Vous êtes sur la page 1sur 39

HAKI CONSEIL

2007/2009 RAPPORT DE STAGE DE FIN DE FORMATION TSSRI ISTA NTIC II


Effectu durant la r!"de du # A$r!l au %0 Ma! 2009 Au &e!n de la &"c!t 'A(I CONSEI)

Ralis par : *A+NA' ,a-!la

HAKI CONSEIL

DEPLOIEMENT DUNE SOLUTION DE SECURITE INFORMATIQUE

(ISA SERVER)

HAKI CONSEIL

Ddicac s R ! rci ! "#s I"#r$d%c#i$" Prs "#a#i$" d &A'I CONSEIL Par#i #($ri)%

I"#r$d%c#i$" Arc(i# c#%r d ISA S r* r


L s * rsi$"s d ISA S r* r
Micr$s$,# Pr$./ S r* r ISA 0111 ISA 0112 ISA 0113

Par +, % # sc%ri# Mis " cac( # acclra#i$" Ad!i"is#ra#i$" 'i# d d* l$pp ! "# l$-ici l

Par#i pra#i)%

C$",i-%ra#i$" !i"i!al r )%is p$%r li"s#alla#i$" d ISA S r* r 0112 I"s#alla#i$" E. !pl s d c$",i-%ra#i$"
A%#$ris r l4acc5s 6 I"# r" # p$%r l s cli "#s d% rs a% i"# r" I"# rdir c$!pl5# ! "# l4acc5s 6 MSN M ss "- r I"# rdir l4acc5s 6 MSN 7 8 M ss "- r

C$"cl%si$"

HAKI CONSEIL

A mes chers parents A ceux qui nont jamais cess de mencourager, et me conseiller. A ceux qui nont jamais t avares ni de leur temps ni de leurs connaissances pour satisfaire mes interrogations. A ces ducateurs bien veillant, je ddie Le fruit de ma carrire estudiantine. A mes frres et surs. En tmoignage de lamour et de laffectation qui nous lient. A tous mes amis.

HAKI CONSEIL

Jamila

Cest avec un grand plaisir que je rserve cette page en signe de gratitude et de profonde reconnaissance tous ceux qui m'ont aid de prs ou de loin la ralisation de ce travail.

Je tiens exprimer ma sincre reconnaissance tous les gens de HAKI CONSEIL et tous mes professeurs pour leur prcieuse assistance, leur disponibilit et l'intrt quils ont manifest pour ce travail

HAKI CONSEIL

stage est une ncessit pour ltudiant afin dappliquer nos connaissances, et notre savoir-faire pratique et intellectuel pour loptimisation des aptitudes professionnelles satisfaisantes et les normes qualitatives du march de lemploi.

Le

Le stage en outre est une bonne occasion pour prouver


les nouvelles techniques et mthodes de travail, de se mettre aussi lpreuve en terme de rsolution et performance. stage inclut des modalits tel que lefficacit personnelle, la prise en compte des relations avec les collgues, le personnel dencadrement et les clients.

Le

Ce rapport prsente tout dabord lentreprise.Complt


par mon projet de fin dtudes intitul ploiement dune solution de scurit informatique !"#$ #erver% &

HAKI CONSEIL

HAKI CONSEIL

Prs "#a#i$" d &A'I CONSEIL


HAKI CONSEIL, socit de fudiciaire comptable, d'audit et de conseil se caractrise par sa dimension humaine grce : Une quipe soude, Des comptences pluridisciplinaires, Une formation permanente de tous ses collaborateurs.

D$!ai" dac#i*i#
Autour de fudiciaire comptable, des missions d'audit (commissariat au comptes, la fusion !", de l'e ternalisation comptable et sociale, HAKI CONSEIL propose ses clients : #onseils $uridiques et sociau , #onseil en organisation et informatique, #onseil en gestion de patrimoine, Dlgation de gestion, Anal%se financi&re ' ( pertise audit, #ommissariat au comptes.

Dpar# ! "#
' Un ple social : du traitement des paies la gestion globale des ressources humaines d'une entreprise, ' Un ple juridique : du secrtariat d'assemble au restructurations de socits, - Un ple fiscal : des dclarations fiscales l'tude personnalise

HAKI CONSEIL

Missi$"s
HAKI CONSEIL est une socit pluridisciplinaire qui a d)elopp des comptences complmentaires pour rpondre au besoins spcifiques de ses clients et leur )olution. *es associs et collaborateurs pri)ilgient une relation troite a)ec les clients, quelle que soit leur taille ou la mission confie. +ls s,in)estissent personnellement sur le terrain leur c-t, gage de la )aleur a$oute qu,ils apportent au clients de la socit depuis de nombreuses annes.

