Vous êtes sur la page 1sur 57

Cet article prsente la nouvelle mouture du pare-feu de Microsoft.

Nous commencerons par traiter de l'installation d'ISA, puis nous voquerons sa configuration au niveau thorique mais aussi au niveau pratique par le biais d'exemples. Enfin nous verrons quels sont les outils disponibles pour mettre jour un serveur Internet Security & Acceleration 2000. Cet article se veut trs complet, mme si il n'est pas exhaustif. Son principal but tant d'introduire les nouveauts de la version 2004 (interface remodele, filtres applicatifs et filtres web, ordre d'application des rgles, chanage de pare-feu, MSDE, support de RADIUS et SecureID, vrificateurs de connectivits, tableau de bord, connexions secondaires, IPSec tunnel mode, mise en quarantaine,...).

Sommaire 1. Prsentation Gnrale d'ISA Server 2004 1.1 Introduction 1.2 Nouveauts par rapport la version 2000 1.3 Configuration requise 1.4 Les diffrentes versions disponibles 1.5 valuer ISA Server 2004 gratuitement 2. Installation et configuration initiale 2.1 Installation du logiciel 2.2 Une interface entirement repense 2.3 L'assistant modle rseau 2.4 Le chanage de pare-feu et le chanage web 3. Paramtrage du pare-feu 3.1 Introduction 3.2 Les lments de stratgie 3.3 La cration des rgles de pare-feu 3.4 Ordre d'application des rgles 3.5 Les rgles de stratgie systme 3.6 Le filtrage applicatif 3.7 Conclusion 4. Exemples de configuration 4.1 Introduction 4.2 Autoriser l'accs Internet pour les clients du rseau interne 4.3 Interdire compltement l'accs MSN Messenger 4.4 Interdire l'accs MSN Web Messenger 4.5 Conclusion 5. Implmentation de la mise en cache 5.1 Introduction 5.2 Configuration de la mise en cache d'un serveur Web 5.3 Conclusion 6. Mise en place d'un serveur VPN 6.1 Introduction 6.2 Un paramtrage simplifi 6.3 De nouvelles options 6.4 La fonction de mise en quarantaine 6.5 Conclusion 7. Configuration des ordinateurs clients 7.1 Introduction 7.2 Configurer un client SecureNAT 7.3 Configurer un client du Proxy Web 7.4 Utilisation du protocole WPAD pour paramtrer automatiquement les clients du Proxy Web 7.5 Dploiement et configuration des clients pare-feu 7.6 Interoprabilit avec le client pare-feu d'ISA 2000 7.7 Conclusion

8. Surveillance et monitoring d'ISA Server 2004 8.1 Introduction 8.2 Vue d'ensemble du tableau de bord 8.3 Configuration et utilisation des vrificateurs de connectivit 8.4 Gestion de la journalisation 8.5 Gnration de rapports 8.6 Conclusion 9. Migration d'ISA Server 2000 vers ISA Server 2004 9.1 Prrequis 9.2 Sauvegarde des paramtres du serveur ISA en vue d'une migration 9.3 Mise niveau du serveur 9.4 Importation des paramtres prcdemment sauvegards dans ISA Server 2004 10. Conclusion

Prsentation gnrale d'ISA Server 2004


1.1 Introduction
La sortie dInternet Security & Acceleration Server 2004 durant le mois de Juillet (2004) a t un vnement trs important pour Microsoft. En effet ce logiciel apparat comme tant llment clef de la politique de scurit actuellement instaure par la firme de Redmond (cf. : notre article). Pour rappel, cette politique est essentiellement compose de quatre points : Une augmentation du niveau de scurit par dfaut pour les applications (on peut par exemple citer le firewall de Windows XP qui sactive automatiquement ds linstallation du Service Pack 2). Une maintenance et un dploiement facilit des mises jour grce de nouveaux outils (SUS, MBSA, SMS, et bientt WUS ...). Un meilleur niveau de scurit dans le dveloppement (Microsoft assure que le code de ses prochaines applications sera plus scuris ). Une meilleure sensibilisation des utilisateurs et notamment du grand public sur le problme de la scurit via un site web ddi.

