 4 SOUS

y SURVEILLANCE STRATGIE DE PARE- FEU y RSEAUX PRIVS VIRTUELS (VPN) MENUS : R SEAUX, CACHE , ADD- INS ET GNRAL ) y
UN SYSTME D ONGLETS TRS BIEN PENS .

LES AUTRES OPTIONS DE CONFIGURATION SONT ENSUITE

ACCESSIBLES PAR LE BIAIS DE LA FENTRE DE DROITE GRCE

LA CONSOLE DE GESTION ISA VERSION 2004

2.3 L ASSISTANT LUNE DES PRINCIPALES AMLIORATIONS AU

MODLE RSEAU

NIVEAU DE L' INTERFACE CONCERNE LA CONFIGURATION DU

NAT ET / OU

ROUTAGE ENTRE LES DIFFRENTS RSEAUX CONNECTS AU SERVEUR ISA. EN EFFET , UN ASSISTANT TRS EFFICACE EST DSORMAIS DISPONIBLE POUR METTRE EN PLACE SANS EFFORTS ADMINISTRATIFS LES TOPOLOGIES RSEAU CLASSIQUEMENT UTILISES SUR UN PARE - FEU . IL SUFFIT DE LANCER L ASSISTANT ET EN 3 CLICS DE SOURIS , LES RGLES QUI PERMETTENT LA COMMUNICATION ENTRE LES DIFFRENTS RSEAUX RELIS AU SERVEUR SONT AUTOMATIQUEMENT PARAMTRES . CINQ CONFIGURATIONS SONT PRDFINIES :

PARE-FEU DE

PRIMTRE

DANS CETTE CONFIGURATION, LE SERVEUR ISA EST UN HTE BASTION,

C EST - - DIRE UN PARE - FEU INTERCONNECTANT UN RSEAU PRIV UN RSEAU PUBLIC . C EST LE SCNARIO CLASSIQUE EN ENTREPRISE LORSQUE L ON SOUHAITE FILTRER L ACCS INTERNET .

PRI MTRE EN TROIS PARTIES LE SERVEUR ISA POSSDE

TROIS

INTERFACES CHACUNE CONNECTE UN SOUS RSEAU OU UN RSEAU

DIFFRENT : LA PREMIRE EST CONNECTE AU

RSEAU INTERNE DE L ENTREPRISE - LA SECONDE UN RSEAU PRIPHRIQUE ENCORE APPEL ZONE DMILITARISE OU DMZ (DEMILITARIZED ZONE)

LA DERNIRE UN RSEAU PUBLIC

COMME INTERNET .

y
DANS

PARE-FEU AVANT ISA

CE SCNARIO , LE SERVEUR

EST CONFIGUR POUR TRE LE PREMIER PARE - FEU D UN RSEAU QUIP DE DEUX PARE - FEU MIS DOS - DOS . LE SERVEUR ISA EST L ORDINATEUR QUI FILTRE LES INFORMATIONS CIRCULANT ENTRE LE RSEAU PRIPHRIQUE (DMZ) ET LE RSEAU PUBLIC ( EX.

: INTERNET ).

y
DANS

PARE-FEU ARRIRE

CE SCNARIO , LE SERVEUR ISA EST CONFIGUR POUR TRE LE

SECOND PARE - FEU D UN RSEAU QUIP DE PARE - FEU DOS - - DOS . LE SERVEUR

ISA EST LORDINATEUR QUI

FILTRE LES INFORMATIONS CIRCULANT ENTRE LE RSEAU INTERNE DE L ENTREPRISE ET LE RSEAU PRIPHRIQUE (DMZ).

CARTE RSEAU UNIQUE

DANS CETTE CONFIGURATION , ISA SERVER 2004 EST PARAMTR POUR

ASSURER UNIQUEMENT LA FONCTION

PROXY). IL FONCTIONNE

DE MISE EN CACHE ( SERVEUR DE SUR LE MME

RSEAU QUE LE RSEAU INTERNE ET NE PEUT FAIRE NI ROUTAGE , NI SERVEUR VPN, NI PARE - FEU.

BIEN ENTENDU L ADMINISTRATEUR DU SERVEUR

A TOUJOURS LA POSSIBILIT DE CRER CES RGLES RSEAUX ET IL PEUT AUSSI DITER MANUELLEMENT TOUTE LA CONFIGURATION . C EPENDANT , L ASSISTANT A LE MRITE DE DBARRASSER L ADMINISTRATEUR DE CETTE TCHE SUPPLMENTAIRE CE QUI LUI PERMET DE SE CONCENTRER SUR LES AUTRES PARAMTRES DU SERVEUR DDIS EUX LA SCURIT ( MISE EN PLACE DE RGLES , D ALERTES ET DE FILTRES).

ON PEUT

GALEMENT NOTER QU UNE CONFIGURATION RSEAU PEUT TRE SAUVEGARDE AU FORMAT XML CE QUI PERMET DE POUVOIR LA RESTAURER TRS RAPIDEMENT . LA POSSIBILIT DE POUVOIR IMPORTER/ EXPORTER UNE CONFIGURATION EST D 'AILLEURS DISPONIBLE POUR TOUS LES TYPES DE PARAMTRES DU SERVEUR

(ENSEMBLE DE RSEAUX, RGLES DE RSEAUX, RGLES DE CHANAGE WEB, STRATGIES DE PARE - FEU, CONFIGURATION DES
CLIENTS VPN, RGLES DE CACHE , FILTRES ,... ). ON PEUT SUPPOSER QUE CETTE POSSIBILIT S ' TENDRA TOUS LES FUTURS PRODUITS MICROSOFT .

POUR ACCDER L ONGLET CI -CONTRE, IL SUFFIT DE DVELOPPER L ARBORESCENCE ET D ALLER DANSCONFIGURATION / NETWORKS .

2.4 CHANAGE DE PARE-FEU ET LE CHANAGE CONSISTE RACCORDER PLUSIEURS SERVEURS ISA ENTRES EUX

CHANAGE WEB

AFIN D' OPTIMISER AU MAXIMU M

L 'UTILISATION DE LA BANDE PASSANTE RSEAU . C ETTE FONCTIONNALIT PEUT SE RVLER TRS UTILE DANS LE CAS D 'UNE ENTREPRISE POSSDANT UN SITE PRINCIPAL ET PLUSIEURS SITES DISTANTS . I L EXISTE DEUX TYPES DE CHANAGE SOUS ISA SERVER 2004 : LE CHANAGE WEB QUI S 'APPLIQUE UNIQUE MENT AUX CLIENTS DU

y y

PROXY WEB

LE CHANAGE DE PARE- FEU QUI S 'APPLIQUE UNIQUEMENT AUX CLIENTS

SECURE NAT ET

AUX CLIENTS PARE - FEU

CONSIDRONS UNE ENTREPRISE POSSDANT UN SITE PRINCIPAL ET DEUX SITES DISTANTS. ADMETTONS QUE LE SITE PRINCIPAL REGROUPENT ENVIRON 2500 MACHINES ALORS QUE LES SUCCURSALES EN REGROUPENT 50 CHACUNE . TOUTES
LES MACHINES CLIENTES SONT CONFIGURES EN TANT QUE CLIENTS DU PROXY WEB . CHAQUE SUCCURSALE CONTIENT UN SERVEUR ISA FONCTIONNANT EN TANT QUE SERVEUR DE PROXY . DANS CE CAS , IL EST POSSIBLE D 'ACCLRER GRANDEMENT LES PERFOR MANCES DE LA NAVIGATION WEB DANS LES SITES DISTANTS DE LA MANIRE SUIVANTE : UTILISER LA CONNEXION INTERNET LOCALE POUR LES REQUTES REDIRIGER TOUTES LES AUTRES REQUTES VERS LE SERVEURS

y y

HTTP DESTINES DES SITES WEB FRANAIS (C 'EST -DIRE DES SITES APPARTENANT AU DOMAINE DNS *. FR) ISA DU SITE PRINCIPAL AFIN DE BNFICIER DU FICHIER DE
APPARTENANT AU SITE PRINCIPAL .

CACHE DE CE SERVEUR QUI DOIT TRE PLUS CONSQUENT ET PLUS JOUR TANT DONN LE NOMBRE DE CLIENTS

LE CHANAGE DE SERVEURS

ISA

LE CHANAGE WEB ROUTE ( OU REDIRIGE) LES DEMANDES DES CLIENTS DU PROXY WEB VERS LA CONNEXION INTERNET LOCALE, UN AUTRE SERVEUR DE PROXY SITU EN AMONT OU BIEN DIRECTEMENT VERS UN SERVEUR HTTP. ISA SERVER 2004 PERMET DE DFINIR DES RGLES DE CHANAGE WEBTRS FLEXIBLE AFIN D' OPTIMISER AU MAXIMUM LES PERFORMANCES DE LA NAVIGATION ET LA CHARGE RSEAU. ON PEUT PAR EXEMPLE REDIRIGER LES REQUTES
DESTINATION D' UNE

URL OU D' UN ENSEMBLE D 'URL DONN VERS UN SERVEUR DE PROXY SPCIFIQUE.

LE CHANAGE DE PARE-FEU REDIRIGE LES DEMANDES DES CLIENTS SECURENAT ET DES CLIENTS PARE-FEU VERS LA CONNEXION I NTERNET LOCALE OU VERS UN AUTRE SERVEUR ISA SITU EN AMONT . IL N ' EST PAS POSSIBLE DE DFINIR DE
RGLES PRCISES EN CE QUI CONCERNE LE CHANAGE DE PARE - FEU .

3. PARAMTRAGE DU PARE- FEU 3.1 INTRODUCTION NOUS

ALLONS MAINTENANT VOIR COMMENT PARAMTRER LE PARE - FEU DU SERVEUR

2000,

LES OPTIONS DU PARE - FEU ONT T PROFONDMENT REVUES .

ISA. EN EFFET , DEPUIS LA VERSION VOICI UN RAPPEL DES NOUVEAUTS :

INTERFACE ET

MTHODE DE CRATION DES RGLES D 'ACCS AMLIORES

MODIFICATION DE L ORDRE D APPLICATION DES RGLES y STRATGIE SYSTME y REMANIEMENT DES FILTRES D'APPLICATION

3.2 LES LMENTS DE STRATGIE A L INSTAR D ISA 2000, ON UTILISE DES

LMENTS DE STRATGIE

DFINIS PRALABLEMENT AFIN DE SIMPLIFIER ET DE STRUCTURER LA CRATION DE RGLES D 'ACCS POUR LE PARE - FEU MAIS AUSSI POUR LA CRATION DE TOUS LES AUTRES TYPES DE RGLES EXISTANTES (RGLES DE MISE EN CACHE , RGLES DE STRATGIE SYSTME,...) COMME NOUS LE VERRONS ULTRIEUREMENT . LES DIFFRENTS TYPES D LMENTS SONT

y y y y

PROTOCOLES UTILISATEURS

TYPES DE CONTENUS PLANIFICATIONS y OBJETS DE RSEAU

UN

CERTAIN NOMBRE D LMENTS EXISTENT PAR DFAUT CE QUI VITE L ADMINISTRATEUR DE DEVOIR TOUS LES RE DFINIR. ON PEUT CRER ET VISIONNER LES LMENTS DE STRATGIE DANS L ONGLE BOTE OUTILS SITUE DANS LE MENU DE LA FENTRE DE DROITE ( CE MENU S AFFICHE SI L ON SLECTIONNESTRATGIE DE PARE - FEU DANS L ARBORESCENCE).

PAR DFAUT

LE NOMBRE DE PROTOCOLES PRFINIS EST

IMPRESSIONNANT . ILS SONT CLASSS PAR GROUPE CE QUI FACILITE GRANDEMENT LES RECHERCHES. AINSI SI L 'ON SOUHAITE PARAMTRER UNE RGLE POUR AUTORISER OU REFUSER L 'ACCS AUX PAGES WEB IL FAUDRA ALLER CHERCHER DANS LE CONTENEUR WEB QUI CONTIENT NOTAMMENT LES PROTOCOLES HTTP ET HTTPS.

CETTE

CLASSIFICATION SE RVLE TRS UTILE L ' USAGE.

EN EFFET ,

CELA VITE DE DEVOIR FAIRE DES RECHERCHES SUR I NTERNET LORSQU ' ON NE CONNAT PAS LE NUMRO DE PORT ET / OU LES PLAGES DE PORTS UTILISES PAR UNE APPLICATION DONNE . ON PEUT CITER QUELQUES DOSSIERS INTRESSANTS

VPN ET IPSEC

QUI PERMET D 'AUTORISER L 'ACCS

VPN (IKE, IPSEC , L2TP, PPTP,...)

TERMINAL DISTANT DONNE ACCS AUX PRINCIPAUX PROTOCOLES D 'ADMINISTRATION DISTANCE (RDP, TELNET , SSH,...) MESSAGERIE INSTANTANE QUI PERMET D'AUTORISER OU D ' INTERDIRE RAPIDEMENT L ' ACCS AUX PRINCIPALES APPLICATIONS (ICQ, AIM, MSN, IRC...)

BIEN ENTENDU ON PEUT RAJOUTER DES DFINITIONS DE PROTOCOLES LA LISTE PRSENTE AU DPART SI LE BESOIN S 'EN FAIT SENTIR .

L'ONGLET UTILISATEURS PERMET DE CRER DES GROUPES D' UTILISATEURS QUI SERONT UTILES LORS DE LA CRATION DES
RGLES DU PARE - FEU. LA GRANDE NOUVEAUT CE NIVEAU EST LA GESTION DES COMPTES CONTENUS SUR LES SERVEURS RADIUS OU SUR LES SERVEURS GRANT L'AUTHENTIFICATION VIA LE PROTOCOLE

SECUREID

EN PLUS DES COMPTES DE DOMAINE ACTIVE DIRECTORY.