Pri"cipa%. p9l s d c$!p# "c :


.udiciaire comptable Audit #onseil

Fudiciaire comptable
Autour de la mission des comptes annuels, *e fudiciaire comptable peut se charger de toutes les missions que )ous pourrie/ souhaiter lui dlguer, comme : 0ettre en place )otre organisation comptable, ( ternaliser )otre ser)ice comptable, 1enir ou sur)eiller )otre comptabilit, (tablir )os paies, dclarations sociales et fiscales, .ournir les prestations $uridiques dont )otre entreprise a besoin, 2ous assister aupr&s des organismes fiscau , sociau et financiers, .ormer )os collaborateurs (gestion sociale,..."

L'audit
HAKI CONSEIL remplisse des missions lgales (commissariat au comptes, commissariat au apports et la fusion" et inter)ient contractuellement : ()aluation d'entreprises, Audit ob$ectifs prcis : audit d'acquisition, audit social, audit stratgique, 3rise de participations, Diagnostics financiers et de procdures.

HAKI CONSEIL

Le conseil
*es )olutions rglementaires, financi&res, $uridiques, fiscales, sociales compliquent les missions du gestionnaire, d$ tr&s sollicit. *e r-le de conseil dans ces domaines apporte une )ritable 4)aleur a$oute4 leur prestation. HAKI CONSEIL rguli&rement sollicit pour les conseils les plus di)ers, au quels la complmentarit des comptences de leur quipe lui permet de rpondre : conseil en gestion et organisation, choi de la structure $uridique la plus approprie, laboration de tableau de bord, conseils en mati&res fiscale ou sociale ...

E. !pl s d !issi$"s
Missions juridiques HAKI CONSEIL charge du $uridique d'un certain nombre de clients :

#onstitution de socits, 5ecrtariat $uridique, 6prations e ceptionnelles (fusion, augmentation de capital, etc.", Dissolution et liquidation de socits.

Missions sociales Un ple social : du traitement des paies la gestion globale des ressources humaines d'une entreprise. *eur r-le ne se limite pas l'tablissement des paies. HAKI CONSEIL conseille sur les embauches, les contrats, les procdures de licenciements, l'application des lois sociales.

Auprs de plusieurs clients, HAKI CONSEIL a ralis des audits sociaux leur permettant de rgulariser leurs dysfonctionnements en fonction des obligations lgales ou dcoulant de leur convention collective.

HAKI CONSEIL

Missions fiscales Un ple fiscal : des dclarations fiscales l'tude personnalise. 6utre le conseil en mati&re fiscale (demande de dgr&)ement, recherche d'optimalisation,!", HAKI CONSEIL )ous assiste en cas de contr-les fiscau . 3our les particuliers, elle tablisse les dclarations +733 et +5. et est en mesure de les conseiller dans la gestion de leur patrimoine.

Informatique HAKI CONSEIL conseille ses clients pour tous leurs in)estissements informatiques concernant la gestion, le social, l'organisation. +ls sont pour cela en relation a)ec diffrents partenaires, sollicits en toute libert