Aprs un tel discours et tant donn le contexte actuel ( pourriels , vers et virus sont devenus le quotidien des internautes et le cauchemar des administrateurs), Microsoft se devait de lancer une mise jour convaincante de son logiciel phare concernant la scurit. Cet article souhaite prsenter ce nouveau produit sous toutes ses coutures.

1.2 Nouveauts par rapport la version 2000


Pour commencer, rappelons quISA Server ne joue pas simplement le rle de pare-feu mais aussi de serveur de Proxy et de serveur VPN. Voici une liste non exhaustive des principales nouveauts et amliorations apportes depuis la version 2000 : Une nouvelle interface graphique beaucoup plus ergonomique et intuitive. Le paramtrage des rgles de routage/NAT entre les diffrents rseaux connects au serveur ISA a t rvolutionn grce la cration dun assistant de configuration rseau qui permet de se dcharger totalement de cette opration et permet ainsi de se concentrer sur le paramtrage des options lies la scurit. La configuration des rgles du pare-feu a t entirement revue par rapport la version 2000 notamment au niveau de lordre dapplication des rgles. De nouveaux filtres applicatifs ont t ajouts ou modifis. Par exemple le filtre HTTP a t grandement remani afin daugmenter le niveau de scurit des applications web comme IIS, Exchange ou bien encore Outlook.

Les possibilits au niveau de la surveillance (ou monitoring) ont t dveloppes en profondeur. Ainsi on pourra visualiser les journaux (logs) et les sessions actives en temps rel, importer et exporter des rapports au format HTML, tester la connectivit rseau, Le serveur VPN est dornavant totalement intgr au serveur ISA et son paramtrage en est dautant plus facilit. La possibilit dimporter et dexporter la configuration du serveur ISA au format XML.

Si vous souhaitez prendre connaissance de lensemble de modifications et des nouveauts par cette nouvelle version, deux alternatives s'offrent vous : o o o o tlcharger les spcifications techniques au format *.doc disponible ici. visualiser les spcifications techniques en HTML. tlcharger le document de prsentation officiel au format PowerPoint ici. consulter le site ddi ISA Server

1.3 Configuration requise


Voici les caractristiques logicielles et matrielles requises pour excuter ISA Server 2004 : processeur Pentium III 550 ou plus performant 256Mo de mmoire vive un nombre de cartes rseaux et/ou modems adquats une partition ou un volume format avec le systme de fichier NTFS et disposant de 150Mo despace libre (bien entendu, si vous souhaitez activer la mise en cache, il faudra disposer de plus despace). un minium de deux interfaces rseau (carte rseau, modem RNIS, modem ADSL,...) Windows Server 2003 ou Windows 2000 Server SP4 (Attention : Microsoft recommande l'installation du correctif disponible sur la page suivante en plus du Service Pack 4) Internet Explorer 6.0 ou suprieur

Bien entendu vous devrez tenir compte du nombre de clients connects "derrire" le serveur ISA ainsi que des fonctions que vous activerez pour ajuster le matriel de votre serveur.

1.4 Les diffrentes versions disponibles


A l'heure actuelle ISA Server est uniquement disponible en version Standard (cette version ne peut grer qu'un maximum de 4 processeurs physiques). La version Entreprise qui devrait bnficier de fonctionnalit tendue n'a pas encore t commercialise mais est dj mentionne sur le site amricain.

En ce qui concerne la restriction applique au niveau du nombre de processeur, elle prend uniquement en compte les processeurs physiques. Ainsi il est possible d'utiliser l'dition standard du serveur ISA sur un systme quip de 4 processeurs bi-cores supportant l'hyperthreading. Le systme d'exploitation reconnatra seize processeurs mais seulement 4 processeurs seront compt en ce qui concerne le licensing . Il est important de le prciser car tous les diteurs de logiciels ne mnent pas la mme politique vis--vis des processeurs supportant l'hyperthreading et/ou le multi-cores. La version standard d'ISA Server 2004 ne comporta aucune restriction en ce qui concerne la mmoire vive. Les seules limitations ce niveau seront celles du matriel et de l'OS (4Go sur la version standard de Windows Server 2003, 32Go sur la version Entreprise et jusqu' 512Go sur la version 64 bits de Windows Server 2003 Datacenter Edition). Pour acqurir ISA Server 2004 en France, il faut passer par le biais d'un revendeur agre Microsoft. Le cot d'une licence standard pour ISA 2004 est semblable celui pratiqu au tats-unis, soit environ 1499 euros. On se retrouve donc dans la mme gamme de prix que pour la version 2000...

