Vous êtes sur la page 1sur 32

LAZREK Hammad

Administrateur Réseaux Informatique


Faculté de Médecine et de Pharmacie

SOMMAIRE :

INTRODUCTION
I- PREMIERE PARTIE
I.1 NOTION DE FIREWALL OU DE PARE -FEU
I.2 MISE EN PLACE ET CONFIGURATION D’UN PARE -FEU SOUS UN SYSTEME
UNIX
I.2.1 CONFIGURER LINUX POUR JOUER LE ROLE D’UN FIREWALL FILTRANT
I.2.2 QUELQUES MOTS SUR “IPCHAINS”
I.2.3 FONCTIONNEMENT D’IPCHAINS
I.3 MANIPULATIONS
II- DEUXIEME PARTIE
II.1 PRESENTATION DU FIREWALL DE MICROSOFT INTERNET SECURITY &
ACCELERATION (ISA) SERVER
II.2 INSTALLATION DE ISA SERVER
II.3 CONFIGURATION DE LA TABLE D’ADRESSES LOCALE
II.4 NOTION DE RESEAU DE PERIMETRE
II.5 CONFIGURATION DE ISA
II.6 LES ELEMENTS DE BASE DE ISA SERVER
II.6.1 FILTRES DE PAQUETS
II.6.2 LES REGLES DE STRATEGIES D’ACCES
II.6.3 LES REGLES DE PUBLICATION
II.7 SCENARIO DE TRAVAIL
II.8 CREATION DES FILTRES DE PAQUETS POUR LES SERVEURS DU RESEAU
DE PERIMETRE
III.9 CREATION DE LA REGLE DE PUBLICATION WEB
CONCLUSION

-1-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

I- Première Partie :

Cette partie traite de la sécurisation d’un réseau de serveurs en utilisant un ordinateur LINUX
dédié fonctionnant comme pare-feu

I.1 Notion de FireWALL ou Pare-Feu :

Un Firewall est un ordinateur ou appareil muni de deux interfaces réseau qui sert à protéger et
isoler les réseaux les uns des autres. Le cas le plus courant d’utilisation est de protéger un réseau
interne d’une entreprise ou d’un particulier du réseau Internet, mais il peut aussi bien servir pour
séparer les réseaux de deux entreprises ou de deux services.

Réseau Interne

Réseau Externe

On voit sur ce schéma que le seul moyen pour accéder d’un réseau à l’autre est de passer par la
machine firewall, ce qui permet de contrôler totalement ce qui s’échange entre les deux réseaux en
ouvrant ou fermant les voies d’accès sur le firewall.

Il existe deux types de firewall :

§ Les firewall IP ou filtrants : ils fonctionnent au niveau paquets. Ils sont conçus pour
contrôler le flux de paquets en fonction de l’origine, la destination, le port et
l’information de type de paquets contenues dans chacun de ceux-ci.

§ Les serveurs Proxy : ils utilisent un soft particulier pour faire passer les requêtes d’un
réseau à l’autre, ils permettent l’accès indirecte à Internet depuis l’arrière d’un firewall.

I.2 Mise en place et configuration d’un Pare-Feu sous un système UNIX :

A supposer qu’on a déjà installé LINUX, mais qu’on ne dispose pas des fonctionnalités du
FireWall, dans ce cas on doit recompiler le noyau. Cette opération n’est réalisable que si on dispose
des sources de ce dernier.

-2-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

I.2.1 Configurer Linux pour jouer le rôle d’un firewall filtrant :

Le noyau Linux inclut nativement un module de filtrage de paquets, pour exploiter ses
fonctionnalités il faut employer un utilitaire appelé « ipchains ». Celui ci est compris dans les
distributions “Mandrake” ou “RedHat” de LINUX.

Pour utiliser ces fonctions, il est nécessaire de recompiler le noyau comme suit :

§ On se place d’abord dans le répertoire “/usr/src/linux”


§ On tape commande “make xconfig”,
La fenêtre de configuration du kernel s’affiche :

§ On sélectionne : Netwoking Options,

-3-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

On active les options suivantes :


§ Firewall réseau
§ Protocole TCP/IP
§ Transmission/routage IP (forwarding/gatewaying)
§ Firewalling IP
§ Masquage pour ICMP (nécessaire si on veut utiliser ping et traceroute)
§ Gestion des comptes (accounting)
§ L’Aliasing n’est pas nécessaire, mais on peut l’activer pour simuler plusieurs cartes réseau à
des fins de test.