HAKI CONSEIL

HAKI CONSEIL

I"#r$d%c#i$" Larc(i# c#%r d ISA S r* r


0icrosoft +nternet 5ecurit% and Acceleration 5er)er fonctionne selon diffrentes couches de communication pour protger le rseau d,entreprise. Au ni)eau des couches de paquets, +5A 5er)er implmente des filtres de paquets. #ette fonctionnalit permet le filtrage par stratgies de paquets +3 (+nternet 3rotocol" et la $ournalisation de tous les paquets ignors. *a stratgie appliquer peut 8tre spcifie soit au ni)eau +3, a)ec des protocoles +3 et des adresses +3 e plicites, ou en fonction de crit&res dfinis l,aide d,un protocole d,application de haut ni)eau. 5i les donnes sont autorises passer la couche des filtres de paquets, elles sont transmises au ser)ices de pare'feu et du pro % 9eb, ou les r&gles +5A 5er)er sont traites pour dterminer si la requ8te doit 8tre adresse. +5A peut aussi mettre disposition de clients e ternes des ser)eurs internes en toute scurit. 2ous utilise/ +5A 5er)er pour crer une stratgie de publication pour publier )os ser)eurs internes de mani&re scurise. *a stratgie de publication, comprenant des filtres de paquets +3, des r&gles de publication 9eb ou des r&gles de publication ser)eur, ainsi que des r&gles de routage, dtermine la mani&re dont les ser)ices internes sont publis. *orsque 0icrosoft +5A 5er)er traite une requ8te en pro)enance d,un client e terne, il )rifie les filtres de paquets +3, les r&gles de publication et les r&gles de routage pour dterminer si la requ8te est autorise et dsigner le ser)eur interne qui traitera la requ8te. A)ec +5A 5er)er, )ous pou)e/ crer une stratgie d,acc&s qui permet au clients internes d,accder des h-tes +nternet spcifiques. *a stratgie d,acc&s et les r&gles de routage dterminent la mani&re dont les clients acc&dent +nternet. *orsque 0icrosoft +5A 5er)er traite une requ8te sortante, il )rifie les r&gles de routage, les r&gles de sites et de contenus, et les r&gles de protocoles pour dterminer si l,acc&s est autoris. Une requ8te est uniquement autorise si une r&gle de protocole et une r&gle de site et de contenu autorisent toutes deu la requ8te et si aucune r&gle ne la refuse e plicitement. #ertaines r&gles peu)ent 8tre appliques des clients spcifiques. moins qu,une r&gle ne soit e plicitement autorise, le pare'feu refuse par dfaut toutes les requ8tes. Dans ce cas, les clients peu)ent 8tre spcifis par adresse +3 ou par nom d,utilisateur. +5A 5er)er traite les requ8tes de mani&re diffrente, en fonction du t%pe de client qui requiert l,ob$et et de la configuration de +5A 5er)er.

Pare-feu et scurit
*e ser)ice de pare'feu +5A 5er)er offre une communication +nternet scurise en emp8chant les acc&s au rseau non autoriss. +5A 5er)er fonctionne au ni)eau des couches de paquets, de circuits et d,applications pour protger le rseau d,entreprise. *a fonctionnalit du pare'feu est transparente pour les autres parties impliques dans la communication. *,utilisateur intranet ne se rend pas compte de

HAKI CONSEIL l,inter)ention du pare'feu moins qu,il ne tente d,accder un ser)ice ou de )isiter un site refus par l,administrateur de +5A 5er)er. *e ser)eur 9eb interpr&te les requ8tes de la part de +5A 5er)er comme si elles pro)enaient des applications clientes. *e pare'feu +5A 5er)er prend en charge de nombreu protocoles +nternet, % compris :113 (:%perte t 1ransfer 3rotocol", .13 (.ile 1ransfer 3rotocol", +7# (+nternet 7ela% #hat", :.;<;, 1ransparent :113, les technologies 9indo=s 0edia, 7eal Audio, 7eal2ideo, la messagerie lectronique et les ne=s. 2ous pou)e/ facilement a$outer d,autres protocoles en dfinissant simplement le port (et la plage de ports secondaires dans certains cas", le t%pe (1#3 ou 2D3" et la direction (entrant ou sortant". 3our des protocoles plus comple es ou pour un traitement plus sophistiqu des informations des couches d,applications, des filtres d,applications peu)ent 8tre a$outs.

Mise en cache et acclration


+nternet 5ecurit% and Acceleration 5er)er <>>> maintient la disposition des clients un cache centralis des ob$ets +nternet frquemment demands. #ela permet d,amliorer la performance du na)igateur client, de diminuer le temps de rponse de l,utilisateur et de rduire la consommation de la bande passante des conne ions +nternet. *orsqu,un utilisateur requiert un site 9eb, le na)igateur anal%se l,U7*. 5i le nom contient des points, tel qu,un nom de domaine complet (.?D@, .ull% ?ualified Domain @ame" ou une adresse +3, le na)igateur consid&re la destination comme tant distante et en)oie la requ8te :113 l,ordinateur +5A 5er)er pour 8tre traite. +5A 5er)er (ntreprise (dition, autorise galement la mise en cache distribue en utilisant plusieurs ordinateurs +5A 5er)er (ntreprise (dition. *a distribution de la charge de cache permet une )oluti)it suprieure ce que peut fournir un ser)eur unique, quilibrant la charge et tolrant les pannes si un ser)eur cache n,est pas disponible. *a mise en cache distribue peut 8tre implmente a)ec des groupes, des chaAnes ou une combinaison des deu . +5A 5er)er (ntreprise (dition, utilise le protocole #A73 (#ache Arra% 7outing 3rotocol", une architecture )oluti)e, efficace et fle ible, qui permet plusieurs ser)eurs d,agir en tant que cache unique sans duplication de contenu.