UN CERTAIN NOMBRE
CONTENUS.

DE TYPES DE CONTENUS EXISTE PAR DFAUT , CE CITER DOCUMENTS WEB , IMAGES , AUDIO OU BIEN

QUI PERMET DE SIMPLIFIER LA CRATION DE RGLES SUR LES

ON PEUT

ENCORE VIDO. LES LMENTS DE STRATGIE TYPES DE CONTENUS SE RVLENT TRS UTILES POUR PERMETTRE DES UTILISATEURS DE SURFER TOUT EN LES EMPCHANT DE TLCHARGER CERTAINS FICHIERS ( COMME LES VIDOS PAR EXEMPLE ).

LES DEUX PLANIFICATIONS TYPES PRSENTES PAR DFAUT SONT SIMPLISTES ET DEVRONT TRE RETOUCHES AFIN DE CORRESPONDRE
AUX HORAIRES DE VOTRE ENTREPRISE . I L NE FAUDRA PAS HSITER ICI CRER PLUSIEURS AUTRES PLANIFICATIONS COMME PAUSE OU REPAS QUI PERMETTRONT DE PARAMTRER DES RGLES D ' ACCS SPCIFIQUES CERTAINS MOMENTS DE LA JOURNE .

LES OBJETS RSEAUX SONT TRS IMPORTANTS POUR LE PARAMTRAGE DES DIFFRENTES RGLES DU SERVEUR ISA. LES ENSEMBLES DE RSEAUX ET LES RSEAUX SONT CRES
AUTOMATIQUEMENT LORS DE LA SLECTION D' UN MODLE RSEAU . PAR EXEMPLE SI VOUS CHOISISSEZ LE MODLE PARE-FEU DE PRI MTRE LES RSEAUX I NTERNE,

EXTERNE, CLIENTS ISA.

ET C LIENTS VPN EN QUARANTAINE SERONT AJOUTS . LE RSEAU HTE LOCAL EST TOUJOURS PRSENT , IL REPRSENTE LE SERVEUR

VPN

LE "RSEAU"

CLIENTS VPN EN QUARANTAINE CONTIENT L 'ENSEMBLE DES CLIENTS VPN DONT LA CONNEXION A T REFUSE CAR LEURS

NIVEAUX DE SCURIT N 'TAIT PAS SATISFAISANT . C ETTE MISE EN QUARANTAINE DES CLIENTS " NON SCURISS " EST UNE NOUVEAUT DE LA VERSION 2004 D'ISA SERVER . N OUS ABORDERONS LA CONFIGURATION DE LA MISE EN QUARANTAINE DANS LE CHAPITRE DDI AU SERVEUR VPN.

UNE AUTRE CATGORIE D 'OBJET

DE RSEAU INTRESSANTE EST LA

POSSIBILIT DE CRER DES ENSE MBLES D 'URL ET DES ENSEMBLES DE NOMS DE DOMAINES . C ELA VA PERMETTRE DE BLOQUER OU D 'AUTORISER CERTAINS SITES OU CERTAINES PAGES . SI LE NOMBRE DE SITES WEB AUQUEL VOS UTILISATEURS DOIVENT ACCDER EST FAIBLE, IL EST FORTEMENT RECOMMAND DE CRER UN LMENT DE STRATGIE NOMM SITES AUTORISS CE QUI PERMETTRA VOS UTILISATEURS D' ACCDER UNIQUE MENT CES SITES .

3.3 LA CRATION DES

RGLES DU PARE - FEU

PAR RAPPORT SA VERSION 2000, LA CRATION DES RGLES DU PARE-FEU A T MODIFIE. AINSI IL N Y A PLUS QU UN SEUL TYPE DE RGLES CONTRAIREMENT AUX TROIS TYPES DE RGLES ( RGLES DE PROTOCOLES , RGLES DE SITES ET DE

CONTENU ET FILTRES DE PAQUETS) DISA S ERVER

2000. VOICI LES INFORMATIONS RENTRER POUR PARAMTRER UNE RGLE TYPE . APPLICATIO N UTILISATEURS

ACTION

PROTOCOL E

SOURCE / DESTINATIO N - ENSEMBLE

DE SITE

CONDITIO N

-REFUSER AUTORISE R

ENSEMBLE DE

- ENSEMBLE
DE NOMS DE DOMAINE

-PLAGE
HORAIRE -TYPE DE CONTENU

PROTOCOLES - PORT PARTICULIER

GROUPES

PLAGE

PERSONNALIS

D ADRESSES IPS

CETTE

NOUVEAUT A LE MRITE DE SIMPLIFIER LA CONFIGURATION ET LA COMPRHENSION CAR ON N A BEAUCOUP MOINS

DE RGLES PARAMTRER . P AR EXEMPLE POUR AUTORISER L ACCS I NTERNET AVEC ISA S ERVER 2000 IL FAUT CRER DEUX RGLES ( UNE RGLE DE SITE ET DE CONTENU POUR AUTORISER L ACCS VERS TELLE OU TELLE DESTINATION ET UNE RGLE DE PROTOCOLES POUR AUTORISER LES PROTOCOLES HTTP ET HTTPS) ALORS QUISA SERVER 2004 NE NCESSITE QU UNE SEULE RGLE POUR ARRIVER AU MME RSULTAT .

LONGLET

TCHES CONTIENT L ENSEMBLE DES ACTIONS RALISABLES POUR PARAMTRER LE PARE - FEU. ON Y RETROUVE LES POSSIBILITS S APPLIQUANT AUX RGLES D ' ACCS ( CRATION, DITION , DSACTIVATION , SUPPRESSION ), MAIS AUSSI TOUS LES TYPES DE PUBLICATION ( PUBLICATION D UN SERVEUR WEB , PUBLICATION D UN SERVEUR WEB SCURIS , PUBLICATION D UN SERVEUR DE MESSAGERIE , PUBLICATION DE SERVEUR).

ON PEUT DE PLUS AFFICHER , MODIFIER , IMPORTER ET EXPORTER LES RGLES DE LA STRATGIE SYSTME . C ES RGLES SONT DFINIES PAR
AUTOMATIQUEMENT ET S'APPLIQUENT SPCIFIQUEMENT AU SERVEUR ISA QUI CORRESPOND AU "RSEAU" HTE LOCAL . CES RGLES PERMETTENT PAR EXEMPLE AU SERVEUR ISA DE JOINDRE UN SERVEUR DHCP OU UN CONTRLEUR DE DOMAINE. LES RGLES DE STRATGIE SYSTME SONT DONC ESSENTIELLES AU BON FONCTIONNEMENT DU SERVEUR ISA.

LE LIEN DFINIR LES PRFRENCES D'IP PERMET QUAND LUI D 'ACTIVER LE ROUTAGE IP ET DE PARAMTRERLE FILTRE D 'OPTIONS IP. LE FILTRE D 'OPTIONS IP PERMET D'AUTORISER OU DE REFUSER LES PAQUETS POSSDANT DES OPTIONS SPCIFIQUES . TOUTES LES OPRATIONS D' IMPORTATION ET D 'EXPORTATION UTILISENT LE FORMAT XML. DES
EXEMPLES DE CRATION DE RGLES D' ACCS SONT PRSENTS DANS LA PARTIE DDIE CET EFFET .

3.4 ORDRE D ' APPLICATION DES AVEC ISA SERVER 2000, LORSQU UNE

RGLES

REQUTE ARRIVE AU PARE - FEU , UNE PROCDURE SPCIFIQUE POUR AUTORISER OU REFUSER LE PASSAGE DE LA REQUTE EST RALISE :

2.

1. VRIFICATION DE LEXISTENCE D UNE RGLE DE SITE ET DE CONTENU QUI REFUSE LA REQUTE VRIFICATION DE L EXISTENCE D UNE RGLE DE SITE ET DE CONTENU QUI AUTORISE EXPLICITEMENT LA REQUTE 3. VRIFICATION DE LEXISTENCE D UNE DE PROTOCOLE QUI REFUSE LA REQUTE

4.

VRIFICATION DE LEXISTENCE D UNE DE PROTOCOLE QUI AUTORISE EXPLICITEMENT LA REQUTE 5. VRIFICATION DE LAPPLICATION D UN VENTUEL FILTRE DE PAQUET

AVEC LA NOUVELLE VERSION , CETTE PROCDURE COMPLEXE EST REMPLACE PAR UN AUTRE SYSTME. DORNAVANT , CHAQUE RGLE POSSDE UN NUMRO ET LORSQU UNE REQUTE ARRIVE AU SERVEUR, C EST LA RGLE QUI A LE NUMRO LE PLUS FAIBLE QUI S APPLIQUE . CE SYSTME A LE MRITE D TRE BEAUCOUP PLUS SI MPLE COMPRENDRE QUE L ANCIEN
EXEMPLE DE RGLES QUE L ON PEUT

RGLE SPCIFIQUE NE PORTANT PAS DE NUMRO ET NOTE

POUVEZ LE VOIR SUR LA CAPTURE D CRAN CI - DESSUS, CETTE RGLE BLOQUE TOUS LES PROTOCOLES DE TOUTES LES SOURCES VERS TOUTES LES DESTINATIONS . ELLE EST TOUJOURS SITUE LA FIN ET POSSDE DONC LA PRIORIT LA PLUS BASSE .

3.5 LES RGLES DE STRATGIE LA

STRATGIE SYSTME EST UN ENSEMBLE DE RGLES QUI PERMETTENT AU SERVEUR

ISA DE

SERVICES RSEAU FRQUEMMENT UTILISS . AU PREMIER ABORD , ON POURRAIT CONSIDRER CES RGLES DE STRATGIE SYSTME COMME UN TROU DE SCURIT. CEPENDANT LA PLUPART DE CES RGLES AUTORISENT JUSTE LA COMMUNICATION ENTRE L 'HTE LOCAL ET LE RSEAU INTERNE. EN AUCUN CAS , UN UTILISATEUR EXTERNE NE PEUT ACCDER AU SERVEUR ISA OU BIEN AU RSEAU DE L 'ENTREPRISE VIA L 'UNE DE CES RGLES. LE BUT DE MICROSOFT AVEC LA STRATGIE SYSTME EST DE TROUVER UN BON COMPRO MIS ENTRE CONNECTIVIT ET SCURIT .

SI

LA STRATGIE SYSTME N 'EXISTAIT PAS , LE SERVEUR

ISA NE POURRAIT

COMMUNIQUER AVEC AUCUNE AUTRE MACHINE .

CECI

EMPCHERAIT NOTAMMENT LE SERVEUR

ISA DE RALISER

 
LE SCNARIO DE L 'INSTALLATION DISTANCE

OUVRIR UNE SESSION SUR LE DOMAINE

RCUPRER UN BAIL

RSOUDRE LES NOMS DE DOMAINES PLEINEMENT QUALIFI EN ADRESSE

VIA UNE SESSION

TERMINAL SERVER

PERMET DE BIEN SE RENDRE COMPTE

DE L 'UTILIT DE LA STRATGIE SYSTME DU POINT DE VU ADMINISTRATIF . EN EFFET , SI LA STRATGIE SYSTME N'EXISTAIT PAS , VOUS POURRIEZ INSTALLER ISA 2004 SUR UNE MACHINE DISTANTE , MAIS DS LE LANCEMENT DU SERVICE PARE FEU, LA SESSION T ERMINAL SERVER SERAIT IMMDI ATEMENT DCONNECTE CAR LE PROTOCOLE RDP SERAIT BLOQU . CELA OBLIGERAIT ENSUITE L ' ADMINISTRATEUR A SE DPLACER SUR LE SITE DISTANT POUR CRER UNE RGLE D 'ACCS AUTORISANT LE PROTOCOLE RDP CE QUI PEUT S'AVRER CONTRAIGNANT SI LE SITE DISTANT EST SITU 6000 KILOMTRES

ON NOTE LA PRSENCE D UNE

: DERNIER . COMME VOUS

JOINDRE CERTAINS

LES ACTIONS SUIVANTES

ET IL EST D AILLEURS REPRIS EN CE QUI CONCERNE L ENSE MBLE DES RGLES QUE L ON PEUT CRER AVEC 2004 (RGLES DE TRANSLATION DADRESSE ET DE ROUTAGE, RGLES DE PARE-FEU, RGLES DE CACHE,

ISA SERVER ). VOICI UN PARAMTRER :

SYSTME

DHCP IP  ETC .

EXTRAIT DES RGLES DE STRATGIE SYSTME

BIEN ENTENDU , LES RGLES DE STRATGIE SYSTME INUTILES DOIVENT TRE DSACTIVES AFIN DE RDUIRE LA SURFACE D 'ATTAQUE . POUR CE FAIRE , UN ASSISTANT SPCIFIQUE NOMM DITEUR DE STRATGIE SYSTME EST DISPONIBLE . IL PERMET DE DSACTIVER TOUTES LES RGLES DE STRATGIE SYSTME , MAIS AUSSI DE LES CONFIGURER .

L'DITEUR DE STRATGIE SYSTME

EST ACCESSIBLE PARTIR DE L 'ONGLET

TCHES

3.6 LE FILTRAGE APPLICATIF CETTE

NOUVELLE VERSION D 'ISA

SERVER

MET L 'ACCENT SUR LES FILTRES D'APPLICATION QUI SONT MAINTENANT PLUS

NOMBREUX ET QUI POSSDENT DES FONCTIONNALITS AVANCES . C ONTRAIREMENT AUX FILTRES DE PAQUETS QUI ANALYSENT UNIQUEMENT L 'EN -TTE DES PAQUETS IP POUR SAVOIR SI LE PAQUET DOIT TRE BLOQU OU NON , LES FILTRES D' APPLICATION ANALYSENT AUSSI LE CORPS DU PAQUET .

LES FILTRES D 'APPLICATION SONT AU NOMBRE DE 12.