On entre ensuite les commandes : “make zImage” et “make modules”, pour compiler le noyau et
les modules associés, puis on réinstalle le noyau et redémarre l’ordinateur.

Il ne faut pas perdre de vue qu’une machine firewall doit, pour jouer son rôle de protection,
posséder deux interfaces réseau. En effet si ce n’est pas le cas, rien n’empêche une station sur le réseau
externe d’accéder au réseau interne sans passer par le firewall, le rendant ainsi inutile.
Un dernier point à contrôler : linux possède un interrupteur général autorisant (ou non) le
passage des trames IP d’une interface à l’autre. Si cet interrupteur est à off, aucun passage ne sera
autorisé quelque soit la configuration que on appliquera.
On peut contrôler l’état de cet interrupteur au moyen de la commande suivante :
“cat /proc/sys/net/ipv4/ip_forward”
Si l’on obtient 0 : pas de passage, 1 : passage autorisé selon la configuration.
On peut changer l’état grâce à la commande :
“echo 1 > /proc/sys/net/ipv4/ip_forward”
Les distributions “RedHat” et “ Mandrake” forcent cet interrupteur à off par défaut.

-4-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Il est possible de disposer des fonctionnalités du Firewall de Linux directement après le premier
démarrage si l’on effectue une sélection individuelle des paquetages lors de l’installation, et en
cochant les cases “Firewall” et “Routeur”. Cependant la transmission des paquets d’une interface
réseau à l’autre ne sera possible qu’après modification de l’état de l’interrupteur.

I.2.2 Quelques mots sur Ipchains :

Ipchains est un module du noyau Linux qui réalise essentiellement du filtrage de paquets IP. Les
Ipchains Linux sont une réécriture du code pare-feu IPv4 de Linux (en grande partie inspiré de BSD)
ainsi que de ipfwadm qui était lui-même une réécriture du ipfw de BSD.

I.2.3 Fonctionnement d’Ipchains:

Ipchains peut filtrer les paquets selon 3 chaînes : ce qui rentre (input), ce qui sort (ouput) et ce qui est
transmis (forward). Une chaîne est une vérification de règles. Bien entendu, on peut définir des
chaînes différentes suivant l’interface utilisée. Par exemple :

· Tout ce qui arrive sur eth0 (la carte réseau) est filtré d’une manière.
· Tout ce qui rentre sur l’interface ppp0 (modem) est filtré d’une autre manière.

Pour chacune des chaînes, 3 polices peuvent être utilisées :

· on accepte le paquet (ACCEPT),


· on rejette le paquet en prévenant la source dont on a droppé le paquet (REJECT)
· ou on supprime le paquet directement (DENY).

Remarque : il n'est pas conseillé d'utiliser REJECT mais plutôt DENY, car lorsque quelqu'un essaye
de pirater notre système, il vaut mieux qu'il ne sache pas si le paquet est accepté ou rejeté.

L’outil Ipchains propose plusieurs opérations pour gérer les chaînes. On peut agir sur la règle
et/ou ses paramètres par les opérations ci-dessous :

-5-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Syntaxe

OPERATION
Créer une nouvelle chaîne -N
Supprimer une chaîne vide -X
Changer la police d’une chaîne intégrée -P
Lister les règles d’une chaîne -L
Supprimer les règles d’une chaîne -F
Mettre à zéro les compteurs de paquets et d’octets sur toutes les règles d’une chaîne -Z
Ajouter une nouvelle règle à une chaîne -A
Insérer une nouvelle règle à une position quelconque de la chaîne -I
Remplacer une règle à une position quelconque de la chaîne -R
Supprimer une règle à une position quelconque de la chaîne -D
Supprimer la première règle vérifiée dans la chaîne -D
Lister les connexions masquées actuelles -M -L
Configurer les valeurs de timeout pour le camouflage -M -S

Chaque règle d’une chaîne se termine par l’une de ces six actions :

· ACCEPT : le paquet passe


· DENY : le paquet est rejeté
· REJECT : le paquet est rejeté et l’émetteur est prévenu avec un message d’erreur

-6-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

· MASQ : le paquet est camouflé et le destinataire ne connaîtra pas l’adresse de l’émetteur


(action applicable uniquement dans la chaîne forward)
· REDIRECT : le paquet est redirigé vers un port destination particulier (action applicable
uniquement dans la chaîne input)
· RETURN : force à terminer le parcours de la chaîne à ce niveau et appliquer la police