Administration
(n utilisant un contr-le d,acc&s par stratgies, +5A 5er)er offre une stratgie fle ible base sur les utilisateurs et les groupes, les protocoles clients, les calendriers, les sites, les groupes et les protocoles de contenus. A)ec +5A 5er)er (ntreprise (dition, )ous pou)e/ e ploiter le ser)ice Acti)e Director% et les stratgies l,chelle de l,entreprise. *es administrateurs peu)ent aussi crer et mettre en place une seule fois des stratgies et les distribuer globalement sur de nombreu ser)eurs. +5A 5er)er comprend une interface utilisateur graphique base sur 00# (0icrosoft 0anagement #onsole", a)ec des blocs de taches graphiques et des assistants pour les acti)its les plus courantes. *a consignation dtaille d,)nements dans des

HAKI CONSEIL $ournau , la mise en place d,alarmes, l,anal%se et la cration de rapports aident les administrateurs comprendre l,tat, l,utilisation et la performance du ser)eur.

it de d!eloppement lo"iciel

+5A 5er)er inclut un Bit de d)eloppement logiciel qui comprend une documentation dtaille et des e emples de code afin d,aider les d)eloppeurs crer des e tensions pour rpondre des besoins de scurit ou d,administration spcifiques. *e Bit de d)eloppement logiciel contient des e emples et e plique comment utiliser les interfaces de programmation d,applications (A3+, Application 3rogramming +nterface".

L s * rsi$"s d ISA S r* r
Microsoft Pro#$ %er!er *a gamme de produit C+5A 5er)erD trou)e son origine dans le produit 0icrosoft 3ro % 5er)er. 0icrosoft 3ro % 5er)er )E.> est sorti initialement en ; $an)ier EFFG, et tait conHu pour fonctionner sur la plateforme 9indo=s @1 I.>. 3ro % 5er)er )E.> tait un produit de base ralis pour fournir un acc&s +nternet au clients dans un en)ironnement rseau par 1#3J+3. Kien que correctement intgr la plateforme @1I,I 3ro % 5er)er )E.> n,a)ait que des fonctionnalits de base, et n,a e ist qu,en une seule dition. *e support tendu de 3ro % 5er)er )E.> s,est termin le ;E mars <>><. 3ro % 5er)er )<.> a t lanc en dcembre EFFG. +l incluait une meilleure intgration des comptes @1, a amlior le support de filtrage de paquet et support un nombre plus importants de 3rotocoles rseau. 3ro % 5er)er )<.> est sorti de sa phase de support tendu et atteint sa fin de )ie le ;E dcembre <>>I. I%A &''' *e EL mars <>>E, 0icrosoft a lanc +5A <>>>. +5A <>>> a introduit les ditions 5tandard et (ntreprise que +5A continue fournir. *a )ersion (ntreprise fournit des fonctionnalits comme le #lustering de tolrance de pannes qui n,est pas inclus dans la )ersion 5tandard. +5A <>>> requiert 9indo=s <>>> (1oute )ersion ser)eur", et fonctionnera aussi sur 9indo=s 5er)er <>>;. (n accord a)ec la stratgie 0icrosoft de c%cle de )ie du support, +5A <>>> est le premier produit +5A profiter des E> annes de support : c'est''dire M annes de support con)entionnel et M annes de support tendu. +5A <>>> terminera son c%cle de )ie le E< a)ril <>EE. I%A &''( +5A 5er)er <>>I est paru le L septembre <>>I. +5A <>>I introduit le support multi' rseau, la configuration intgre des rseau )irtuels, les mod&les d,authentification e tensible des utilisateurs, le pare'feu au ni)eau de la couche N Application O, le support du protocole :;<;, l,intgration Acti)e Director%, 5ecure @A1, la publication de ser)eur scuris et des fonctionnalits amliores d,administration. +5A 5er)er <>>I (ntreprise (dition int&gre le support d,ensembles de ser)eurs +5A,