1.5 valuer ISA Server 2004 gratuitement


Conformment la politique mene par Microsoft depuis quelques annes, une version complte d'ISA Server 2004 limite 120 jours est disponible gratuitement sur le site de Microsoft. Vous devez possder un compte passport .Net accder la page de tlchargement. Le fichier, d'une taille de 46,8 Mo est disponible ici en version franaise.

Installation et configuration initiale


2.1 Installation du logiciel
Contrairement la version 2000 qui proposait 3 modes d'installation diffrents (mode cache, mode pare-feu et mode intgr), ISA Server 2004 ne propose qu'un seul mode d'installation. Dornavant l'activation ou non de la mise en cache se paramtre dans la console de Gestion ISA et n'est plus tributaire du mode d'installation choisi au dpart. Aprs l'insertion du CD-ROM d'installation, le menu ci-contre apparat. Il permet d'installer ISA Server 2004 ou bien de mettre jour un serveur ISA 2000. Pour ralisez la migration d'ISA 2000 vers ISA Server 2004, le Service Pack 1 pour ISA 2000 doit tre install au pralable. L'installation ne prsentant aucunes difficults (choix des composants installer, dfinition de la table d'adresses locales, activation de la prise en charge des clients pare-feu utilisant l'ancienne version du client...) elle ne sera pas dtaille dans cette page. Cependant si vous souhaitez vraiment connatre tous les dtails du processus d'installation vous pouvez tout de mme consulter cette page. Une fois l'installation termine, six nouveaux services sont installs et doivent tre dmarrs pour que le serveur fonctionne correctement. Quatre de ces services concernent directement ISA Server : Contrle de Microsoft ISA Server : ce service est le service principal d'ISA 2004. Il se rvle trs utile pour arrter/dmarrer le service pare-feu et le service Planificateur de tches Microsoft ISA Server en une seule opration. Pare-feu Microsoft : ce service est le plus important, il gre toutes les connexions faites au serveur, les rgles du pare-feu, les rgles de mise en cache, ... S'il n'est pas dmarr, aucune des fonctionnalit du serveur n'est assure (mise en cache, parefeu et serveur VPN). Planificateur de tches Microsoft ISA Server : ce service permet de planifier des rapports sur l'activit du serveur. Espace de stockage Microsoft ISA Server : ce service gre notamment le systme de surveillance intgr ISA Server et l'espace mmoire ncessaire la mise en cache .

Les deux autres services correspondent au moteur de SQL Server 2000. En effet, MSDE 2000 version A (pour Microsoft SQL Server Desktop Engine) est utilis afin de stocker les donnes (notamment les donnes des journaux et des rapports) : MSSQL$MSFW MSSQLServerADHelper A l'issu du processus d'installation, il est conseill de consulter les trois fichiers journaux gnrs dans le rpertoire %WINDIR%\temp: le fichier ISAWRAP_xxx contient un rsum du processus d'installation. le fichier ISAMSDE_xxx contient des information dtailles concernant l'installation du moteur de base de donnes MSDE. le fichier ISAFWSV_xxx contient des informations dtailles concernant l'installation d'ISA Server.

2.2 Une interface entirement repense


Tout comme pour la version 2000, on utilise une console MMC (Microsoft Management Console) pour grer le serveur ISA. Cependant, ISA Server 2004 a fait lobjet dune refonte totale au niveau graphique. Outre le nouvel aspect bien plus esthtique grce ses formes arrondies, cette console nouvelle gnration apporte un rel plus en terme d'ergonomie par rapport l'ancienne console qui possde une lourde interface compose dune arborescence complique et de menu mal conus.

La console de Gestion ISA version 2000

Comme vous pouvez vous en rendre compte le nouvel utilitaire de configuration conserve un systme avec deux fentres. Cependant, la fentre de gauche prsente dornavant une arborescence bien plus simpliste compose de 4 menus principaux : Surveillance Stratgie de pare-feu Rseaux privs virtuels (VPN) Configuration (compose de 4 sous menus : Rseaux, Cache, Add-ins et Gnral)

Les autres options de configuration sont ensuite accessibles par le biais de la fentre de droite grce un systme donglets trs bien pens.