Notre travail consistait à protéger un réseau de serveurs de type SCO Open Server (qui est une
variante de UNIX) de toutes les attaques provenant aussi bien de l’intérieur que de l’extérieur. Les
failles de sécurité sur ces serveurs provenaient essentiellement des services installés par défaut tels
que “finger” et “netstat”, et de l’accès non autorisés de certains utilisateurs. Un firewall filtrant
représentait une solution idéale pour limiter l’accès aux services autorisés (filtrage sur les ports des
serveurs), en effectuant préalablement un filtrage sur les adresses IP des utilisateurs.
Sachant que ce genre de firewall ne peut effectuer le filtrage que sur des adresse IP statiques,
on ne pouvait effectuer aucun contrôle sur les clients DHCP, la mesure que nous avons adopté face à
cette situation, est d’interdire tout accès aux serveurs et de délivrer des autorisations au compte-goutte.

A supposer que l’on dispose déjà d’une machine configurée comme routeur et comme firewall,
la chaîne qui effectue la transmission des paquets d’une interface à l’autre est la chaîne : “Forward”.

C’est sur cette chaîne que nous avons effectué toutes les restrictions, une question légitime
pourrait alors se poser : Pourquoi ne pas appliquer les restrictions sur la chaîne input puisque toutes les
connexions entrantes passe par cette chaîne ?
La réponse est que linux utilise plusieurs connexions locales, et vu que notre politique est de
tout interdire d’abord est d’autoriser ensuite, si l’on interdit tous les accès à la machine locale il
faudrait ensuite autoriser toutes les connexions (souvent inconnues) que le système utilise pour
maintenir son bon fonctionnement.

I.2.4 Manipulations :

On dispose d’une machine possédant deux cartes Ethernet dont les adresses respectives sont :
192.168.1.10 et 192.168.10.10. Cette machine jouera le rôle de firewall, elle est connectée au réseau
de serveurs par la première interface, le réseau de clients est connecté sur la deuxième interface. La
passerelle par défaut des serveur est : 192.168.1.10, et celle des clients est : 192.168.10.10.

A supposer que l’on veut autoriser les service WEB, FTP et SMTP sur le serveur : SERVEUR1
d’adresse 192.168.1.1.

Pour commencer, nous allons effacer toutes les règles des trois chaînes intégrées puis
positionner une politique pour chacune :

· ipchains –F
· ipchains –P input DENY
· ipchains –P forward DENY
· ipchains -P output DENY

-7-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Autoriser les services HTTP, FTP et SMTP :

ipchains –A forward –p tcp -s 192.168.1.1 80 –d 192.168.10.0/24 1024:65535 -j ACCEPT


ipchains –A forward –p tcp -s 192.168.10.0/24 1024:65535 –d 192.168.1.1 80 -j ACCEPT

ipchains –A forward –p tcp -s 192.168.1.1 21 –d 192.168.10.0/24 1024:65535 -j ACCEPT


ipchains –A forward –p tcp -s 192.168.10.0/24 1024:65535 –d 192.168.1.1 21 -j ACCEPT

ipchains –A forward –p tcp -s 192.168.1.1 25 –d 192.168.10.0/24 1024:65535 -j ACCEPT


ipchains –A forward –p tcp -s 192.168.10.0/24 1024:65535 –d 192.168.1.1 25 –j ACCEPT

Pour sauvegarder cette configuration, il est possible d’enregistrer les règles dans un fichier à
l’aide de la commande : ipchains-save > regles.txt Et de les recharger par la suite (par exemple au
redémarrage du firewall) avec : ipchains-restore < regles.txt.

Bien sûr, si on voulait introduire une nouvelle chaîne (new_chain), il aurait fallu y enregistrer
les règles d’une des chaînes intégrées et rediriger la sortie de la chaîne intégrée vers la nouvelle avec
par exemple : ipchains –A forward –p tcp -j new_chain

Les règles sont effacée chaque fois que le système s’éteint, pour ne pas avoir à les réécrire à
chaque démarrage, on les écrit dans un fichier qui sera chargé lors de la phase de boot, en les plaçant
par exemple dans un fichier “rc.firewall” dans le répertoire : “/etc/rc.d/”. On peut aussi placer la ligne
suivante : “source chemin_fichier_regles” dans le fichier “/etc/rc.d/init.d/ipchains”. Cette ligne permet
de lire et d’exécuter les commandes contenues dans le fichier avec l’environnement du Shell en cours.

Remarque : Nous tenons à signaler que la version de linux dont nous nous sommes servis est
la 8.2 de Mandrake, la version du noyau est la 2.4.