HAKI CONSEIL la tolrance de pannes intgre, et le protocole #A73 (#ache Arra% 7outing 3rotocol". Une des capacits primordiales de +5A 5er)er <>>I a t sa capacit publier des ser)eurs 9ebs scuriss. 3ar e emple, des organisations utilisent +5A 5er)er <>>I pour publier leurs ser)ices ( change (#'est''dire : 69A, 73# o)er :113, Acti)e5%nc, 60A". (n utilisant l,authentification base sur les formulaires (.KA", +5A 5er)er peut 8tre utilis pour pr'authentifier les clients =eb, afin que le trafic des clients non autoriss )ers les ser)eurs publis ne soit pas permis. 0icrosoft +nternet 5ecurit% and Acceleration 5er)er <>>I est disponible en < )ersions, 5tandard et (nterprise. *a )ersion (nterprise contient des fonctions permettant d,acti)er des stratgies de configuration au ni)eau d,un ensemble de ser)eurs +5A, plut-t que sur des ser)eurs +5A 5er)er indpendants et de rpartir la charge sur plusieurs ser)eurs +5A. #haque )ersion de +5A 5er)er ncessite une licence par processeur (*a )ersion intgre dans 9indo=s 5mall Kusiness 5er)er <>>>J; 3remium contient la licence pour < processeurs" et a besoin de d,une )ersion 9indo=s 5er)er <>>; 5tandard (;< bits" ou (nterprise (;< bits" pour son installation. Des appareils de t%pe 4Appliance4 contenant 9indo=s <>>; Appliance (ditionD et C+5A 5er)er 5tandard (dition O sont disponibles partir d,une )arit de partenaires 0icrosoft. I%A &'') *a )ersion actuelle de +5A 5er)er est +5A <>>P, sortie le EG octobre <>>P. +5A <>>P est conHue pour fonctionner sur les plates'formes 9indo=s 5er)er <>>; et 9indo=s 5er)er <>>; 7< (sur 9indo=s <>>> n,est plus support par +5A <>>P en tant que plate'forme d,accueil". +5A <>>P est un ser)eur pare'feu grant l,tat des sessions (5tate.ull", anal%sant les paquets $usqu, la couche CapplicationD, les rseau pri)s et le cache =eb (A la fois pour les sites =eb e ternes que pour les sites 9ebs internes publis". +5A <>>P apporte de nombreuses amliorations par rapport la )ersion prcdente, +5A <>>I. #ela inclut le support de l,authentification par 5ecure *DA3, (*DA35" depuis plusieurs fournisseurs *DA3s ou for8ts Acti)e Director%, le support intgr de ( change <>>G (qui a t rintgr dans +5A <>>I", le support de la publication de 0icrosoft 5hare3oint, l,authentification unique, un tableau crois pour la traduction des liens, l,quilibrage de charges sur la publication 9eb (a)ec affinit base sur les cooBies pour les clusters intgrs @*K5" ainsi qu,un ensemble d,amliorations dans les assistants de configuration tels que l,assistant de conne ion d,un bureau distant, de gestion des certificats et de traduction des liens.

HAKI CONSEIL

HAKI CONSEIL

C$",i-%ra#i$" r )%is p$%r li"s#alla#i$" d ISA S r* r 0112


processeur Pentium III 550 ou plus performant 256 o de mmoire )i)e un nombre de cartes rseau etJou modems adquats une partition ou un )olume format a)ec le s!st"me #e $ic%ie& N'(S et disposant de )50 o #*espace li+&e (bien entendu, si )ous souhaite/ acti)er la mise en cache, il faudra disposer de plus d,espace". un minium de deu interfaces rseau (carte rseau, modem 7@+5, modem AD5*,..." ,in#o-s Se&.e& 200/ ou ,in#o-s 2000 Se&.e& SP0 Inte&net E1plo&e& 620 ou suprieur

Kien entendu )ous de)re/ tenir compte du nombre de clients connects 4derri&re4 le ser)eur +5A ainsi que des fonctions que )ous acti)ere/ pour a$uster le matriel de )otre ser)eur.

HAKI CONSEIL

I"s#alla#i$" d ISA S r* r 0112


E. +nsre/ le #D'760 +5A 5er)er dans le lecteur

HAKI CONSEIL

2. Dans le programme d'installation de Microsoft ISA Server, cliquez sur Installer ISA Server.

HAKI CONSEIL

3. Si vous acceptez les termes et conditions du contrat de licence logicielle de l'utilisateur final, cliquez sur Continuer.

