Installation de ISA Server 2000

1 Installation et configuration de WINDOWS 2000 Server :

Après l’installation de Windows 2000 Server le dernier Service Pack de Windows est
nécessaire pour supprimer les trous de sécurité du système d’exploitation, Service
Pack 1 minimum obligatoire pour l’installation de ISA Server.

Installation des composants Windows:

Dans Outils de gestion et d’analyse :

-outils analyse réseau: pour analyser et réparer les paquets de données qui
transitent par le réseau.
-SNMP : protocole de gestion de réseau sur TCP/IP.

Dans Services de mise en réseau :

-services authentification Internet : permet les opérations d’authentification,
d’autorisation et de gestion des utilisateurs distants.
-service de contrôle d’admission QOS : pour spécifier la qualité de la connexion
réseau pour chaque sous réseau.

Il faut réduire le nombre des composants et services à leur strict minimum.

1
 NetBIOS : Beaucoup d’attaques sont tentées et réussies sur les API NetBIOS ; Il
est donc important de désactiver NetBIOS sur l’interface externe du serveur ISA.
Dans les propriétés TCP/IP de la carte externe (coté Internet) il faut cliquer :

Avancé > onglet Wins > Désactiver NetBIOS avec TCP/IP.

La commande « netstat –na » dans l’invite de commande permet de connaître les

ports qui sont en écoute. Les ports TCP : 139 UDP : 137 et UDP :138 sont des ports
NetBIOS, ils ne doivent pas l’être sur les interfaces externes.

Configuration des cartes réseaux :

Voici un exemple pour un ISA Server en tant que pare-feu tri résident, avec une
DMZ publique.
Il est plus facile de renommer les 3 cartes réseau comme suit : Internet - DMZ
Publique - Réseau.

Carte Internet : - IP publique

- Passerelle par défaut : prochain routeur du FAI
- DNS : Fournit par le FAI

Carte Réseau : - IP privée statique

- Passerelle par défaut : routeur interne s’il en existe
- DNS : celui du réseau, si il y en a un

Carte DMZ : - IP publique du réseau DMZ

- Passerelle par défaut : aucune
- DNS : aucun

Pour le mode dos à dos, seuls la carte Internet et la carte DMZ existent.
Pour le mode bastion c’est évidemment la carte DMZ qu’on enlève.
Si l’on veut créer une DMZ privée, les IP de la zone DMZ deviennent privées.

2
2 Installation de Microsoft ISA 2000 Server :

Vérifier qu’aucun message d’erreur n’apparaît dans l’observateur d’événement.

Avant d’installer ISA Server il faut savoir si on l’installe sur un serveur autonome ou
sur un serveur membre d’un domaine.
Si le serveur ISA ne doit pas faire de filtrage au niveau des utilisateurs en se
raccrochant à un Active Directory, ou ne doit pas dialoguer avec un autre Proxy, il
peut alors être configuré comme serveur autonome.
Dans ce cas le serveur ne doit pas appartenir à un domaine Windows 2000 et le
schéma ISA Server ne doit pas être installé dans Active Directory.

La pré installation qui suit ne doit être appliquée que si l’on crée un serveur ISA
membre d’un domaine.

Pré Installation pour un serveur ISA membre d’un domaine:

A l’ouverture du CD d’installation il faut choisir : Initialiser la configuration

d’entreprise.

3
Une configuration est demandée :

Il est préférable d’utiliser la stratégie de

groupe car elle permet d’appliquer des
règles (site et contenu, protocole, filtres de
paquets) plus spécifiques et précises par
rapport à la stratégie d’entreprise beaucoup
plus permissive et globale.

Autoriser des règles de publication permet

la publication du serveur web et du serveur
de messagerie.

Forcer le filtrage de paquets sur le groupe

équivaut à forcer le filtrage de paquets sur chaque serveur du groupe.

Installation de ISA :

4
- Il est préférable de choisir l’installation personnalisée pour n’installer que les
composants nécessaires :

- Dans les services complémentaires et les utilitaires d’administration il ne faut choisir

que « Gestion ISA » (console d’administration du serveur ISA), les autres services ne
sont utiles que pour NetMeeting, il est déconseillé d’installer « Filtreur de messages »
car il nécessite obligatoirement IIS qui est fortement déconseillé sur ISA.

- Notre nom du groupe : SECURITE

5
- Le choix du mode intégré est intéressant car il permet de bénéficier des fonctions
Firewall et de la fonction cache pour accélérer la navigation Web :

- Taille et emplacement du cache : 100 Mo sur C est suffisant (peut se modifier par
après) :

6
 Configuration de la table d’adresses locales (TAL)

Plages adresses IP délimitant l’espace des adresses réseaux internes de la topologie

du projet, ici 4 sous réseaux :
192.168.10.0 – 192.168.10.255
192.168.11.0 – 192.168.11.255
192.168.12.0 – 192.168.12.255
192.168.13.0 – 192.168.13.255

Il faut ensuite « construire la table » en ajoutant les plages privées et choisir la patte
interne de notre serveur ISA:
10.0.0.0 – 10.255.255.255
169.254.0.0 – 169.254.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

Dans la construction de la table on peut choisir les plages privées ainsi que les
cartes réseaux internes :

L’installation de ISA 2000 est terminée.