-8-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

#!/bin/bash
ipchains -F
ipchains -P input ACCEPT
ipchains -P forward DENY
Ipchains -P output ACCEPT

#on utilise deux valeurs min et max pour balayer les IPs
#la variable proto est une chaîne qui indique le protocole à autoriser
#port est un entier qui indique le service à autoriser

Proto=tcp
Declare -i port=23
Declare -i min=1
Declare -i max=15
while (( min < max )) ;
do echo Autorisation Acces IP : 192.168.1.$min au Serveur 192.168.1.200 Port
: $port;
ipchains -A forward -p $proto -s 192.168.1.200 $port -d 192.168.1.$min
1024:65535 -j ACCEPT;
ipchains -A forward -p $proto -s 192.168.1.$min 1024:65535 -d 192.168.1.200
$port -j ACCEPT;
min=min+1;
done;

port= 21
while (( min < max )) ;
do echo Autorisation Acces IP : 192.168.1.$min au Serveur 192.168.1.200 Port
: $port;
ipchains -A forward -p $proto -s 192.168.1.200 $port -d 192.168.1.$min
1024:65535 -j ACCEPT;
ipchains -A forward -p $proto -s 192.168.1.$min 1024:65535 -d 192.168.1.200
$port -j ACCEPT;
min=min+1;
done;

-9-
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

port= 80
while (( min < max )) ;
do echo Autorisation Acces IP : 192.168.1.$min au Serveur 192.168.1.200
Port : $port;
ipchains -A forward -p $proto -s 192.168.1.200 $port -d 192.168.1.$min
1024:65535 -j ACCEPT;
ipchains -A forward -p $proto -s 192.168.1.$min 1024:65535 -d 192.168.1.200
$port -j ACCEPT;
min=min+1;
done;

port= 25
while (( min < max )) ;
do echo Autorisation Acces IP : 192.168.1.$min au Serveur 192.168.1.200
Port : $port;
ipchains -A forward -p $proto -s 192.168.1.200 $port -d 192.168.1.$min
1024:65535 -j ACCEPT;
ipchains -A forward -p $proto -s 192.168.1.$min 1024:65535 -d 192.168.1.200
$port -j ACCEPT;
min=min+1;
done;

Il existe une autre manière de mettre en place le firewall, elle consiste à configurer directement
Linux en tant que pare-feu. En effet, le système d'exploitation Linux comporte une fonction de filtrage
par paquets implémentée au niveau du noyau. Jusqu’à la version 2.1.102, cette fonction était
paramétrable avec l’outil ipfwadm, puis cet outil a été remplacé par ipchains. Depuis la version 2.4,
une autre fonctionnalité, iptables, coexiste avec ipchains et offre en plus le service de translation
d’adresses.

- 10 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

II- Deuxième Partie :


II.1 Présentation du Firewall de Microsoft Internet Security & Accélération (
ISA ) Server.
Une multitude de réseaux sont aujourd’hui connectés à Internet et il est primordial de disposer
d’une passerelle Internet à la fois puissante et facile à administrer offrant une connexion sécurisée, tout
en étendant et en améliorant les performances du réseau. Microsoft Internet Security and Acceleration
(ISA) Server répond à ces exigences par une solution de connectivité Internet contenant à la fois un
pare-feu d’entreprises et une solution de cache web complète. Ces services sont complémentaires et on
peut utiliser l’une ou l’autre de ces fonctionnalités, ou les deux, lorsque l’on installe ISA Server sur le
réseau.

ISA Server protège le réseau sur lequel il est installé, et permet de mettre en œuvre une stratégie
de sécurité d’entreprise en configurant un ensemble de règles spécifiant quels sont les sites, les
protocoles et les contenus qui peuvent transiter par l’ordinateur ISA Server. ISA Server surveille les
échanges de demandes et de réponses entre Internet et les ordinateurs clients internes, contrôlant qui
est habilité à accéder aux ordinateurs du réseau de l’entreprise, et a quels ordinateurs, sur Internet, les
clients internes peuvent accéder.

II.2 INSTALLATION DE ISA Server :

Pour utiliser Microsoft Internet Security and accélération (ISA) Server, on doit disposer des éléments
suivants :
§ un ordinateur équipé d’un processeur compatible pentium II à 300 MHZ ou supérieure,
exécutant l’un des systèmes d’exploitation suivants :
o Microsoft Windows 2000 Server avec service pack 1 ou ultérieure,
o Windows 2000 advanced Server avec services Pack 1 ou ultérieure,
o Windows 2000 Datacenter Server.