HAKI CONSEIL

I. (ntre/ le numro d'identification du produit situ sur la boAte.

HAKI CONSEIL

M. #lique/ sur +nstallation par dfaut, +nstallation compl&te ou +nstallation personnalise.

P. Dfinir la plage d,adresses du rseau interne

HAKI CONSEIL

HAKI CONSEIL

HAKI CONSEIL

HAKI CONSEIL

HAKI CONSEIL

E. !pl s d c$",i-%ra#i$"
Autoriser l'acc*s + Internet pour les clients du rseau interne @ous allons crer une &"3le auto&isant l4acc"s 5 Inte&net (c'est''dire au rseau e terne dans cet e emple" pour tous les clients pare'feu du rseau interne )ia les ports <E, L>, II; et ELP; (le port utilis par 05@ 0essenger pour la conne ion et l'change de messages". +l faut commencer par donner le nom le plus e1plicite possi+le la r&gle que l'on souhaite crer. 6n doit ensuite slectionner l4action a e$$ectue& 6auto&ise& ou &e$use&7. 5i l'on slectionne 7efuser, la possibilit de rediriger la requ8te )ers une page =eb est offerte (cela permet de faire comprendre l'utilisateur que la page a t bloque intentionnellement par le pare'feu et que ce n'est donc pas un probl&me technique". +l faut choisir le ou les ports de destination pour le(s" quel(s" la r&gle )a s'appliquer. Dans notre e emple, tous les protocoles sont prdfins (ce sont des lments de stratgie prsent par dfaut dans le ser)eur" et il suffit $uste d'a$outer les p&otocoles nomm8s ('P9 H''P et H''PS l'aide du bouton adquat. +l est possible de #8$ini& :uels sont les po&ts sources l'aide du bouton Po&ts222 Dans notre e emple nous laissons l'option par dfaut qui autorise tous les ports sources (ainsi les clients pourront accder des sites =eb et des ser)eurs .13 quel que soit le logiciel client utilis".

HAKI CONSEIL

HAKI CONSEIL *'tape sui)ante consiste sp8ci$ie& le &8seau sou&ce et le &8seau #e #estination . Dans notre e emple, le rseau source correspond Inte&ne (le rseau local de l'entreprise" et le rseau de destination correspond E1te&ne (+nternet".

HAKI CONSEIL (nfin on slectionne les ensem+les #4utilisateu&s pour lesquels la r&gle entrera en action. Dans notre cas, le groupe nomm 'ous les utilisateu&s aut%enti$i8s est retenu. #ependant, tous les groupes de scurit dfinis dans le ser)ice d'annuaire Acti)e Director% peu)ent 8tre utilis pour crer une r&gle plus fine.

HAKI CONSEIL

Une fois l'assistant termin, la r&gle est inoprante. 3our que qu'elle entre en action il suffit de cliquer sur le bouton Appli:ue& qui apparaAt au milieu de l'interface de la console de gestion +5A.

(t )oil Q 'ous les utilisateu&s #e .ot&e &8seau ont maintenant acc"s 5 Inte&net , et ce quel que soit leur na)igateur (+nternet ( plorer, 5afari, .irefo , 6pra,..." ou bien leur client .13 (+nternet ( plorer, .ileRilla,...". Ce&tains p&8;&e:uis #oi.ent <t&e &espect8s pour que tout fonctionne correctement :

*es ordinateurs clients doi)ent 8tre capable de =oin#&e un se&.eu& >NS rsol)ant les noms D@5 4publiques4 *es ordinateurs client doi)ent 8tre configurs pour =oin#&e le se&.eu& ISA *e pa&e;$eu prsent sur les ordinateurs client doit lui aussi 8tre configur pour autoriser l'acc&s +nternet

Interdire compl*tement l'acc*s + M%, Messen"er A l'instar de 9indo=s 0essenger, 05@ 0essenger est une application #e messa3e&ie instantan8e permettant d'accroAtre grandement la producti)it des utilisateurs (chat, )idoconfrence, change de fichiers ais,...". #ependant l'utilisation de ce logiciel en entreprise peut entraAner quelques dri)es... 5i )ous souhaite/ emp8cher certains utilisateurs de l'utiliser, plusieurs solutions sont en)isageables :

c&8e& #eu1 &"3le #4acc"s interdisant la communication a)ec le ser)eur messenger.hotmail.com