EXEMPLE DE FILTRES D 'APPLICATION

POUR ACTIVER OU DSACTIVER DES

FILTRES D ' APPLICATION, IL FAUT

UTILISER LA FENTRE PRSENTE CI - DESSUS ( CETTE FENTRE EST SITUE DANS LE MENU CONFIGURATION / ADD- INS DE L 'ARBORESCENCE). P AR DFAUT TOUS LES FILTRES D 'APPLICATION SONT ACTIVS AFIN DE PROCURER UNE SCURIT MAXI MALE. LES FILTRES INUTILISS PEUVENT TRE DSACTIVS AFIN DE NE PAS FAIRE CHUTER LES PERFORMANCES SUR UNE MACHINE PEU PUISSANTE .

3.7 CONCLUSION VOICI LES POINTS ESSENTIELS RETENIR POUR CRER DES RGLES D 'ACCS SOUS ISA SERVER 2004 :

y y

LA CRATION DES DES

RGLES D ' ACCS FAIT APPEL DES LMENTS DE STRATGIE CHAQUE RGLE EST APPLIQUE DANS UN ORDRE BIEN PRCIS FILTRES SPCIFIQUES PEUVENT TRE APPLIQUS SUR LES RGLES D 'ACCS CERTAINES RGLES SONT PRSENTENT PAR DFAUT ( STRATGIE SYSTME)

4. EXEMPLES

DE CONFIGURATION

4.1 INTRODUCTION CE CHAPITRE A POUR BUT DE PRSENTER LA CONFIGURATION DE CERTAINES RGLES SOUVENT MISES EN PLACE (ACCS INTERNET , AUTORISATION/INTERDICTION DE MSN MESSENGER , ...). CHAQUE SOUS PARTIE SE CONSACRE UN EXEMPLE EN PARTICULIER . 4.2 AUTORISER L' ACCS INTERNET
POUR LES CLIENTS DU RSEAU INTERNE

NOUS ALLONS MAINTENANT CRER UNE RGLE AUTORISANT L 'ACCS INTERNET (C 'EST --DIRE AU RSEAU EXTERNE DANS CET EXEMPLE ) POUR TOUS LES CLIENTS PARE - FEU DU RSEAU INTERNE VIA LE PORTS 21, 80, 443 ET 1863 ( LE PORT
UTILIS PAR

MSN MESSENGER POUR LA CONNEXION ET L ' CHANGE DE

MESSAGES).

IL FAUT

COMMENCER PAR DONNER LE NOM LE PLUS EXPLICITE POSSIBLE LA RGLE QUE L 'ON SOUHAITE CRER. ON DOIT ENSUITE SLECTIONNER L ' ACTION A EFFECTUER ( AUTORISER OU REFUSER). SI L' ON SLECTIONNE REFUSER , LA POSSIBILIT DE REDIRIGER LA REQUTE VERS UNE PAGE WEB EST OFFERTE ( CELA PERMET DE FAIRE COMPRENDRE

L 'UTILISATEUR QUE LA PAGE A T BLOQUE INTENTIONNELLEMENT PAR LE PARE - FEU ET QUE CE N' EST DONC PAS UN PROBLME TECHNIQUE ). I L FAUT CHOISIR LE OU LES PORTS DE DESTINATION POUR LE ( S ) QUEL ( S ) LA RGLE VA S ' APPLIQUER. DANS NOTRE EXE MPLE , TOUS LES PROTOCOLES SONT PRDFINS ( CE SONT DES LMENTS DE STRATGIE PRSENT PAR DFAUT DANS LE SERVEUR ) ET IL SUFFIT JUSTE D 'AJOUTER LES PROTOCOLES NOMMS FTP, HTTP ET

HTTPS

L 'AIDE DU BOUTON ADQUAT . IL EST POSSIBLE DE DFINIR QUELS SONT LES PORTS SOURCES L' AIDE DU

BOUTON PORTS ... DANS NOTRE EXEMPLE NOUS LAISSONS L ' OPTION PAR DFAUT QUI AUTORISE TOUS LES PORTS SOURCES (AINSI LES CLIENTS POURRONT ACCDER DES SITES WEB ET DES SERVEURS FTP QUEL QUE SOIT LE LOGICIEL CLIENT UTILIS).

L'TAPE SUIVANTE CONSISTE

SPCIFIER LE RSEAU SOURCE ET LE RSEAU DE DESTINATION .

DANS

NOTRE EXE MPLE , LE

RSEAU SOURCE CORRESPOND I NTERNE ( LE RSEAU LOCAL DE L' ENTREPRISE ) ET LE RSEAU DE DESTINATION CORRESPOND E XTERNE (INTERNET ).

ENFIN ON SLECTIONNE LES ENSE MBLES D' UTILISATEURS POUR LESQUELS LA RGLE ENTRERA EN ACTION . DANS NOTRE CAS , LE GROUPE NO MM T OUS LES UTILISATEUR AUTHENTIFIS EST RETENU. CEPENDANT , TOUS LES GROUPES DE SCURIT DFINIS DANS LE SERVICE D 'ANNUAIRE ACTIVE DIRECTORY PEUVENT TRE UTILISER POUR CRER UNE RGLE PLUS FINE .

UNE FOIS L 'ASSISTANT TERMIN,

LA RGLE EST INOPRANTE .

POUR QUE QU ' ELLE ENTRE EN ACTION IL SUFFIT

DE CLIQUER

SUR LE BOUTON

APPLIQUER

QUI APPARAT AU MILIEU DE L 'INTERFACE DE LA CONSOLE DE GESTION

ISA.

ET

VOIL

! TOUS LES UTILISATEURS DE VOTRE RSEAU ONT

MAI NTENANT ACCS INTERNET , ET CE QUEL QUE SOIT LEUR

NAVIGATEUR (I NTERNET EXPLORER , SAFARI , FIREFOX , OPRA,...) OU BIEN LEUR CLIENT FTP (INTERNET EXPLORER , FILEZILLA,...). BIEN ENTENDU, CERTAINS PR-REQUIS DOIVENT TRE RESPECTSPOUR QUE TOUT FONCTIONNE CORRECTEMENT

y
LE

LES ORDINATEURS CLIENTS DOIVENT TRE CAPABLE DE

PARE - FEU PRSENT

DNS RSOLVANT LES NOMS DNS "PUBLIQUES" y LES ORDINATEURS CLIENT DOIVENT TRE CONFIGURS POUR JOINDRE LE SERVEUR ISA SUR LES ORDINATEURS CLIENT DOIT LUI AUSSI TRE CONFIGUR POUR AUTORISER L 'ACCS INTERNET
JOINDRE UN SERVEUR

4.3 INTERDIRE COMPLTEMENT L' ACCS MSN MESSENGER A L' INSTAR DE WINDOWS MESSENGER , MSN MESSENGER EST UNE APPLICATION DE MESSAGERIE INSTANTANE PERMETTANT D 'ACCROTRE GRANDEMENT LA PRODUCTIVIT DES UTILISATEURS ( CHAT , VIDOCONFRENCE ,
CHANGE DE FICHIERS AIS ,...). CEPENDANT L 'UTILISATION DE CE LOGICIEL EN ENTREPRISE PEUT ENTRANER QUELQUES DRIVES ... SI VOUS SOUHAITEZ EMPCHER CERTAINS UTILISATEURS DE L 'UTILISER , PLUSIEURS SOLUTIONS SONT ENVISAGEABLES

y y

CRER DEUX RGLE D ' ACCS INTERDISANT LA COMMUNICATION AVEC LE SERVEUR MESSENGER . HOT MAIL . COM

y
CONFIGURER LE FILTRE

CONFIGURER LES CLIENTS PARE - FEU POUR EMPCHER

HTTP

POUR BLOQUER L ' APPLICATION

MSN MESSENGER D ' ACCDER AU RSEAU MSN MESSENGER EN ANALYSANT LE PARAMTRE ADQUAT

NOUS

ALLONS TUDIER LES AVANTAGES ET LES INCONVNIENTS DE CHACUNE DE CES MTHODES .

1RE TANT
DONN QUE

MTHODE

MSN MESSENGER UTILISE PLUSIEURS PORTS

OU

PLAGE DE PORTS POUR METTRE EN OEUVRE SES DIFFRENTS SERVICES

(TEXTE, CHANGE DE FICHIER, SON ...). LA SOLUTION LA PLUS

SIMPLE

RESTE D 'INTERDIRE LE PORT TCP 1863 QUI EST UTILIS L ' CHANGE DE MESSAGES TEXTUELS MAIS SURTOUT POUR LA CONNEXION INITIALE . POUR CELA, IL N'EST PAS NCESSAIRE DE CRER UN LMENT DE STRATGIE , PUISQUE LE PROTOCOLE MSN MESSENGER EST PRDFINI DANS ISA 2004. IL SUFFIT DONC DE CRER UNE RGLE D' ACCS BLOQUANT LE PROTOCOLE MSN M ESSENGER ENTRE LE RSEAU INTERNE ET L RSEAU EXTERNE ET S 'APPLIQUANT AU BON GROUPE D ' UTILISATEURS.

CEPENDANT , UNE FOIS LA RGLE D'ACCS CORRECTEMENT CRE, TOUS LES UTILISATEURS PEUVENT ENCORE UTILISER MSN MESSENGER !!! LA CONNEXION EST UN PEU PLUS LENTE (ENVIRON 10 SECONDES D ' CART ), MAIS S'EFFECTUE TOUT DE MME , CE QUI PERMET DES UTILISATEURS NON AUTORIS DE " CHATTER". UNE BONNE MTHODE DANS UN CAS CO MME CELUI - CI , EST D 'UTILISER UN PROGRAMME POUR ANALYSER LES TRAMES ENVOYES PAR LE LOGICIEL MSN MESSENGER AFIN DE MIEUX COMPRENDRE SON FONCTIONNEMENT . IL EXISTE POUR CELA DES OUTILS GRATUIT TEL QUE LE MONITEUR RSEAU MICROSOFT OU BIEN ENCORE ETHEREAL . V OICI LES RSULTATS D'UNE ANALYSE DE TRAMES LANCE AU MO MENT O L 'UTILISATEUR CLIQUE SUR LE BOUTON OUVRIR UNE SESSION ...

ON REMARQUE QUE LE LOGICIEL ( EXCUT SUR

UNE MACHINE DONT L ' ADRESSE

IP EST 10.1.0.2)

ESSAYE DE SE

CONNECTER AU SERVEUR 207.46.104.20( CETTE ADRESSE CORRESPOND AU FQDN MESSENGER. HOT MAIL . COM) EN UTILISANT LE PORT 1863 DU PROTOCOLE TCP. L'OPRATION EST RPTE TROIS FOIS CONSCUTIVES SI LE SERVEUR NE RPOND PAS I MMDIATEMENT . CE PORT TANT BLOQU AU NIVEAU DU PARE - FEU, LA DEMANDE N ' ABOUTIE JAMAIS . L' APPLICATION ESSAYE ENSUITE DANS UN SECOND TEMPS DE SE CONNECTER CE MME SERVEUR MAIS L 'AIDE DU PORT 80 QUI EST NORMALEMENT RSERV AU PROTOCOLE HTTP. CE PORT TANT OUVERT AU NIVEAU DU PARE- FEU AFIN DE PERMETTRE LA NAVIGATION WEB , L 'APPLICATION RUSSI A SE CONNECTER ET LA SESSION DE L 'UTILISATEUR PEUT ENSUITE S' OUVRIR .

CE PROBLME PEUT SE RSOUDRE L 'AIDE D' UNE RGLE D'ACCS INTERDISANT LA

COMMUNICATION ENTRE LES MACHINES DU RSEAU INTERNE ET LE SERVEUR MESSENGER . HOT MAIL. COM. POUR CELA IL FAUT CRER AU PRALABLE UN LMENT DE STRATGIE POINTANT VERS L' ADRESSE IP DU SERVEUR MESSENGER . HOT MAIL. COM OU BIEN DIRECTEMENT VERS LE NOM DE DOMAINE PLEINEMENT QUALIFI MESSENGER. HOT MAIL . COM.I L EST PLUS JUDICIEUX D 'INTERDIRE LE FQDN CAR M ME EN CAS DE MODIFICATION DE L' ADRESSE IP DU SERVEUR LA RGLE RESTERA VALIDE . LA FENTRE CI GAUCHE MONTRE LES PROPRITS D 'UN LMENT DE STRATGIE . IL SE NOMME SERVEUR MSN MESSENGER ET POINTE VERS L 'ADRESSE

IP 207.46.104.20.

UNE FOIS L' LMENT DE STRATGIE CORRECTEMENT CONFIGUR , IL SUFFIT DE CRER

UNE RGLEREFUSANT LES CONNEXIONS AU DOMAINE MESSENGER . HOT MAIL . COM ET S' APPLIQUANT AUX GROUPES APPROPRIS . BIEN ENTENDU , ON PEUT ALTRER LA RGLE PRCDE MMENT CRE POUR BLOQUER LE PORT

1863 EN AJOUTANT LE PROTOCOLE HTTP AU PROTOCOLE MSN MESSENGER ET EN PRCISANT QUE LA DESTINATION EST SERVEUR MSN MESSENGER. CETTE RGLE VA DONC EMPCHER LES PAQUETS IP EXPDIS PAR LE RSEAU INTERNE ET DESTINATION DU SERVEUR MESSENGER . HOT MAIL. COM D ' ATTEINDRE LEUR OBJECTIF QUEL QUE SOIT LE PORT UTILIS (1863 OU 80). CI - DESSOUS LES UTILISATEURS APPARTENANT AUX GROUPES C OMPTABILIT, PRODUCTION OU RECHERCHE NE PEUVENT PLUS SE CONNECTER L 'AIDE DU LOGICIEL MSN MESSENGER .