§ 256 Mo de RAM;
§ 20 Mo d’espace disque disponible ;
§ une carte réseau compatible Windows 2000 pour le communication avec le réseau interne ;
§ une partition de disque dur local formatée pour le système de fichiers NTFS.

Dans le mode d’installation, on a le choix entre une installation en mode pare-feu, cache ou
intégré, comprenant les deux précédents.

Dans le cadre de notre travail, nous avons installé ISA Server en mode Intégré afin de bénéficier
des fonctionnalités du cache et de pare-feu.

II.3 Configuration de la table d’adresses locale :

- 11 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Lors de l’installation d’ISA installé en mode intégré, on doit spécifier la table d’adresses locales
(TAL). La TAL est une table contenant toutes les adresses IP internes utilisées par le réseau
interne situé derrière l’ordinateur ISA Server. Celui ci utilise la TAL pour contrôler la manière
dont les machines du réseau internes accèdent et communiquent avec les réseaux externes.
Outres les plages d’adresses IP privées définies par l’IANA (Internet Assigned Numbers
Authority), la TAL contienne généralement toutes les adresses IP associées aux cartes de réseaux
internes de l’ordinateur ISA.

Comme on peut le voir sur la figure précédente, nous avons décidé d’importer uniquement une partie
des adresses basées sur la table de routage de Windows 2000.

Remarques :
· Il est impératif que le service de routage soit configuré et fonctionne correctement sous
Windows 2000 Server afin de pouvoir importer les plages d’adresses IP correspondante dans la
TAL.
· Il est important aussi que les adresses du réseau de périmètre (là ou seront les serveurs) ne
soient pas incluses dans la TAL, autrement elles seront considérée comme faisant partie du
réseau et par conséquent invisibles sur le réseau externe, par contre elles ne bénéficieront
d’aucune protection contre les intrusions internes.

- 12 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

II.4 Notion de Réseau de Périmètre :

Un réseau de périmètre (également appelé DMZ, zone de démilitarisation ou sous-réseau


masqué) est un petit réseau situé à l’écart du réseau privé d’une organisation et d’Internet. Le réseau
de périmètre permet aux utilisateurs externes d’accéder à des serveurs spécifiques situés sur ce type
de réseau, tout en interdisant l’accès au réseau interne de l’entreprise. Une organisation peut également
limiter fortement l’accès des réseaux de périmètre aux ordinateurs du réseau interne.
Par exemple le réseau de périmètre peut inclure le serveur Web de l’entreprise, de tel sorte que
le contenu Web puisse être envoyé vers Internet. Cependant le réseau de périmètre n’autorise pas
l’accès aux autres données de la société disponibles sur les ordinateurs du réseau local. Même si un
utilisateur externe pénètre la sécurité du réseau de périmètre, seuls les serveurs du réseau de périmètre
seront exposés.

Configuration de ISA Server en scénario de triple hébergement


II.5 Configuration de ISA :
Comme nous l’avons dit précédemment, la machine sur laquelle est installé ISA Server possède
deux interfaces réseau. La première, est reliée au segment contenant les ordinateurs du réseau local, la
seconde interface est relié au segment contenant les serveurs de l’entreprise, le serveur ISA pourra
également être relié à l’Internet par une troisième interface. Nous avons bien un scénario à triple
hébergement.
Ici le problème des clients des serveurs DHCP ne se pose pas. A l’installation ISA inclut
quelques règles de paquets par défaut, l’une d’entre elles laisse passer les requêtes DHCP.
La figure suivante montre la console de ISA Server :

- 13 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

II.6 Les éléments de base de ISA Server :

II.6.1 Filtres de paquets :

Les filtres de paquets servent à intercepter les paquets destinés à des ordinateurs spécifiques de
votre réseau d'entreprise pour soit les autoriser, soit les bloquer. On peut configurer deux types de
filtres de paquets IP statiques : les filtres Autoriser et les filtres Bloquer.

Les filtres Autoriser sont des filtres d'exception : tous les types de paquets sont bloqués exceptés
ceux que nous spécifions. Si aucun filtre de paquets n'est activé pour un port spécifique, le service ne
peut pas écouter sur ce port sauf s'il est ouvert dynamiquement.

Les filtres Bloquer ferment les ports spécifiés. On peut créer et configurer des filtres Bloquer
pour mieux définir le trafic autorisé à transiter par l'ordinateur ISA Server.

Les paramètres suivants permettent de définir les filtres de paquets IP :

· Protocole, port et sens. Le filtre autorise ou bloque le trafic au niveau du port spécifié en
utilisant le protocole spécifié.