HAKI CONSEIL

con$i3u&e& les clients pa&e;$eu pour emp8cher 05@ 0essenger d'accder au rseau

-*re mthode
Stant donn que SN essen3e& utilise plusieu&s po&ts ou plage de ports pour mettre en oeu)re ses diffrents ser)ices (te te, change de fichier, son...". *a solution la plus simple reste d'inte&#i&e le po&t 'CP )?6/ qui est utilis l'change de messages te tuels mais surtout pour la conne1ion initiale. 3our cela, il n'est pas ncessaire de crer un lment de stratgie, puisque le protocole 05@ 0essenger est prdfini dans +5A <>>I. +l suffit donc de c&8e& une &"3le #4acc"s +lo:uant le p&otocole SN essen3e& entre le rseau Inte&ne et l rseau E1te&ne et s'appliquant au bon groupe d'utilisateurs.

#ependant, une fois la r&gle d'acc&s correctement cre, tous les utilisateu&s peu.ent enco&e utilise& SN essen3e& @@@ *a conne ion est un peu plus lente (en)iron E> secondes d'cart", mais s'effectue tout de m8me, ce qui permet des utilisateurs non autoris de 4chatter4. Une bonne mthode dans un cas comme celui' ci, est d'utiliser un programme pour anal!se& les t&ames en)o%es par le logiciel 05@ 0essenger afin de mieu comprendre son fonctionnement. +l e iste pour cela des outils gratuits tels que le oniteu& &8seau ic&oso$t ou bien encore Et%e&eal. 2oici les rsultats d'une anal%se de trames lance au moment oT l'utilisateur clique sur le bouton Ou.&i& une session222

6n remarque que le logiciel (e cut sur une machine dont l'adresse +3 est E>.E.>.<" essa%e de se connecte& au se&.eu& 20A2062)00220 (cette adresse correspond au .?D@ messenger.hotmail.com" en utilisant le port ELP; du protocole 1#3.

HAKI CONSEIL *'opration est rpte t&ois $ois cons8cuti.es si le ser)eur ne rpond pas immdiatement. #e port tant bloqu au ni)eau du pare'feu, la demande n'aboutie $amais. *'application essa%e ensuite dans un second temps de se connecter ce m8me ser)eur mais 5 l4ai#e #u po&t ?0 :ui est no&malement &8se&.8 au p&otocole H''P. #e port tant ou)ert au ni)eau du pare'feu afin de permettre la na)igation =eb, l'application russi a se connecter et la session de l'utilisateur peut ensuite s'ou)rir. #e probl&me peut se rsoudre l'aide d'une r&gle d'acc&s interdisant la communication entre les machines du rseau +nterne et le ser)eur messenger.hotmail.com. 3our cela il faut crer au pralable un lment de stratgie pointant )ers l'adresse +3 du ser)eur messenger.hotmail.com ou bien directement )ers le nom de domaine pleinement qualifi messenger.hotmail.com. +l est plus $udicieu d'interdire le .?D@ car m8me en cas de modification de l'adresse +3 du ser)eur la r&gle restera )alide. *a fen8tre ci gauche montre les proprits d'un lment de stratgie. +l se nomme ser)eur 05@ 0essenger et pointe )ers l'adresse +3 <>G.IP.E>I.<>. Une fois l'lment de stratgie correctement configur, il suffit de crer une r&gle refusant les conne ions au domaine messenger.hotmail.com et s'appliquant au groupes appropris. Kien entendu, on peut altrer la r&gle prcdemment cre pour bloquer le port ELP; en a$outant le protocole :113 au protocole 05@ 0essenger et en prcisant que la destination est ser)eur 05@ 0essenger. #ette r&gle )a donc emp8cher les paquets +3 e pdis par le rseau +nterne et destination du ser)eur messenger.hotmail.com d'atteindre leur ob$ectif quel que soit le port utilis (ELP; ou L>".

HAKI CONSEIL

Dans l'e emple ci'dessous les utilisateurs appartenant au groupes Compta+ilit89 P&o#uction ou Bec%e&c%e ne peu)ent plus se connecter l'aide du logiciel 05@ 0essenger.

#ette premi&re mthode est celle qui rpond le mieu la problmatique car elle demande peu #e &essou&ces et reste simple 5 mett&e en Cu.&e.