DANS L' EXEMPLE

CETTE

PREMIRE MTHODE EST CELLE QUI RPOND LE MIEUX LA PROBLMATIQUE CAR ELLE DEMANDE PEU DE RESSOURCES ET RESTE SIMPLE METTRE EN UVRE .

2 ME

MTHODE

LES CLIENTS PARE-FEU RCUPRENT CHAQUE DMARRAGE UNE LISTE DES LOGICIELS AUTORISS
OU NON ACCDER AU RSEAU ( LORSQU ' UN LOGICIEL N' EST PAS MENTIONN DANS CETTE LISTE IL PEUT TOUT DE M ME ACCDER AU RSEAU ). IL EST POSSIBLE DE BLOQUER

MSN MESSENGER PAR CE BIAIS .

IL SUFFIT D 'OUVRIR LA FENTRE PARAMTRE DU CLIENT DE PARE- FEUSITUE EN UTILISANT LE CONTENEUR G NRAL DE L ' ARBORESCENCE DE LA CONSOLE DE GESTION ISA. C ETTE FENTRE
MONTRE TOUTES LES APPLICATIONS POUR LESQUELLES L ' ACCS AU RSEAU A T CONFIGUR . POUR BLOQUER UNE APPLICATION, IL SUFFIT D 'AJOUTER UNE ENTRE CORRESPONDANTE AU NO M DU PROCESSUS LANC PAR CETTE APPLICATION ( SANS SON EXTENSION), PUIS DE DONNER LA VALEUR 1 AU PARAMTRE

DISABLE. DANS

NOTRE EXEMPLE LE PROCESSUS UTILIS PAR MSN MESSENGER

EST MSN MSGR. EXE . I L FAUT DONC CRER UNE ENTRE NOMME MSNMSGR .

UNE FOIS LA MODIFICATION APPLIQUE AU NIVEAU DU SERVEUR , IL FAUT PENSER RED MARRER LE SERVICE AGENT DU CLIENT DE PARE- FEU L 'AIDE
DES COMMANDES NET STOP FCWAGENT ET NET START FCWAGENT ( OU BIEN EN UTILISANT LA CONSOLE SERVICES ). DS QUE CETTE OPRATION EST EFFECTUE , LE PROGRAMME NE PEUT PLUS ACCDER AU RSEAU ET LA FENTRE CI - DESSOUS APPARAT :

CETTE

MTHODE EST TRS RAPIDE METTRE EN OEUVRE ET EST TRS EFFICACE .

CEPENDANT

ELLE POSSDE DEUX

INCONVNIENTS MAJEURS ELLE NE S ' APPLIQUE QU' AUX CLIENTS DE PARE - FEU ( ET PAS AUX CLIENTS

y y

SECURENAT ET

CLIENTS DU PROXY WEB )

ELLE NE PERMET PAS D ' INTERDIRE L 'UTILISATION DU LOGICIEL DES UTILISATEURS DONNS ( TOUS LES UTILISATEURS SERONT AFFECTS PAR L 'INTERDICTION D 'UTILISATION )

3 ME UNE DERNIRE
MTHODE CONSISTE UTILISER UN FILTRE WEB (LE FILTRE

MTHODE

HTTP EN L ' OCCURENCE). C'EST LE

PROCD LE PLUS OPTIMIS ET LE PLUS SURE, CEPENDANT , IL A LE GROS INCONVNIENT DE DEMANDER NOR M MENT DE RESSOURCES SYSTME AU SERVEUR ISA. EN EFFET , LORSQUE LE FILTRAGE WEB EST ACTIV , LE SERVEUR ISA ANALYSE L 'EN - TTE ET / OU LE CONTENU DE CHAQUE PAQUET IP PROVENANT DU RSEAU I NTERNE ET DESTINATION DU RSEAU EXTERNE . C'EST POURQUOI IL FAUT TENIR COMPTE DES CAPACIT MATRIELLES DU SERVEUR AVANT D 'ACTIVER CETTE OPTION.

LE THME DU FILTRAGE APPLICATIF ET DU FILTRAGE WEB TANT TROP VASTE, NOUS NE DTAILLERONS PAS ICI LA CONFIGURATION DU FILTRE HTTP. ELLE SERA ABORDE DANS UN PROCHAIN ARTICLE . FILTRE HTTP RGLE D 'ACCS CONFIGURATION DU CLIENT PARE - FEU

MTHODE UTILISE BESOIN EN RESSOURCES SUR LE SERVEUR

TRS FORT

FAIBLE

QUASI NUL

ISA
TYPE DE PARE - FEU PARE - FEU PARE - FEU

CLIENTS SUPPORTS POSSIBILIT D 'INTERDIRE L 'USAGE DU LOGICIEL UN GROUPE DONN

SECURENAT PROXY WEB

SECURE NAT PROXY WEB

OUI

OUI

NON

?
LONG ASSEZ LONG ( IL FAUT RELANCER LE SERVICE RAPIDE AGENT DU CLIENT DE PARE FEU SUR L 'ENSEMBLE DES CLIENTS )

RAPIDIT MISE EN PLACE

(DIFFICILE CONFIGURER ET TESTER )

AVANTAGES ET INCONVNIENTS DES

TROIS MTHODES

4.4 INTERDIRE L' ACCS UNE FOIS LE LOGICIELS MSN MESSENGER BLOQU, LES UTILISATEURS
PEUVENT TOUJOURS ACCDER CE SERVICE PAR LE BIAIS DE SA VERSION WEB. EN EFFET , LE SITE HTTP :// WEBMESSENGER . MSN . COM/ P ROPOSE UNE INTERFACE REPRENANT LA PLUPART DES SERVICES DE LA VERSION LOGICIELLE . I L PEUT DONC S' AVRER UTILE DE BLOQUER L 'ACCS CETTE URL EN COMPLMENT DE LA DSACTIVATION DE L 'APPLICATION . POUR CELA IL SUFFIT DE CRER UNE RGLE INTERDISANT LE TRAFIC ENTRE LE RSEAU INTERNE ET LE DOMAINE WEBMESSENGER . HOT MAIL. COM SUR LE PORT 80 EN TCP. BIEN ENTENDU, ON PEUT TOUT AUSSI BIEN BLOQUER L 'URLHTTP :// WEBSSENGER . MSN . COM O U BIEN DIRECTEMENT L ' ADRESSE IP ( CI CONTRE L' ENSEMBLE DE STRATGIE NOMM SITES DE CHAT PEUT TRE UTILIS POUR INTERDIRE L 'ACCS WEBMESSENGER . MSN . COM).

MSN WEB MESSENGER

4.5 CONCLUSION CERTAINES RGLES NE SONT

PAS VIDENTES CONFIGURER , IL FAUT PARFOIS UTILISER DES CONNEXIONS

SECONDAIRES OU DES LMENTS DE STRATGIE SUPPLMENTAIRE . C ERTAINS LOGICIELS DEVANT TRE AUTORISS OU INTERDIT SONT PARFOIS PAS OU PEU DOCUMENTS . UNE BONNE MTHODE PERMETTANT DE TROUVER LES INFORMATIONS MANQUANTES RESTE L 'UTILISATION D 'UN ANALYSEUR DE TRAMES COMME LE

MONITEUR RSEAU MICROSOFT OU BIEN ENCORE ETHEREAL .

CE CHAPITRE VA TRE

PROCHAINEMENT MODIFI AVEC L 'AJOUT DE NOUVEAUX EXEMPLES ( AUTORISER TOUTES LES FONCTION DE MSN MESSENGER , AUTORISER EMULE ,....) ET DE VIDOS EXPRESS .

5. IMPLMENTATION DE LA MISE EN CACHE 5.1 INTRODUCTION

A L' INSTAR DE LA VERSION 2000, ISA SERVER 2004 JOUE AUSSI LE RLE DE SERVEUR DE PROXY . TOUS LES PARAMTRES RELATIFS
LA MISE EN CACHE SE CONFIGURENT DANS UNE FENTRE SPCIFIQUE ACCESSIBLE VIA L'ARBORESCENCE PRINCIPALE (CONFIGURATION / CACHE).

5.2 CONFIGURATION DE LA MISE EN CACHE

UN ONGLET "TACHES"

RCAPITULE LES DIVERSES ACTIONS POSSIBLES

o ACTIVER /DSACTIVER LA MISE EN CACHE DFINIR LA TAILLE MAXIMALE QU' OCCUPERA LE FICHIER DE CACHE o
SUR CHAQUE PARTITION OU SUR CHAQUE VOLUME CRER DES RGLES DE CACHE EN UTILISANT LES LMENTS DE STRATGIE PRDFINIS

o IMPORTER/ EXPORTER LES RGLES DE CACHE ACTIVER / DSACTIVER ET PARAMTRER LA MISE EN CACHE ACTIVE

LES RGLES DE CACHE S' APPLIQUENT AVEC LE MME SYSTME QUE LES RGLES D 'ACCS ET QUE LES RGLES DE STRATGIE SYSTME . LA RGLE QUI POSSDE LE NUMRO LE PLUS FAIBLE SERA DONC TRAITE EN PRIORIT . IL EXISTE
UNE RGLE PAR DFAUT QUI MET EN CACHE TOUS LES TYPES D 'OBJETS HTTP ET FTP DEMANDS QUEL QUE SOIT LE RSEAU SOURCE . IL AUSSI POSSIBLE DE PLANIFIER LE TLCHARGE MENT DE CERTAINS CONTENUS DANS UN ONGLET SPCIFIQUE .

LES PARAMTRES DE LA

MISE EN CACHE RESTENT LES MME QUE SUR

ISA SERVER 2000 COMME LE

MONTRENT LES DEUX

CAPTURES D 'CRAN CI - DESSOUS

5.3 CONCLUSION SUR LE PLAN DE LA MISE EN CACHE, LA VERSION 2004 N' APPORTE DONC AUCUNES MODIFICATIONS PAR RAPPORT L 'ANCIENNE MOUTURE SI CE N 'EST L 'ORDRE D 'APPLICATION DES RGLES DE CACHE ET LA CENTRALISATION DE TOUS LES
PARAMTRES DE LA MISE EN CACHE DANS UNE MME FENTRE .

6. MISE EN PLACE D'UN SERVEUR VPN 6.1 INTRODUCTION AVEC ISA SERVER 2000, IL EST POSSIBLE DE METTRE EN PLACE UN SERVEUR VPN DIRECTEMENT DANS LA CONSOLE DE ISA. CEPENDANT CE MME SERVEUR DOIT TRE PARAMTR CO MME UN SERVEUR VPN CLASSIQUE C EST -DIRE DANS LA CONSOLE ROUTAGE ET ACCS DISTANT . AVEC L INTRODUCTION DISA SERVER 2004, ON DOIT RALISER L INTGRALIT DE LA CONFIGURATION DU SERVEUR VPN DANS LA CONSOLE DE GESTION ISA. COMME NOUS ALLONS LE VOIR DANS LA SUITE DE CE CHAPITRE, CETTE NOUVEAUT PERMET
UNE CONFIGURATION PLUS AISE ET SURTOUT BIEN PLUS SCURISE .

GESTION

6.2 UN PARAMTRAGE SIMPLIFI POUR COMMENCER, LA FENTRE DE PARAMTRAGE DES RSEAUX PRIVS VIRTUELS PEUT TRE ACCDE DIRECTEMENT PARTIR DE
L ARBORESCENCE DE LA CONSOLE DU SERVEUR

ISA.

CETTE FENTRE VA PER METTRE DE METTRE EN PLACE UN SERVEUR VPN EN QUELQUES CLICS. EN EFFET , LORSQUE L ON SLECTIONNE UNE TOPOLOGIE RSEAU AVEC L ASSISTANT DE CONFIGURATION RSEAU, LES PARAMTRES DU VPN SONT AUTOMATIQUEMENT RGLS POUR UNE MISE EN PRODUCTION RAPIDE . AINSI LORSQUE L ON A CHOISI LA TOPOLOGIE RSEAU PARE-FEU DE PRIMTRE, UN SERVEUR VPN EST CONFIGUR AFIN D COUTER LES VENTUELLES REQUTES FAITES SUR LA CARTE RSEAU EXTERNE EN UTILISANT LE PROTOCOLE PPTP ET LA MTHODE D AUTHENTIFICATION MS-CHAP V2.0. D E PLUS LE SERVEUR VPN ASSIGNE LES ADRESSES IP AUX CLIENTS VPN EN UTILISANT UN SERVEUR DHCP ET ACCEPTE UN MAXIMUM DE 5 CONNEXIONS. EN RSU M, POUR RENDRE LE SERVEUR VPN FONCTIONNEL LORSQUE L ON A CHOISI LA TOPOLOGIE RSEAU PARE-FEU DE PRI MTRE , IL FAUT SIMPLEMENTACTIVER LE SERVEUR VPN ( QUI EST PARAMTR AUTOMATIQUEMENT , MAIS PAS ACTIV ) ET CHOISIR LES GROUPES ET / OU LES UTILISATEURS QUI ONT LE DROIT DE SE CONNECTER DISTANCE . ON PEUT DONC UTILISER LE SERVEUR VPN INTGR ISA EN TROIS CLICS DE SOURIS . BIEN ENTENDU , LES OPTIONS DU SERVEUR VPN PEUVENT TRE MODIFIES LOISIR . POUR CELA IL FAUT UTILISER TCHES QUI APPARAT SUR LA FENTRE DE CONFIGURATION DU VPN. NOUS ALLONS VOIR QUE LE SERVEUR VPN DISA POSSDE DES FONCTIONS NON IMPLMENTES DANS CELUI INTGR WINDOWS SERVER 2003.