- 14 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

· Ordinateur local. Adresse IP de l'ordinateur dans le réseau interne pour lequel les
communications sont ouvertes ou bloquées. On peut spécifier une adresse IP unique ou une
plage d'adresses IP sur l'ordinateur ISA Server.
· Ordinateur distant. Adresse IP de l'ordinateur sur l'Internet pour lequel les communications
sont autorisées ou bloquées.

Remarque :

Lorsque l’on active le filtrage de paquets sur Microsoft Internet Security and Acceleration (ISA)
Server, tous les paquets situés sur l’interface externe sont ignorés sauf s’ils ont été explicitement
autorisés statiquement (les ports sont ouvert de façon statique), par les filtres de paquets IP (Internet
Protocol), soit dynamiquement (les ports sont ouverts au fur à mesure de l’arrivée des requêtes), à
l’aide de règles de stratégie d'accès ou de publication.

Pour activer le filtrage de paquets :

On développer le nœud stratégie d’accès, en faisant un click droit sur filtres de paquets la fenêtre
suivante apparaît :

- 15 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Utilités des filtres de paquets :

Dans la plupart des cas, il est préférable d'ouvrir les ports en mode dynamique. Par conséquent, il
est généralement recommandé de créer des règles de stratégie d'accès pour autoriser l'accès des clients
internes à Internet ou des règles de publication pour autoriser les clients externes à accéder à des
serveurs internes. En effet, les filtres de paquets IP ouvrent les ports de façon statique, alors que les
règles de stratégie d'accès et de publication les ouvrent en mode dynamique.

Dans certains scénarios, on doit utiliser des filtres de paquets IP. On configure les filtres de
paquets IP dans les cas suivants :

· Publier des serveurs résidant sur un réseau du périmètre (également appelé DMZ, zone
démilitarisée et sous-réseau masqué).
· Exécuter sur l'ordinateur ISA Server des applications ou d'autres services qui doivent rester à
l'écoute d'Internet.
· On souhaite octroyer un accès à des protocoles qui ne sont pas fondés sur UDP (User
Datagram Protocol) ou TCP (Transmission Control Protocol).

- 16 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

II.6.2 Les règles de stratégie d’accès :

Les stratégies d'accès se composent de règles de protocole et de règles de site et de contenu :

Les règles de protocole définissent les protocoles qui peuvent être utilisés pour établir la
communication entre le réseau local et Internet. Les règles de protocole sont traitées au niveau de
l’application, par exemple, une règle de protocole peut autoriser les clients à utiliser le protocole
HTTP.

Les règles de site et de contenu définissent le contenu des sites Internet accessibles par les
clients situés derrière le serveur ISA. Les règles de site et de contenu sont traitées au niveau de
l’application, par exemple, une règle de site et de contenu peut autoriser les clients à accéder à toutes
les destinations situées sur Internet.

Lorsque l’on crée une nouvelle règle de protocole, on peut spécifier les heures de son
application, les clients auxquels elle s’applique et les protocoles qui seront autorisés :

- 17 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

II.6.3 Les règles de publication :

Microsoft Internet Security and Acceleration Server (ISA Server) utilise la publication sur serveur
pour passer les demandes externes aux serveurs internes tels que les serveurs SMTP (Simple Mail
Transfer Protocol), les serveurs FTP (File Transfer Protocol), les serveurs SQL (Structured Query
Language), etc. Les demandes sont transmises en aval vers un serveur interne situé derrière
l'ordinateur ISA Server.

La publication sur serveur permet pratiquement à tous les serveurs de notre réseau interne de
publier vers l'Internet. La sécurité n'est pas compromise, car toutes les demandes entrantes et toutes les
réponses sortantes transitent par ISA Server. Lorsqu'un serveur est publié par un ordinateur ISA
Server, les adresses IP publiées sont en fait les adresses IP de l'ordinateur ISA Server. Les utilisateurs
qui demandent des objets pensent qu'ils communiquent avec l'ordinateur ISA Server (dont ils ont
spécifié le nom ou l'adresse IP lors de la demande de l'objet) alors qu'en fait ils demandent les
informations au serveur de publication actuel.

Les règles de publication sur serveur déterminent la manière dont la publication sur serveur
fonctionne, notamment le filtrage des demandes entrantes et sortantes via l'ordinateur ISA Server. Les
règles de publication sur serveur mappent les demandes entrantes sur les serveurs appropriés situés
derrière l'ordinateur ISA Server. Elles autorisent de manière dynamique l'accès des utilisateurs Internet
au serveur de publication spécifique.