HAKI CONSEIL

&*me mthode
*es clients pare'feu rcup&rent chaque dmarrage une liste #es lo3iciels auto&is8s ou non 5 acc8#e& au &8seau (lorsqu'un logiciel n'est pas mentionn dans cette liste il peut tout de m8me accder au rseau". +l est possible de bloquer 05@ 0essenger par ce biais. +l suffit d'ou)rir la fen8tre Pa&am"t&e #u client #e pa&e;$eu situe en utilisant le conteneur D8n8&al de l'arborescence de la console de gestion +5A. #ette fen8tre montre toutes les applications pour lesquelles l'acc&s au rseau a t configur. 3our bloquer une application, il suffit d'a$outer une ent&8e co&&espon#ante au nom #u p&ocessus lanc par cette application (sans son e tension", puis de #onne& la .aleu& ) au pa&am"t&e >isa+le. Dans notre e emple le processus utilis par 05@ 0essenger est msnms3&2e1e. +l faut donc crer une entre nomme msnms3&. Une fois la modification applique au ni)eau du ser)eur, il faut penser &e#8ma&&e& le se&.ice A3ent #u client #e pa&e;$eu l'aide des commandes net stop $c-a3ent et net sta&t $c-a3ent (ou bien en utilisant la console Se&.ices". D&s que cette opration est effectue, le programme ne peut plus accder au rseau et la fen8tre ci'dessous apparaAt :

HAKI CONSEIL

#ette mthode est tr&s rapide mettre en oeu)re et est tr&s efficace. #ependant elle poss&de #eu1 incon.8nients ma=eu&s :

elle ne s4appli:ue :u4au1 clients #e pa&e;$eu (et pas au clients 5ecure@A1 et clients du pro % =eb" elle ne pe&met pas #4inte&#i&e l4utilisation #u lo3iciel 5 #es utilisateu&s #onn8s (tous les utilisateurs seront affects par l'interdiction d'utilisation"

HAKI CONSEIL

Interdire l'acc*s + M%, .eb Messen"er

Une fois les logiciels 05@ 0essenger bloqu, les utilisateu&s peu.ent tou=ou&s acc8#e& 5 ce se&.ice pa& le +iais #e sa .e&sion -e+ . (n effet, le site http:JJ=ebmessenger.msn.comJ propose une interface reprenant la plupart des ser)ices de la )ersion logicielle. +l peut donc s'a)rer utile de bloquer l'acc&s cette U7* en complment de la dsacti)ation de l'application. 3our cela il suffit de c&8e& une &"3le inte&#isant le t&a$ic ent&e le &8seau inte&ne et le #omaine -e+messen3e&2%otmail2com su& le po&t ?0 en 1#3. Kien entendu, on peut tout aussi bien bloquer l'U7* http:JJ=ebssenger.msn.com ou bien directement l'adresse +3 (ci'contre l'ensemble de stratgie nomm sites #e c%at peut 8tre utilis pour interdire l'acc&s =ebmessenger.msn.com".

HAKI CONSEIL

Au ter-e de -"n &ta.e effectue / 'A(I CONSEI)0 1e eu2 d!re 3ue 14a! eu l4"cca&!"n de t"uc5er de lu& r6& le d"-a!ne act!f et rat!3ue "u 14a! -!& en $!dence -e& c"nna!&&ance& t5"r!3ue&7 8uand / -"n !nt.rat!"n0 elle fut fac!le et cela .r9ce / c5a3ue -e-:re du &er$!ce Tlc"- et R&eau2 3ue 1e t!en& / re-erc!er !nf!n!-ent7 D4autre art0 14a! u a rendre le &en& de la re& "n&a:!l!t0 r!.ueur et d;na-!&-e7

Ce& deu2 -"!& de &ta.e -4"nt d"nn l4"cca&!"n de dc"u$r!r et d4a rc!er le -"nde de& S;&t6-e& D4!nf"r-at!"n&0 d4ancrer le&

en&e!.ne-ent& re<u& / l4ISTA NTIC II dan& une ral!t r"fe&&!"nnelle au&&! c"- le2e 3ue &t!-ulante -a!& !l& -4aur"nt &urt"ut er-!& d4ac3ur!r une d-arc5e de c"ndu!te de r"1et et de -e rendre c"- te de& tac5e& 3u! !nc"-:ent / un c5ef de r"1et7

,e &"u5a!te 3ue ce ra

"rt &"!t en -e&ure de &at!&fa!re le&

-e-:re& du 1ur; et rc"lter a!n&! leur& fl!c!tat!"n&7