L ONGLET

6.3 DE NOUVELLES OPTIONS LE

MENU

TCHES,

CI - CONTRE , PERMET DE PARAMTRER TOUTES LES

OPTIONS DU SERVEUR VPN. L'OPTION CONFIGURER L ' ACCS DES CLIENTS VPN LANCE UNE FENTRE COMPOSE DE QUATRE ONGLETS :

GNRAL : ACTIVER /DSACTIVER L ACCS DES CLIENTS AU SERVEUR VPN ET SLECTIONNER LE NOMBRE DE CONNEXIONS SIMULTANES (LE NOMBRE DE CONNEXION PAR DFAUT EST DE 5).

GROUPES : CHOISIR LES GROUPES QUI ONT L 'AUTORISATION D 'TABLIR UNE CONNEXION DISTANTE VIA LE SERVEUR VPN.

PROTOCOLES : PERMET

DE CHOISIR LE PROTOCOLE DE TUNNELLING

QUE L ' ON SOUHAITE UTILISER . LES CHOIX DISPONIBLES SONT PPTP ET L2TP/IPSEC (LE PROTOCOLE CHOISI PAR DFAUT EST PPTP).

MAPPAGE

DES UTILISATEURS : PERMET D 'APPLIQUER LES RGLES DE STRATGIE D 'ACCS AU PARE - FEU DFINIES PAR DFAUT AUX CLIENT

VPN QUI S'AUTHENTIFIENT AVEC UN PROTOCOLE D ' AUTHENTIFICATION NON WINDOWS ( PAR EXEMPLE AVEC LE PROTOCOLE RADIUS OU LE

PROTOCOLE

EAP).

LES QUATRE

OPTIONS SITUES DANS

CONFIGURATION VPN GNRALE (SLECTIONNEZ LES RSEAUX, SLECTIONNEZ LES

ATTRIBUTIONS D 'ADRESSES , SLECTIONNEZ LES MTHODES D ' AUTHENTIFICATION ET SPCIFIER LA CONFIGURATION RADIUS) RENVOIENT TOUTES LA MME FENTRE QUI SE COMPOSE LOGIQUEMENT DE QUATRE ONGLETS.

LE PREMIER ONGLET NOMM R SEAUX D 'ACCS ( ACCESSIBLE EN

CLIQUANT

SLECTIONNEZ LES RSEAUX D' ACCS) PERMET

SUR DE CHOISIR PARTIR DE QUELLE INTERFACE LE SERVEUR VPN SERA ACCESSIBLE PAR LES CLIENTS ET / OU LES AUTRES SERVEURS VPN.

DANS

LE CAS DU PARE - FEU

DE PRIMTRE , LE PARAMTRE PAR DFAUT EST LE RSEAU EXTERNE .

CELA EST

NORMAL PUISQUE

AVEC CETTE TOPOLOGIE , ON POSSDE DEUX RSEAU : UN RSEAU INTERNE ( LE RSEAU PRIV DE L 'ENTREPRISE ) ET UN RSEAU PUBLIC

(INTERNET ). ON

SOUHAITE BIEN ENTENDU FAIRE BNFICIER LES CLIENTS EXTERNES DE L ACCS DISTANCE ET NON L INVERSE .

L' ONGLET ATTRIBUTION

D ' ADRESSES ( ACCESSIBLE EN CLIQUANT SUR SLECTIONNEZ LES RSEAUX D' ACCS) PERMET DE FORCER LE SERVEUR VPN A ASSIGNER LUI - MME LES ADRESSES IP AUX CLIENTS VPN PARMI UNE PLAGE D ADRESSES PRDFINIES OU BIEN UTILISER LES ADRESSES FOURNIES PAR UN SERVEUR

DHCP.

DANS

LE SECOND CAS , ON DOIT SLECTIONNER

L INTERFACE SUR LAQUELLE LE SERVEUR VPN ESSAYERA DE CONTACTER UN SERVEUR

DHCP

ET CHOISIR ( EN CLIQUANT SUR LE

BOUTON AVANC) SI LES ADRESSES IP S DES SERVEUR

DNS ET WINS SERONT

DYNAMI QUES ( C' EST - - DIRE ATTRIBUES PAR LE SERVEUR

DHCP EN MME TEMPS QUE L ADRESSE IP DU CLIENT ) OU

BIEN STATIQUES .

L' ONGLET AUTHENTIFICATION (ACCES

SIBLE EN CLIQUANT SUR SLECTIONNEZ LES MTHODES D' AUTHENTIFICATION ) PROPOSE UN LARGE CHOIX DE PROTOCOLES POUR PERMETTRE L 'AUTHENTIFICATION DES CLIENTS D ' ACCS DISTANT .

LE PROTOCOLE SLECTIONN

PAR

DFAUT EST MS-CHAP V 2. ON PEUT AUSSI UTILISER EAP. D'AUTRES MTHODES , MOINS SCURISES, SONT PRSENTES MAIS UNIQUEMENT TITRE DE COMPATIBILIT . ON PEUT CITER MS-CHAP, CHAP, SPAP ET PAP.

ENFIN , IL EST

POSSIBLE D UTILISER

UNE CL PR PARTAGE SI L ON UTILISE LE PROTOCOLE L2TP/IPSEC .

UNE DES PRINCIPALES NOUVEAUTS DISA SERVER 2004 EST LA POSSIBILIT DE POUVOIR UTILISER UN SERVEUR RADIUS POUR AUTHENTIFIER
LES CLIENTS D ACCS DISTANTS .

L' ONGLET RADIUS (ACCESSIB

LE EN CLIQUANT SUR S LECTIONNEZ LA CONFIGURATION RADIUS) PROPOSE D ' ACTIVER CETTE FONCTIONNALIT .

DANS

LE CAS

O CE PARAMTRE EST SLECTIONN ON PEUT CHOISIR D 'ENREGISTRER LES VNEMENTS LIS L 'TABLISSEMENT ET LA FERMETURE DES SESSIONS VPN DANS LE JOURNAL DU SERVEUR

RADIUS. POUR SPCIFIER LA LISTE DE SERVEURS RADIUS A

CONTACTER IL FAUT CLIQUER SUR LE BOUTON SERVEURS RADIUS ET ENTRER LES SERVEURS DANS L' ORDRE DE PRIORIT AVEC LEQUEL ILS DOIVENT TRE UTILISS .

6.4 LA FONCTION DE MISE EN QUARANTAINE UNE DES FONCTIONNALITS LES PLUS INNOVANTES D 'ISA SERVER 2004 RESTE LA MISE EN QUARANTAINE DES CLIENTS VPN. EN EFFET , LA MISE EN PLACE D 'UN SERVEUR VPN POSE UN GROS PROBLME EN CE QUI CONCERNE LA SCURIT MALGR LE FAIT QUE LE PROCESSUS D 'AUTHENTIFICATION ET QUE LES CHANGES SOIENT CRYPTS . LA FAILLE PROVIENT SOUVENT DES MACHINES CLIENTES CAR ELLES SONT SOUVENT INFECTES PAR DIVERS VIRUS, VERS , CHEVAUX DE TROIE ET AUTRES LOGICIELS ESPIONS . CES VIRUS, PAR LE BIAIS DU RSEAU PRIV VIRTUEL , FINISSENT PAR SE RETROUVER SUR LE RSEAU DE L 'ENTREPRISE , RUINANT AINSI TOUS LES EFFORTS DES AD MINISTRATEURS RSEAU ! LA FONCTION DE MISE EN QUARANTAINE PERMET D 'ISOLER LES CLIENTS NE RPONDANT CERTAINS CRITRES DANS UN RSEAU SPCIFIQUE NOMMCLIENTS VPN EN QUARANTAINE. LES CRITRES DE SLECTIONS DOIVENT TRE DFINIS DANS
UN SCRIPT QUI S' EXCUTE APRS L' AUTHENTIFICATION DES CLIENTS . C E SCRIPT N' EST PAS FOURNI PAR MICROSOFT AVEC ISA SERVER ET DOIT DONC TRE DVELOPP PAR L' ADMINISTRATEUR CE QUI OFFRE UNE PLUS GRANDE FLEXIBILIT. IL EST TOUT DE M ME DOMMAGE QUE M ICROSOFT NE SE SOIT PAS DONN LA PEINE DE FOURNIR DES SCRIPTS PRDFINIS POUR CERTAINS SCNARIOS . ON PEUT NOTAMMENT CRER UN SCRIPT VRIFIANT SI LE PARE - FEU DU CLIENT EST ACTIF ET SI SON ANTIVIRUS ET SON SYSTME SONT JOUR .

EN RAISON DE LA DIFFICULT DE MISE EN PLACE DE CE SERVICE

ET DE L 'ENVERGURE DU SUJET , NOUS TRAITERONS LA

CONFIGURATION DE LA MISE EN QUARANTAINE DANS UN AUTRE ARTICLE QUI LUI SERA DDI .

6.5 CONCLUSION ISA SERVER 2004 APPORTE

SON LOT DE NOUVEAUTS EN CE QUI CONCERNE LA CONFIGURATION DU SERVEUR

VPN.

PARMI

CELLES- CI , ON PEUT CITER

 
LE PROTOCOLE

LE SUPPORT DE L 'AUTHENTIFICATION

RADIUS ET SECUREID

IPSEC TUNNEL MODE

LA FONCTION DE MISE EN QUARANTAINE

QUI PERMET DE CRER UN LIEN DE SITE SITE ENTRE UN SERVEUR QUEL TYPE DE SERVEUR

ISA ET N 'IMPORTE VPN (ROUTEUR , MACHINE UNIX,...)

7. CONFIGURATION DES ORDINATEURS CLIENTS 7.1 INTRODUCTION A L 'INSTAR D 'ISA 2000,

IL EST POSSIBLE DE CONFIGURER LES ORDINATEURS CLIENTS DE TROIS MANIRES DIFFRENTES .

C' EST

POURQUOI ON EN DISTINGUETROIS TYPES

y y y
LES POSSIBILITS OFFERTES EN TERME DE

LES CLIENTS DE PARE - FEU LES CLIENTS DU LES CLIENTS

PROXY WEB SECURENAT

SCURIT , DE FONCTIONNALITS MAIS AUSSI DE DPLOIEMENT DIFFRENT EN FONCTION DU TYPE DE CLIENT .

7.2 CONFIGURER UN CLIENT SECURENAT UN CLIENT SECURENAT EST

UN ORDINATEUR CONFIGUR POUR UTILISER L 'ADRESSE

IP DU SERVEUR ISA EN TANT

QUE PASSERELLE PAR DFAUT . TOUTE MACHINE EXCUTANT UN SYSTME D 'EXPLOITATION SUR LEQUEL LA PILE DE PROTOCOLE TCP/IP EST SUPPORTE (UNIX, BSD, LINUX, WINDOWS,...) PEUT DONC DEVENIR UN CLIENT SECURENAT. BIEN VIDEMMENT LORSQU 'UN OU PLUSIEURS ROUTEURS SPARENT LE CLIENT SECURENAT DU SERVEUR ISA, LE CLIENT DEVRA UTILISER L' ADRESSE IP DU ROUTEUR LE PLUS PROCHE DE LUI EN TANT QUE PASSERELLE PAR DFAUT . C E TYPE DE CLIENT S' AVRE SIMPLE ET RAPIDE IMPLMENTER LORSQUE LE PROTOCOLE DHCP EST UTILIS ( EN EFFET , IL N 'Y A QU'UNE OPTION A PARAMTRER AU NIVEAU DU SERVEUR

DHCP POUR QUE

LES CLIENTS

SECURENAT FONCTIONNENT ).

L'UN DES DFAUTS

MAJEUR DU CLIENT

SECURENAT EST L 'ABSENCE

DE SYSTME D ' AUTHENTIFICATION .

EN EFFET , L O

LE CLIENT DE PARE - FEU ET LE CLIENT DU PROXY WEB PERMETTENT DE RETROUVER L ' IDENTIT DE L' UTILISATEUR, LE CLIENT SECURENAT PERMET UNIQUEMENT DE RETROUVER L ' ADRESSE IP DE LA MACHINE . C ELA SIGNIFIE QUE LES RESTRICTIONS SUR LES UTILISATEURS ET LES GROUPES D 'UTILISATEURS NE S 'APPLIQUENT PAS AUX CLIENTS SECURENAT. CECI EXPLIQUE POURQUOI ILS SONT UTILISS UNIQUEMENT LORSQUE CELA EST NCESSAIRE : DANS LE CAS D 'ORDINATEURS NE SUPPORTANT PAS LE CLIENT PARE - FEU ( C 'EST - - DIRE SOUS

UNIX/LINUX)

DAN S LE CAS DE SERVEURS DEVANT TRE PUBLIS

7.3 CONFIGURER UN CLIENT DU PROXY WEB

UN CLIENT DU PROXY WEB EST

UN ORDINATEUR EXCUTANT UNE

APPLICATION CONFIGURE POUR UTILISER LE SERVEUR ISA EN TANT QUE SERVEUR DE PROXY .

L'EXEMPLE TYPE EST UN NAVIGATEUR WEBCOMME SAFARI , OPRA OU BIEN ENCORE INTERNET EXPLORER . VOICI
QUELQUES CARACTRISTIQUES DES CLIENTS DU

PROXY WEB :

SUR N 'IMPORTE QUEL SYSTME D 'EXPLOITATION ( SAUF LES OS NE GRANT PAS TCP/IP ET NE POSSDANT AUCUN NAVIGATEUR WEB ...). SUPPORTS SONT HTTP, HTTPS ET FTP SUR HTTP ( PROTOCOLE PERMETTANT DE CONSULTER LE CONTENU D 'UN SERVEUR FTP L 'AIDE D 'UN NAVIGATEUR WEB EN SAISISSANT DES ADRESSES DU TYPE FTP ://NOM_ DU _SERVEUR D

ILS SONT UTILISABLES

LES SEULS PROTOCOLES

ANS LA BARRE DES URL). ILS PROPOSENT D ' AUTHENTIFIER OU NON LES UTILISATEURS .