Fonctionnement de la publication :

ISA Server suit la procédure ci-après :

1. Un ordinateur client sur Internet demande un objet d'une adresse IP, connue comme étant celle
du serveur de publication. Cette adresse est en fait associée à l'ordinateur ISA Server (il s'agit
de l'adresse IP de la carte réseau externe appartenant à l'ordinateur ISA Server).
2. L'ordinateur ISA Server traite la demande, mappant l'adresse IP à une adresse IP interne d'un
serveur interne.
3. Le serveur interne renvoie l'objet à l'ordinateur ISA Server qui à son tour la transmet au client
demandeur.

Lorsque l’on crée une règle de publication sur serveur, on doit spécifier les éléments suivants sous
l’onglet “Action”:

· L'adresse IP de l'ordinateur ISA Server. Cette adresse est celle à laquelle les clients externes
pourront accéder. Les clients externes ne communiquent pas directement avec le serveur de
publication mais avec cette adresse IP. Cette adresse doit être configurée en tant qu'adresse IP
externe sur l'ordinateur ISA Server.

- 18 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

· L'adresse IP du serveur de publication. Toutes les demandes qui arrivent à l'adresse IP


spécifiée par l'ordinateur ISA Server sont envoyées à cette adresse IP.
· Le protocole serveur mappé. Les données sont transmises au serveur interne en utilisant le
protocole que nous spécifions. On peut sélectionner l'une des définitions de protocole
configurées sur l'ordinateur ISA Server avec le sens Entrant.

Liste des protocoles pouvant être mappés vers les serveurs internes :

II.7 Scénario de travail :

- 19 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Notre réseau local est composés de postes clients, et un serveur HTTP interne qu’il va falloir
publier en utilisant une règle de publication Web, trois serveurs sur le réseau de périmètre : un serveur
FTP, un serveur TELNET et un serveur SMTP.

Configuration du réseau :

Nous disposons des informations suivantes :

§ les adresses IP du réseau interne sont de la forme : 192.168.1.0


§ les adresses IP du réseau de périmètre ont de la forme : 192.168.10.0
§ l’adresse du serveur FTP : 192.168.10.10
§ l’adresse du serveur TELNET : 192.168.10.11
§ l’adresse du serveur SMTP : 192.168.10.12
§ l’adresse du serveur HTTP (interne) : 192.168.1.100

Par défaut aucun transfert de paquet n’est autorisé entre les deux réseaux, nous procédons comme suit
pour autoriser les services précédents :

§ On inclus les adresses du réseau interne dans la TAL.


§ On active le filtrage de paquets ainsi que le routage des paquets IP.
§ On crée des filtres de paquets pour autoriser l’accès aux serveurs du réseau de périmètre.
§ On crée une règle de publication pour autoriser les clients internes et externes à accéder aux
informations contenues dans le serveur http.

- 20 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

II.8 Création des filtres de paquets pour les serveurs du réseau de périmètre :

On montre ici les étapes de création d’un filtre de paquets pour autoriser seulement l’accès
serveur TELNET (port 23), sachant que l’on aura à refaire les même étapes pour créer les filtres de
paquets des serveurs FTP et SMTP, il faudra alors en plus de l’adresse IP des serveurs changer le
numéro de port (21 pour FTP et 25 pour SMTP), le protocole étant toujours TCP.

Etape 1 : Nom du filtre de paquets.

Après avoir développé le nœud “Stratégie d’accès”, on clique sur le nœud “Filtres de paquets IP”, on

peut alors faire un click droit dans la fenêtre des filtres, ou bien cliquer sur :

Pour voir apparaître la fenêtre précédente.

Si l’on veut changer les paramètres du filtre ultérieurement, on double-clique sur le filtre en
question ou l’on clique sur :

Etape 2 : le mode de filtrage.

- 21 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

On spécifie maintenant le mode de filtrage. (Se reporter à la différence entre les filtres “Bloquer”
et les filtres “Autoriser”.)

Puisque la transmission de paquets est interdite par défaut, et que l’on veut autoriser les client
internes (ou externes) à se connecter au serveur, on choisis le mode autoriser.

Etape 3 : types de filtres.

Dans la mesure où TELNET ne figure pas dans la liste des services prédéfinis, il faut cocher la
case “Personnalisé” afin d’entrer les informations relatives au service désiré.

Etape 4 : paramètres du filtre.

- 22 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Si l’on désire autoriser le service TELNET sur le serveur, ce service se met en écoute sur le port
23 et le protocole sur lequel il est basé est TCP.

On autorise la transmission des paquets dans les deux sens, sinon une seule des deux machines
pourra envoyer mais ne pourra rien recevoir (l’autre station ne peut envoyer).

Etape 5 : Ordinateur Local.

- 23 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

A cette étape il faut donner l’adresse IP du serveur situé sur le réseau de périmètre.

Etape 6 : Ordinateurs distants.

En cochant la case tous les ordinateurs distants,on autorise non seulement les clients internes à
accéder au serveur, mais aussi les clients externes dans le cas ou le serveur ISA serait connecté a
Internet.

- 24 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Etape 7 : Validation des résultats fournis.

Cette étape est la dernière avant la création du filtre, nous avons ici un récapitulatif de toutes les
informations que l’on a fourni au cours du processus de création du filtre.

II.9 Création de la règle de publication WEB :

Avant de passer à la création de règle de publication, il serait utile d’en expliciter d’abord les
utilités :

Les fonctions de publication sur le Web de Microsoft Internet Security and Acceleration (ISA)
Server sont utiles pour les entreprises qui souhaitent publier en toute sécurité un contenu Web à partir
de leur intranet protégé. ISA Server peut protéger un serveur Web qui héberge une entreprise
commerciale sur le Web ou qui permet d'accéder à des sociétés partenaires. L'ordinateur ISA Server
imite un serveur Web aux yeux de monde extérieur, pendant que le serveur Web gère l'accès aux
services de réseau internes.

Le serveur Web que l’on publie peut résider sur le même ordinateur que ISA Server ou sur un
autre.

- 25 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Dans cet exemple, nous avons deux serveurs Web dans le réseau interne qui est protégé par le
serveur ISA. Quand un client externe désire accéder au informations qui sont contenues dans le
répertoire “Marketing” du serveur “mktg” par exemple, il entre le nom de l’ordinateur ISA Server
suivi du dossier où sont stockées les pages qu’il veut consulter. De même si le deuxième client veut
accéder aux pages du dossier “Développement” dans le serveur “dev”, il devra entrer l’adresse : “
example.microsoft.com/Developement”.ISA Server achemine les demandes au serveurs appropriés, et
prévient ainsi toutes intrusions de l’extérieur puisque les adresses IP des serveurs internes ne seront
jamais visibles.

Notion de destination :

Pour les règles de publication Web, les ensembles de destinations incluent généralement le nom
externe de l’ordinateur ISA Server et du chemin d'accès.

Une destination est un nom d’ordinateur, une adresse IP (Internet Protocol) ou une plage IP et
peut inclure un chemin d'accès. Les ensembles de destinations incluent un ou plusieurs ordinateurs ou
dossiers sur des ordinateurs spécifiques.

On peut également indiquer des chemins d'accès spécifiques sur un ordinateur qui peut être
accessible ou non aux clients. Le chemin peut également inclure l'astérisque comme caractère
générique. Par exemple, pour spécifier toutes les URL du chemin “/somedir”, on tape le chemin
suivant : “/somedir/*”, l'astérisque ne peut apparaître qu'une seule fois et uniquement à la fin du
chemin.

Grâce aux destinations il est possible de publier plusieurs serveurs Web internes sur le même
ordinateur ISA.

Etape 1 : Création de la destination :

§ On développe le nœud “Eléments de stratégie”


§ On clique sur “Ensemble de destinations”
§ On clique alors du bouton droit sur la fenêtre des destinations, ou bien l’on clique sur :

- 26 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Apparaît alors la fenêtre suivante :

On entre le nom de la destination, puis on clique sur le bouton Ajouter.

- 27 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

Dans le champs adresse IP, on indique l’adresse IP externe (celle qui n’est pas reliée au réseau
interne), et dans le chemin : “ /* ”indique que l’on veut accéder à toutes les URL contenues dans le
serveur WEB dont n’ont été spécifié ni le nom ni l’adresse.

On valide alors pour créer l’ensemble de destination.

§ On développe ensuite le nœud “Publication”

- 28 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

§ Puis on clique sur “Règles de Publication Web”


§ On clique alors sur :

La création de la règle de publication Web proprement dite commence :

On indique alors la destination que l’on a créée plus haut.

- 29 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

On peut autoriser un groupe ou tous les clients externes à accéder au serveur.

- 30 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

On spécifie maintenant le nom (ou l’adresse IP) du serveur Web interne.

Finalement on récapitule et on valide :

- 31 -
LAZREK Hammad
Administrateur Réseaux Informatique
Faculté de Médecine et de Pharmacie

- 32 -