CI -CONTRE, LA CAPTURE
D ' CRAN D' UN ORDINATEUR EXCUTANT I NTERNET EXPLORER ET CONFIGUR EN TANT QUE CLIENT DU PROXY WEB . IL SUFFIT DFINIR LE NOM DU SERVEUR ISA AINSI QUE LE PORT UTILIS DANS LE NAVIGATEUR ( CETTE FENTRE EST EST ACCESSIBLE VIA

OUTILS / OPTIONS INTERNET / CONNEXIONS / PARAMTRES RSEAUX ). BIEN ENTENDU , L 'APPARENCE ET L 'EMPLACEMENT
DE CES PARAMTRES CHANGENT D 'UN LOGICIEL L 'AUTRE .

LORSQUE LE SERVEUR ISA REOIT UNE REQUTE SUR LE

PORT 80, LE CLIENT EST TOUJOURS CONSIDR COMME UN CLIENT DU PROXY WEB , ET CE QUELQUE SOIT SA CONFIGURATION

(SECURENAT, PROXY WEB OU PARE - FEU ). PAR DFAUT , ISA SERVER 2004 UTILISE LE PORT 8080 POUR COMMUNIQUER AVEC LES CLIENTS DU PROXY WEB . POUR MODIFIER CE PARAMTRE , IL FAUT AFFICHER LES PROPRITS DU RSEAU INTERNE EN DVELOPPANT CONFIGURATION / RSEAUX DANS L 'ARBORESCENCE DE LA CONSOLE DE GESTION ISA. L' ONGLET PROXY WEB PERMET DE MODIFIER LES PORTS UTILISS POUR LES PROTOCOLES HTTP ET HTTPS ( LES VALEURS PAR DFAUT SONT RESPECTIVEMENT 8080 ET 8443).
RELLE

L' ONGLET PROXY WEB PER MET AUSSI D 'ACTIVER OU NON L ' AUTHENTIFICATIONDES CLIENTS DU PROXY WEB ( IL SUFFIT DE CCHER LA CASE EXIGER QUE
TOUS LES UTILISATEURS S ' AUTHENTIFIENT ). PLUSIEURS MTHODES D 'AUTHENTIFICATIONS SONT DISPONIBLES :

DE BASE : CETTE

MTHODE EST

PROSCRIRE ABSOLU MENT CAR LES INFORMATIONS D' IDENTIFICATION

(IDENTIFIANT ET MOT DE PASSE ) SONT ENVOYES EN CLAIR !

DIGEST : LES INFORMATIONS D 'IDENTIFICATION SONT

HACHES CE QUI OFFRE UNE MEILLEURE SCURIT QUE L 'AUTHENTIFICATION DE BASE . LORSQUE L 'ON CCHE LA CASE DIGEST ET QUE LE SERVEUR ISA

EST INSTALL SUR UN ORDINATEUR EXCUTANT WINDOWS SERVER 2003, LE PROTOCOLE RELLE MENT UTILIS EST WDIGEST . y INTGRE : L' AUTHENTIFICATION DITE I NTGRE CORRESPOND AU PROTOCOLE K ERBEROS V5 ( OU NTLM DANS CERTAINS CAS). KERBEROS MET EN OEUVRE LE HACHAGE DES DONNES ET PROPOSE UNE AUTHENTIFICATION MUTUELLE .

CERTIFICAT SSL : CETTE MTHODE VRIFIE L 'IDENTIT DU CLIENT ET DU SERVEUR L 'AIDE DE CERTIFICAT
NUMRIQUES PRALABLEMENT DISTRIBUS PAR UNE AUTORIT DE CERTIFICATION . LE PROTOCOLE DE CRYPTAGE UTILIS EST SSL POUR SECURE SOCKETS LAYER .

RADIUS : RADIUS SIGNIFIE REMOTE AUTHENTIFICATION DIAL -IN USER SERVICE. C' EST UN PROTOCOLE D' AUTHENTIFICATION STANDARD

FAISANT INTERVENIR LE PROTOCOLE DE HACHAGE

MD5.

LA MTHODE D ' AUTHENTIFICATION PRIVILGIER AU SEIN D 'UN DOMAINE RESTE WINDOWS

L' AUTHENTIFICATION INTGRE EN RAISON DE SON HAUT NIVEAU DE SCURIT . LA MISE EN PLACE DE

L 'AUTHENTIFICATION DES CLIENTS DU PROXY WEB NE DOIT PAS TRE NGLIGE SINON LES RESTRICTIONS DES RGLES ACCS SUR LES UTILISATEURS ET SUR LES GROUPES D 'UTILISATEURS NE S' APPLIQUERONT PAS . EN OUTRE , L 'AUTHENTIFICATION PERMET D 'OBTENIR DES STATISTIQUES CONCERNANT LES UTILISATEURS PAR LE BIAIS DES RAPPORTS .

DS QUE L 'UNE

DES MTHODES

D 'AUTHENTIFICATION A T CHOISIE, UNE FENTRE QUIVALENTE CELLE PRSENTE CI DROITE APPARAT . DEUX POSSIBILITS S 'OFFRENT L 'UTILISATEUR

D' UTILISATEUR ET MOT DE PASSE CHAQUE NOUVELLE INSTANCE DU NAVIGATEUR

RENSEIGNER LES CHAMPS NOM

MMORISER L 'IDENTIFIANT ET LE MOT

DE

PASSE POUR NE PLUS AVOIR LES REMPLIR

7.4 UTILISATION DU PROTOCOLE WPAD POUR PARAMTRER AUTOMATIQUEMENT

LES CLIENTS DU

PROXY WEB

LORSQUE LES ORDINATEURS UTILISENT MICROSOFT INTERNET EXPLORER , LEURS CONFIGURATION EN TANT QUE CLIENTS DU PROXY WEB EST FACILIT. EN EFFET , IL EST POSSIBLE DE CONFIGURER LES PARAMTRES DU PROXY L 'AIDE D ' UN OBJET STRATGIE DE GROUPE OU GPO (GROUP POLICY OBJECT ). CELA IMPLIQUE VIDEMMENT QUE
LES ORDINATEURS APPARTIENNENT UNDOMAINE ACTIVE DIRECTORY.

LES PARAMTRES DU PROXY ( ADRESSE IP, PORT , ...) POUR INTERNET EXPLORER SONT
CONFIGURABLES AU NIVEAU DU COMPTE D 'UTILISATEUR OU BIEN AU NIVEAU DU COMPTE D' ORDINATEUR. DANS LES DEUX CAS , IL FAUT DVELOPPER PARAMTRES WINDOWS /

MAINTENANCE DE INTERNET EXPLORER / CONNEXION L 'AIDE DE LA CONSOLE DITEUR DE STRATGIE DE GROUPE .

LORSQU'UNE APPLICATION AUTRE QUE INTERNET EXPLORER DOIT TRE CONFIGURE, LA TCHE SE RVLE PLUS CONTRAIGNANTE PUISQU' IL N'EXISTE AUCUN MOYEN DE L 'AUTOMATISER . LES CLIENTS DOIVENT DONC TRE CONFIGURS
MANUELLE MENT CE QUI ENTRANE

y y
UNE PERTE DE TEMPS SI LE SERVEUR DE

UNE PERTE DE TEMPS LORS DE LA CONFIGURATION INITIALE DES APPLICATIONS

PROXY CHANGE D ' ADRESSE IP ( IL FAUT ALORS RECONFIGURER LA MAIN TOUTES LES APPLICATIONS ALORS QU ' AVEC UNE GPO IL N 'Y A QU 'UNE VALEUR MODIFIER UNE SEULE FOIS ) y UNE PERTE DE TEMPS SI L ' ORDINATEUR QUI HBERGE LE PROGRAMME EST MOBILE. EN EFFET , UN CADRE SE DPLAANT DE SUCCURSALE EN SUCCURSALE AVEC SON ORDINATEUR PORTABLE DEVRA RECONFIGURER MANUELLEMENT L' ADRESSE IP DU SERVEUR DE PROXY CHAQUE CHANGEMENT DE SITE (EN SUPPOSANT QU ' IL Y AIT UN SERVEUR DE PROXY PAR SITE). DANS CE CAS BIEN PRCIS , UNE GPO N 'EST D 'AUCUN SECOURS ... POUR PALIER CELA,
IL EST POSSIBLE D' IMPL MENTER LE PROTOCOLE WPAD (WEB PROXY AUTO DETECT ) QUI PERMET DE CONFIGURER AUTOMATIQUEMENT LES PROGRAMMES POUR POINTER VERS LE BON SERVEUR DE PROXY. BIEN ENTENDU

LES APPLICATIONS DOIVENT TRE CONUES POUR SUPPORTER WPAD ( TOUS LES NAVIGATEURS RCENT TELS OPRA, IE, SAFARI , KONQUEROR, FIREFOX OU BIEN ENCORE NETSCAPE NAVIGATOR LE SUPPORTENT ). C'EST PAR EXEMPLE LE CAS AVEC I NTERNET EXPLORER DEPUIS LA VERSION 5.0 ET N ETSCAPE N AVIGATOR DEPUIS LA VERSION 2.0. WPAD PROPOSE DEUX MANIRE DIFFRENTE POUR CONFIGURER AUTOMATIQUEMENT LES APPLICATIONS WEB L 'AIDE D 'UN ENREGISTREMENT DE RESSOURCE SPCIFIQUE DANS LE SERVEUR

L ' AIDE D' UNE OPTION SPCIFIQUE DANS LE SERVEUR

DNS DHCP

LA PREMIRE CHOSE FAIRE AVANT MME DE CONFIGURER LE SERVEUR DNS OU BIEN LE SERVEUR DHCP EST D 'ACTIVER
LA PRISE EN CHARGE DU PROTOCOLE

WPAD AU NIVEAU DU SERVEUR ISA. POUR CELA, IL SUFFIT D' ALLER DANS LES PROPRITS DU RSEAU INTERNE , PUIS DE CCHER LA CASE PUBLIER LES
INFORMATIONS DE DTECTION AUTOMATIQUE , SITUE DANS L 'ONGLET

DTECTION AUTOMATIQUE .

PAR DFAUT , LES INFORMATIONS DE

CONFIGURATION AUTOMATIQUE SONT PUBLIES SUR LE PORT 80. I L EST POSSIBLE DE MODIFIER CETTE VALEUR MAIS CELA N ' EST PAS RECOMMAND . EN EFFET , CERTAINS PROGRAMMES NE PEUVENT DTECTER AUTOMATIQUEMENT LA CONFIGURATION DU SERVEUR PROXY QUE VIA LE PORT 80. C' EST NOTAMMENT LE CAS DES NAVIGATEURS BASS SUR LE MOTEUR

GECKO(M OZILLA / FIREFOX / NETSCAPE NAVIGATOR)

SI

VOUS CHOISISSEZ D 'UTILISER UN PORT DIFFRENT AVEC CES NAVIGATEURS , IL FAUDRA SPCIFIER L 'ADRESSE DE

CONFIGURATION AUTOMATIQUE DU

PROXY

MANUELLE MENTCE QUI S 'AVRE AUSSI CONTRAIGNANT QUE DE DFINIR L ' ADRESSE DU SERVEUR DE PROXY DE FAON CLASSIQUE ... L'UTILISATION DU DONC DE MISE POUR CE SERVICE SAUF SI UNE AUTRE APPLICATION UTILISE DJ CE PORT SUR LE SERVEUR PORT

80 EST

ISA.

CI - CONTRE LA FENTRE DE CONFIGURATION DES PARAMTRES DE

CONNEXION DU NAVIGATEUR FIREFOX DANS SA VERSION 1.0. ON REMARQUE QUE L ' OPTION DTECTION AUTOMATIQUE DES PARAMTRES DU PROXY SUR CE RSEAU A T ACTIVE CE QUI SIGNIFIE CONFIGURER AUTOMATIQUEMENT L 'AIDE DU PROTOCOLE WPAD EN EFFECTUANT UNE RECHERCHE SUR LE PORT QUE

FIREFOX ESSAYE DE SE

80.

POUR CONFIGURER UN GRAND

NOMBRE DE MACHINES EN TANT QUE CLIENTS DU PROXY WEB , L 'UTILISATION DU SERVEUR SE RVLE LA PLUS EFFICACE . P OUR CELA IL FAUT CRER UNE NOUVELLE OPTION

DHCP

DHCP (CLIC DROIT SUR LE NOM DU SERVEUR , PUIS DFINIR LES OPTIONS
PRDFINIES... DANS LA CONSOLE DHCP). CI- CONTRE, LA FENTRE DE CRATION D' UNE OPTION DHCP. IL FAUT DFINIR PLUSIEURS PARAMTRES : LE NOM DE L 'OPTION

LE TYPE DE DONNES ( LA CASE DES OPTIONS MULTIVALUES )

COCHER TABLEAU PERMET DE CRER

y y

LE CODE DE L 'OPTION

UNE DESCRIPTION ( FACULTATIVE )

IL FAUT ENSUITE ATTRIBUER LA VALEUR HTTP://NOM_DU _SERVEUR _DE_PROXY:PORT _UTILIS/WPAD .DAT L 'OPTION WPAD PRCDEMMENT CRE. BIEN ENTENDU , VOUS POURREZ APPLIQUER CETTE OPTION AU NIVEAU DU SERVEUR , D' UNE TENDUE , D 'UNE CLASSE DHCP OU BIEN ENCORE D ' UN CLIENT RSERV .

L' ADMINISTRATEUR PEUT AUSSI UTILISER LE SERVEUR DNS POUR CONFIGURER

AUTOMATIQUEMENT LES ORDINATEURS CLIENTS EN TANT QUE CLIENTS DU PROXY WEB . IL SUFFIT SIMPLEMENT DE CRER UN ENREGISTREMENT DE RESSOURCE DE TYPE

ALIAS

(CNAME) CET

NOMM

WPAD

POINTANT VERS

LE NOM DE DOMAINE PLEINEMENT QUALIFI (FQDN) DU SERVEUR DE PROXY. ENREGISTREMENT DOIT TRE CR DANS LE MME DOMAINE QUE LES ORDINATEURS CLIENTS . LORSQUE L 'OPTION DHCP 252 N ' A PAS T AFFECTE, LE CLIENT CONTACTE LE SERVEUR DNS POUR SAVOIR SI IL EXISTE UN

ENREGISTREMENT DE RESSOURCE NOMM WPAD . SUFFIXE _DNS _ CLIENT .

LE CLIENT RCUPRE DONC L' ADRESSE IP DU SERVEUR DE PROXY EN DEUX TAPES :

y y

LE CLIENT CHERCHE LE

FQDN CORRESPONDANT

WPAD . LABOMS . NET

LE CLIENT CHERCHE L 'ADRESSE

IP CORRESPONDANT

(LE SERVEUR DNS RENVOIE LA RPONSE ISA2004.LABOMS.NET ) ISA-2004. LABOMS . NET ( LE SERVEUR DNS RENVOIE LA RPONSE 10.1.0.1)

7.5 DPLOIEMENT

ET CONFIGURATION DU CLIENT PARE- FEU

UN CLIENT PARE-FEU EST UN ORDINATEUR SUR LEQUEL L 'APPLICATION CLIENT DE PARE-FEU MICROSOFT EST INSTALLE. CETTE APPLICATION CONFIGURE AUTOMATIQUE MENT LA MACHINE POUR ACCDER INTERNET OU UN AUTRE RSEAU PAR L 'INTERMDI AIRE D 'UN SERVEUR ISA. IL EST POSSIBLE DE DPLOYER CE LOGICIEL DE DIVERSES MANIRES :

VIA LE PARTAGE

\\ SERVEUR _ISA _2004\ MSPCLNT

CRE AUTOMATIQUEMENT LORS DE L 'INSTALLATION D'ISA

y y
VIA UN PACKAGE

VIA UN OBJET STRATGIE DE GROUPE (GPO) SYSTEM MANAGEMENT SERVER (SMS) 2003

LE PARAMTRAGE DU CLIENT DE PARE-FEU EST ON NE PEUT PLUS SIMPLE . L'ONGLET GNRAL PERMET
DE SLECTIONNER MANUELLE MENT OU AUTOMATIQUEMENT LE SERVEUR ISA. DANS LE SECOND CAS , LE PROTOCOLE WSPAD (WIN S OCK

PROXY AUTODETECT ) EST UTILIS. CONFIGURE DE LA MME MANIRE QUE

WSPAD SE WPAD ( VIA UN SERVEUR DHCP OU UN SERVEUR DNS). L' ONGLET NAVIGATEUR WEBPERMET QUAND LUI DE CONFIGURER AUTOMATIQUEMENT INTERNET EXPLORER . LES PARAMTRES APPLIQUS AU
NAVIGATEUR DOIVENT TRE DFINIS AU NIVEAU DU SERVEUR

ISA.

ON PEUT PROXY

CONFIGURER LES PARAMTRES DU QUE VA RECEVOIR LE NAVIGATEUR ( PAR

L ' INTERMDI AIRE DU LOGICIEL CLIENT DE PARE FEU

MICROSOFT ) DANS LES

PROPRITS DU

RSEAU I NTERNE.

TROIS

CHOIX SONT POSSIBLES CORRESPONDANT AUX TROIS MTHODES DE CONFIGURATION D' UN CLIENT DU PROXY WEB ( PARTIE 8.3)

y y y

DTECTER

AUTOMATIQUEMENT LES PARAMTRES DE CONNEXION

UTILISER UN SCRIPT

DE

CONFIGURATION AUTOMATIQUE

UTILISER UN SERVEUR PROXY WEB

7.6 INTEROPRABILIT AVEC LE CLIENT

PARE - FEU D'ISA

2000

LE CLIENT PARE-FEU MICROSOFT D 'ISA SERVER 2004 CRYPTE LES

CHANGES ENTRE LE CLIENT ET LE SERVEUR . CETTE FONCTIONNALIT N ' EST PAS PRISE EN CHARGE AVEC LE LOGICIEL CLIENT DE PARE- FEU MICROSOFT D 'ISA SERVER 2000. DEUX SOLUTIONS S' OFFRENT ALORS :

y y
ACTIVER

METTRE JOUR LE
CLIENT (FORTEMENT RECO MMAND ) LA PRISE EN CHARGE

DES CONNEXIONS NON CRYPTES. POUR CELA, IL FAUT DVELOPPER CONFIGURATION / DANS L 'ARBORESCENCE DE LA CONSOLE DE GESTION ISA, PUIS CLIQUER SUR DFINIR LES PARAMTRES DE CLIENTS DE PARE - FEU.

GNRAL

7.7 CONCLUSION IL EST DIFFICILE DE DTERMINER QUELLE CONFIGURATION EST LA PLUS ADAPTE EN CE QUI CONCERNE LES MACHINES CLIENTES . EN EFFET , CE CHOIX DPEND FORTEMENT DU TYPE DE MACHINES DPLOYES (WINDOWS, LINUX, MAC OS, BSD,...), DES LOGICIELS INSTALLS (NOTAMMENT DES NAVIGATEURS), DU NIVEAU DE SCURIT NCESSAIRE, DE L ' INFRASTRUCTURE EN PLACE ( DOMAINE / GROUPE DE TRAVAIL ; DMZ)... VOICI UN PETIT TABLEAU RCAPITULATIF DES CARACTRISTIQUES DES DIFFRENTS CLIENTS : PARE-FEU AUTHENTIFICATION DES UTILISATEURS
SUPPORTE

OUI WINDOWS TOUS

CONTRAIGNANTE (NCESSIT DE

PROXY WEB OUI SI

CONFIGURE

SECURENAT NON TOUS TOUS

AISE ( RIEN CONFIGURER SAUF LA PASSERELLE ) CONFIGURATION

SYSTME D 'EXPLOITATION SUPPORTS PROTOCOLES SUPPORTS

TOUS HTTP / HTTPS / FTPOVER HTTP AISE ( SAUF

QUAND LE

MAINTENANCE

RED MARRER LE SERVICE DANS CERTAINS CAS ) INSTALLATION ET CONFIGURATION D 'UN LOGICIEL

PROXY EST CONFIGUR MANUELLE MENT )

CONFIGURATION DU NAVIGATEUR

CONFIGURATION REQUISE DE

SUR LES CLIENTS

DE LA PASSERELLE PAR DFAUT

MANIRE GNRALE , L' UTILISATION DE CLIENTS PARE - FEU EST RECOMMANDE .

SUR DES CONFIGURATIONS EXOTIQUES,

L ' AUTHENTIFICATION).

L 'UTILISATION DES CLIENTSSECURE NAT EST DE MISE . CEPENDANT , IL PEUT S 'AVRER UTILE DU POINT DE VUE DE LA SCURIT DE CONFIGURER LES CLIENTS SECURE NAT EN TANT QUECLIENTS DU PROXY WEB ( POUR BNFICIER DE

8. SURVEILLANCE ET

MONITORING D 'ISA SERVER

2004

8.1 INTRODUCTION EN CE QUI

CONCERNE LES FONCTIONNALITS LIES AU MONITORING,

ISA SERVER 2004 OFFRE PEU DE NOUVEAUTS PAR RAPPORT LA VERSION 2000 :

y y

UNE FENTRE RSUMANT TOUTES LES INFORMATIONS NOMME TABLEAU DE BORD

y y

LA POSSIBILIT DE DFINIR DES VRIFICATEURS DE CONNECTIVIT

L 'INTERFACE DE CONFIGURATION EST BIEN PLUS INTUITIVE QUE CELLE DE L 'UTILITAIRE DE GESTION

ISA 2000

LES MODIFICATIONS SONT TOUJOURS APPLIQUES I MMDIATEMENT

PAR DFAUT , TOUTES LES DONNES SONT STOCKES DANS LA BASE DE DONNE

MSDE PLUTT QUE

DANS DES FICHIERS

8.2 VUE D' ENSEMBLE DU TABLEAU DE BORD LE TABLEAU DE BORD , ACCESSIBLE

LA RACINE DE SERVEUR L ' TAT DES SERVICES ET DES VRIFICATEURS DE CONNECTIVIT

L 'ARBORESCENCE RCAPITULE LES LMENTS ESSENTIELS SUR LE

LES DERNIERS RAPPORTS ET ALERTES GNRS

LES SESSIONS ACTIVES CLASSES PAR TYPE

L 'ACTIVIT DU SERVEUR

CE PANNEAU PER MET

DE DIAGNOSTIQUER RAPIDEMENT UN VENTUEL PROBLME CAR IL SE RAFRACHIT INTERVALLES RGULIERS (IL EST POSSIBLE DE FORCER LE RAFRACHISSE MENT).

LE TABLEAU DE BORD D 'ISA SERVER

2004

8.3 CONFIGURATION ET UTILISATION DES

VRIFICATEURS DE CONNECTIVIT

LES VRIFICATEURS DE CONNECTIVIT PERMETTENT DE

TESTER L 'ACCESSIBILIT UN SERVEUR OU UNE MACHINE DONNE . LE TEST PEUT PRENDRE PLUSIEURS FORMES

y y

UNE REQUTE

UNE REQUTE

ICMP (PING) HTTP

UNE REQUTE SUR UN PORT

TCP CHOISI PAR L ' ADMINISTRATEUR CERTAINS VRIFICATEURS SONT PR CONFIGURS ET

ACCESSIBLES VIA UNE LISTE DROULANTE :

y y

ACTIVE DIRECTORY (ENVOIE UNE LDAP AU CONTRLEUR DE DOMAINE CHOISI ) AUTRE (PROPOSE UNE TRENTAINE DE PORT TCP COMMUNMENT UTILISS COMME FTP, PPTP, POP3, RDP...) y DHCP y DNS y SERVEURS PUBLIS y WEB (INTERNET )
REQUTE

UNE FOIS LE VRIFICATEUR

CR , IL EST POSSIBLE DE DFINIR UN SEUIL AU- DEL DUQUEL L ' ORDINATEUR EST CONSIDR

COMME INJOIGNABLE ( DANS CE CAS, UNE ALERTE EST GNRE ). LA FENTRE CONNECTIVIT LISTE LES VRIFICATEURS DE CONNECTIVIT ET AFFICHE LEUR TAT AINSI QUE DIVERSES AUTRES INFORMATIONS ( SEUIL, TYPE DE REQUTE , TEMPS DE RPONSE ,...).

8.4 GESTION DE LA JOURNALISATION DE LA MME

MANIRE QUE SOUS

ISA 2000,

IL EST POSSIBLE DE CRER AUTOMATIQUEMENT DES RAPPORTS SUR

L' ACTIVIT DU SERVEUR . I LS SONT GNRS PARTIR DES INFORMATIONS STOCKES DANS LES FICHIERS JOURNAUX ET PERMETTENT NOTAMMENT DE VRIFIER LES PERFORMANCES DE LA MISE EN CACHE ET LES ACCS NON SOUHAITS. IL EST TRS IMPORTANT DE BIEN CHOISIR LES CHAMPS QUI DOIVENT TRE SAUVEGARDS DANS LES FICHIERS JOURNAUX . EN EFFET PAR DFAUT QUASIMENT TOUS LES CHAMPS SONT SLECTIONNS , CE QUI GNRE DE " GROS " FICHIERS JOURNAUX . VOICI LES FICHIER JOURNAUX GNRS PAR UN SERVEUR ISA PROTGEANT UN RSEAU CONSTITU DE 35 POSTES CLIENTS SOUS

WINDOWS 2000 PROFESSIONNEL :

ON REMARQUE QUE L 'ESPACE DISQUE UTILIS POUR STOCKER LES "LOGS" DE TROIS

JOURS DISTINCT EST DE 1,4 GO ! LE NOMBRE DE CHAMPS ENREGISTRS DANS LA BASE DE DONNES SE CONFIGURE DANS L 'ONGLET JOURNALISATION DE LA FENTRE SURVEILLANCE .

8.5 GNRATION DE RAPPORTS LE PROCESSUS DE CRATION DE RAPPORT D 'ISA SERVER 2004 EST SIMILAIRE CELUI DE LA VERSION 2000. IL EST POSSIBLE DE GNRER DES RAPPORTS MENSUELS , HEBDOMADAIRES , QUOTIDIENS OU BIEN DE LES GNRER MANUELLE MENT . LORS DE LA CRATION DU RAPPORT UN PROCESSUS NOMM I SAREPG EN. EXE PARCOURT L 'INTGRALIT DES DONNES DE LA BASE ET COMPILE LES INFORMATIONS POUR LES RENDRE EXPLOITABLE ( EN CRANT UNE PAGE WEB). LES TCHES DE RAPPORTS NE DOIVENT PAS TRE EXCUTES AU HASARD , SURTOUT SUR UN SERVEUR EN PRODUCTION ! EN EFFET , LA CRATION DE RAPPORT DEMANDE BEAUCOUP DE RESSOURCES MATRIELLES SURTOUT EN CE QUI CONCERNE LE TEMPS PROCESSEUR , L 'UTILISATION DE LA MMOIRE VIVE ET LES ACCS DISQUE . D'O L 'INTRT DE PLANIFIER LES TCHES DE RAPPORT DANS UNE PLAGE HORAIRE O LE SERVEUR ISA N ' EST PAS OU PEU UTILIS ( LA NUIT OU LE WEEK END ). CI -CONTRE LA GNRATION D 'UN
RAPPORT D ' ACTIVIT MENSUEL SUR UN SERVEUR ISA GRANT CLIENTES .

30 MACHINES LA CRATION A DUR ENVIRON 2

HEURES ALORS QUE L 'ORDINATEUR UTILISE UN PROCESSEUR CADENC

2 GHZ ,

DISPOSE DE 512M O DE MMOIRE VIVE ET UTILISE UN DISQUE DUR TOURNANT 7200 TR/ MIN ! ON REMARQUE QUE LE PROCESSUS ACCAPARE : 99% DU TEMPS PROCESSEUR, 230MO DE M MOIRE VIVE ET 256 MO DE MMOIRE VIRTUELLE...

HEUREUSE MENT

CE PROCESSUS S' EXCUTE EN FOND DE TCHE ( ET AVEC UNE PRIORIT PLUS FAIBLE ) CE QUI PERMET AU SERVEUR DE CONTINUER RPONDRE AUX DEMANDES DES CLIENTS .

8.6 CONCLUSION POUR CONCLURE, LES CAPACIT DE MONITORING D 'ISA SERVER 2004 SONT IDENTIQUES CELLES DE LA VERSION 2000 MALGR QUELQUES AMLIORATIONS SENSIBLES EN TERME D 'ERGONO MIE ET DE PERFORMANCE ( UTILISATION DE MSDE AU
LIEU DES FICHIERS TEXTES POUR STOCKER LES DONNES ). EN REVANCHE IL FAUT SE MFIER DES FONCTION DE JOURNALISATION ET DE CRATION DE RAPPORTS QUI DEMANDENT : DE FORTES RESSOURCES MATRIELLES

BEAUCOUP D 'ESPACE DISQUE

9. MIGRATION DE ISA SERVER 2000 VERS ISA SERVER 2004 9.1 PRREQUIS POUR L 'INSTANT , LA SEULE VERSION DE ISA SERVER 2004 DISPONIBLE EST LA VERSION STANDARD. LA MIGRATION D ' UN D 'ISA 2000 ENTERPRISE VERS UNE ISA 2004 STANDARD EST IMPOSSIBLE . EN RSUM, LA SEULE MIGRATION ACTUELLEMENT POSSIBLE EST ISA 2000 STANDARD VERS ISA 2004 STANDARD . POUR RALISER CETTE MIGRATION , IL EST RECOMMAND D 'INSTALLER LE SERVICE PACK 2 POUR ISA 2000 QUE VOUS TROUVEREZ ICI . I L EST NANMOINS POSSIBLE DE SE PASSER DU SERVICE PACK 2 EN INSTALLANT UNE MISE JOUR SPCIFIQUE. CETTE MISE JOUR NCESSITE L' INSTALLATION :

y y
LA MISE JOUR ISA NE PRSENTANT

DU SERVICE PACK DU SERVICE PACK

2 DE WINDOWS 2000 DISPONIBLE ICI 1 DE ISA SERVER 2000 DISPONIBLE ICI .

DES SERVICES PACK ET DE

EST , QUAND ELLE , TLCHARGEABLE GRCE CE LIEN.

LES INSTALLATIONS

LA MISE JOUR POUR

AUCUNE DIFFICULTS MAJEURES , ELLES NE SERONT PAS DTAILLES ICI .

SI

VOUS SOUHAITEZ UTILISER LE FILTRE

SMTP,

LE SERVICE

SMTP DE IIS DOIT TRE INSTALL VIA LA CONSOLE AJOUTER OU SUPPRI MER DES COMPOSANTS WINDOWS .

9.2 SAUVEGARDE LORS D ' UNE

MISE JOUR DU SERVEUR

DES PARAMTRES DU SERVEUR

ISA EN VUE D ' UNE

MIGRATION

ISA,

IL EST POSSIBLE DE SAUVEGARDER LES PARAMTRES DE LA VERSION POUR LES RINJECTER DANS LA VERSION

2000 2004.

UNE FOIS QUE LE CDROM EST

INSR, ET SI L 'AUTORUN EST ACTIV, IL FAUT LANCER L 'ASSISTANT

MIGRATION .

COMME

EXPLIQU SUR LA CAPTURE D 'CRAN , CET ASSISTANT PERMET D' EXPORTER LA CONFIGURATION VPN ET RAS DANS UN FICHIER XML, QUI SERA IMPORT SUR ISA SERVER 2004.

DS LE DBUT

DE LA MIGRATION, L 'ASSISTANT DEMANDE DE CHOISIR LE NOM DU FICHIER

XML QUI

SERVIRA LORS DE LA SAUVEGARDE .

LORS DE L 'INSTALLATION DE ISA SERVER 2000, LES CLIENTS ONT , PAR DFAUT , LA POSSIBILIT D' ACCDER L ' ORDINATEUR EXCUTANT ISA SERVER . I L EST POSSIBLE DANS ISA SERVER 2004 DE DSACTIVER CETTE FONCTION AFIN
DE GARANTIR UN MEILLEUR NIVEAU DE SCURIT .

TOUTES LES INFORMATIONS NCESSAIRES LA SAUVEGARDE DES PARAMTRES ONT

T COLLECTES , LA SAUVEGARDE

PEUT DONC COMMENCER VERS LE FICHIER QUE VOUS AVEZ SLECTIONN LORS DE LA PREMI RE TAPE .

AU BOUT

DE QUELQUES SECONDES , VOUS DISPOSEZ D 'UN FICHIER

XML CONTENANT TOUTES INFORMATIONS SUR LA CONFIGURATION DE VOTRE SERVEUR ISA 2000.

L'ASSISTANT MIGRATION EST MAINTENANT TERMIN. COMME INDIQU AU DBUT

DE LA MIGRATION , TOUTES LES

OPRATIONS EFFECTUES ONT T ENREGISTRES DANS UN FICHIER DE LOG DU M ME NOM QUE VOTRE FICHIER XML AVEC L 'EXTENSION . LOG .

LORS DE L 'OUVERTURE DE CE

FICHIER, ON PEUT CONSTATER QUE CERTAINES MISE JOUR N 'ONT PAS FONCTIONN . ON PEUT NOTAMMENT CITER LES ALERTES :

COMPOSANT D'INSTALLATION MANQUANT y PAQUET IP IGNOR y LE SERVEUR N' EST PAS DANS LE SITE DU GROUPE y CHEC DU FRACTIONNEMENT DE FLUX ACTIFS WMT y VIOLATION DE PROTOCOLE IP

CES COMPOSANTS NE SONT PAS IMPLMENTS DANS ISA SERVER 2004. C' EST POURQUOI IL EST IMPOSSIBLE DE LES SAUVEGARDER. EN REVANCHE, ON PEUT CONSTATER TOUS LES AUTRES PARAMTRES ONT T EXPORTS AVEC SUCCS .

9.3 MISE NIVEAU DU SERVEUR MAINTENANT

QUE TOUTES LES MISES JOUR ET TOUTES LES SAUVEGARDES ONT T EFFECTUES , ON PEUT SANS CRAINTES INSTALLER

ISA SERVER 2004 GRCE

AU MENU PRINCIPAL . IL SUFFIT DE CLIQUER SUR I NSTALLER ISA SERVER

2004. L'ASSISTANT
D 'I NSTALLATIO N NE VA PAS SUPPRIMER

ISA SERVER 2000, IL SE

CONTENTERA DE METTRE JOUR LES COMPOSANTS DJ PRSENTS .

LE PROCESSUS
DE MISE JOUR D 'ISA 2000 VERS

ISA 2004 EST

QUASIMENT IDENTIQUE UNE INSTALLATION CLASSIQUE . C'EST POURQUOI ELLE N'EST DTAILLE DANS CETTE PAGE . VOUS POUVEZ NANMOINS CONSULTER TOUTES LES TAPES SUR CETTE PAGE .

9.4 IMPORTATION DES PARAMTRES PRCDEMMENT VOUS DEVEZ NORMALEMENT

AVOIR UN

SAUVEGARDS DANS

ISA SERVER 2004

ISA SERVER 2004 FONCTIONNEL . IL FAUT

MAINTENANT IMPORTER LE FICHIER XML CONTENANT LES SAUVEGARDES .

CE FICHIER XML,

NOMM

LE CHOIX PAR DFAUT ), S 'IMPORTE DANS

ISA2KEXPORT .XML (SI VOUS AVEZ VALID ISA SERVER 2004 GRCE ISA SERVER EXPORT.

UNE BOITE DE DIALOGUE ACCESSIBLE VIA UN LIEN SITU DANS LE BAS DE L 'ONGLET TCHES : I MPORTER DEPUIS UN FICHIER DE CONFIGURATION

IL SUFFIT ICI DE SLECTIONNER LE FICHIER EXPORT PRCDEMMENT ET DE CLIQUER SUR IMPORTER AFIN DE CHARGER LA CONFIGURATION. IL EST GALE MENT POSSIBLE D ' IMPORTER LES PARAMTRES D' AUTORISATIONS UTILISATEURS ET CEUX DES LECTEURS DE CACHE ET DES CERTIFICATS SSL. UNE FOIS QUE LES MODIFICATIONS ONT T CHARGES, IL SUFFIT DE CLIQUER SUR APPLIQUER POUR LES RENDRE EFFICIENTES .

LORS D 'UN CHARGE MENT

DE FICHIER DE SAUVEGARDE , LES SERVICES DOIVENT TRE REDMARRS POUR APPLIQUER CES MODIFICATIONS DE CONFIGURATION .

10. CONCLUSION EN CONCLUSION , ISA SERVER 2004 S'INSCRIT DANS LA LIGNE DE SON PRDCESSEUR TOUT EN APPORTANT UN GRAND NOMBRE D ' AMLIORATIONS. ON PEUT CITER LA NOUVELLE INTERFACE INTUITIVE GRCE AU SYSTME D' ONGLETS ET EFFICACE GRCE AU SYSTME D 'ACTUALISATION ( LE BOUTON APPLIQUER PERMET DE RENDRE LES MODIFICATIONS ACTIVES IMMDIATEMENT CE QUI N 'TAIT PAS LE CAS SOUS ISA 2000...). L'INTGRATION TOTALE DU SERVEUR VPN DANS LA CONSOLE DE GESTION ISA APPORTE DE NOMBREUX AVANTAGES :

y y y

CONFIGURATION FACILITE

INTEROPRABILIT DES LIAISONS SITES SITES L ' AIDE DU PROTOCOLE MEILLEURE SCURIT AVEC LE RSEAU CLIENTS

IPSEC TUNNEL MODE VPN EN QUARANTAINE

DE PLUS L 'ASSISTANT MODLE RSEAU AINSI QUE LE NOUVEAU SYSTME D ' APPLICATION DES RGLES ONT LE MRITE DE CLARIFIER LE PARAMTRAGE QUELQUE SOIT LE TYPE DE RGLES ( D 'ACCS , DE CHANAGE WEB , DE CACHE ,...). LE NIVEAU DE SCURIT A LUI AUSSI T AMLIOR DE PAR LE SYSTME DE CRYPTAGE ENTRE LE NOUVEAU LOGICIEL CLIENT PARE FEU MICROSOFT ET LE SERVEUR ISA, ET DE PAR LES AMLIORATIONS EFFECTUES SUR LES FILTRES APPLICATIFS ET LES LES FILTRES WEB . EN CE QUI CONCERNE LE MONITORING , LA REFONTE DE L'INTERFACE ET L 'AJOUT DES VRIFICATEURS DE CONNECTIVIT ET DU TABLEAU DE BORD PERMETTENT UNE MEILLEURE SURVEILLANCE DE L 'TAT ET DES CONNECTIONS DU SERVEUR .

QUELQUES

RE MARQUES ASSOMBRISSENT TOUT DE MME CE TABLEAU IDYLLIQUE

y y y

LA STRATGIE SYSTME S ' AVRE TRS PRATIQUE L 'USAGE MAIS RESTE UNE FAILLE DANS LA SCURIT DU SERVEUR PUISQU ' ELLE EST ACTIVE PAR DFAUT L ' UTILISATION DE

ISA 2000 HTTP/HTTPS/FTP EFFECTUES PAR LES UTILISATEURS ( DES SYSTMES DE CE TYPE QUIPENT DJ CERTAINS PARE - FEU MATRIEL , TELS CEUX DE LA MARQUE ARKOON , ET S' AVRENT TRS PRATIQUE L 'USAGE) y CERTAINES FONCTIONS AVANCES POURTANT MISENT EN AVANT PAR MICROSOFT DOIVENT PAR LEUR IMPLMENTATION DIFFICILE . ON PEUT CITER LE FILTRE HTTP ( AUCUNE MTHODE , EN-TTE OU SIGNATURE HTTP N' EST DFINIE PAR DFAUT , CE QUI OBLIGE L 'ADMINISTRATEUR A POSSDER UNE BONNE CONNAISSANCE DU PROTOCOLE HTTP ET UTILISER UN ANALYSEUR DE TRAMES ) OU BIEN ENCORE LE SYSTME DE MISE EN QUARANTAINE ( AUCUN SCRIPT N 'EST FOURNI PAR MICROSOFT ET UN ASSISTANT DE CONFIGURATION AURAIT T LE BIENVENUE TANT DONN LE NOMBRE D 'TAPES RALISER ...)
DE RESSOURCES MATRIELLES QUE LE SYSTME INCLUS DANS IL N' EST PAS POSSIBLE DE VOIR EN TEMPS REL TOUTES LES REQUTES

MSDE DEMANDE PLUS

ESPRONS QUE LA VERSION ENTREPRISE D 'ISA SERVER 2004 PRVUE POUR LE PREMIER SEMESTRE 2005 CORRIGERA CES QUELQUES INCONVNIENTS QUI N' ENLVENT ( PRESQUE ) RIEN LA QUALIT DU PRODUIT QUI EST GLOBALEMENT TRS
BONNE .