La console de Gestion ISA version 2004

2.3 Lassistant modle rseau


Lune des principales amliorations au niveau de l'interface concerne la configuration du NAT et/ou routage entre les diffrents rseaux connects au serveur ISA. En effet, un assistant trs efficace est dsormais disponible pour mettre en place sans efforts administratifs les topologies rseau classiquement utilises sur un pare-feu. Il suffit de lancer lassistant et en 3 clics de souris, les rgles qui permettent la communication entre les diffrents rseaux relis au serveur sont automatiquement paramtres. Cinq configurations sont prdfinies :

Pare-feu de primtre Dans cette configuration, le serveur ISA est un hte bastion, cest--dire un pare-feu interconnectant un rseau priv un rseau public. Cest le scnario classique en entreprise lorsque lon souhaite filtrer laccs Internet.

Primtre en trois parties Le serveur ISA possde trois interfaces chacune connecte un sous rseau ou un rseau diffrent : - la premire est connecte au rseau interne de lentreprise - la seconde un rseau priphrique encore appel zone dmilitarise ou DMZ (DeMilitarized Zone) - la dernire un rseau public comme Internet. Pare-feu avant Dans ce scnario, le serveur ISA est configur pour tre le premier pare-feu dun rseau quip de deux pare-feu mis dos--dos. Le serveur ISA est lordinateur qui filtre les informations circulant entre le rseau priphrique (DMZ) et le rseau public (ex. : Internet).

Pare-feu arrire Dans ce scnario, le serveur ISA est configur pour tre le second pare-feu dun rseau quip de pare-feu dos--dos. Le serveur ISA est lordinateur qui filtre les informations circulant entre le rseau interne de lEntreprise et le rseau Priphrique (DMZ).

Carte rseau unique Dans cette configuration, ISA Server 2004 est paramtr pour assurer uniquement la fonction de mise en cache (serveur de Proxy). Il fonctionne sur le mme rseau que le rseau interne et ne peut faire ni routage, ni serveur VPN, ni pare-feu.

Bien entendu ladministrateur du serveur a toujours la possibilit de crer ces rgles rseaux et il peut aussi diter manuellement toute la configuration. Cependant, lassistant a le mrite de dbarrasser ladministrateur de cette tche supplmentaire ce qui lui permet de se concentrer sur les autres paramtres du serveur ddis eux la scurit (mise en place de rgles, dalertes et de filtres).

On peut galement noter quune configuration rseau peut tre sauvegarde au format XML ce qui permet de pouvoir la restaurer trs rapidement. La possibilit de pouvoir importer/exporter une configuration est d'ailleurs disponible pour tous les types de paramtres du serveur (ensemble de rseaux, rgles de rseaux, rgles de chanage web, stratgies de pare-feu, configuration des clients VPN, rgles de cache, filtres,... ). On peut supposer que cette possibilit s'tendra tous les futurs produits Microsoft.

Pour accder longlet ci-contre, il suffit de dvelopper larborescence et daller dans configuration/networks.

2.4 Chanage de pare-feu et chanage web


Le chanage consiste raccorder plusieurs serveurs ISA entres eux afin d'optimiser au maximum l'utilisation de la bande passante rseau. Cette fonctionnalit peut se rvler trs utile dans le cas d'une entreprise possdant un site principal et plusieurs sites distants. Il existe deux types de chanage sous ISA Server 2004 : le chanage web qui s'applique uniquement aux clients du Proxy web le chanage de pare-feu qui s'applique uniquement aux clients SecureNAT et aux clients parefeu

Considrons une entreprise possdant un site principal et deux sites distants. Admettons que le site principal regroupent environ 2500 machines alors que les succursales en regroupent 50 chacune. Toutes les machines clientes sont configures en tant que clients du Proxy web. Chaque succursale contient un serveur ISA fonctionnant en tant que serveur de proxy. Dans ce cas, il est possible d'acclrer grandement les performances de la navigation web dans les sites distants de la manire suivante :

utiliser la connexion Internet locale pour les requtes HTTP destines des sites web franais (c'est--dire des sites appartenant au domaine DNS *.fr) rediriger toutes les autres requtes vers le serveurs ISA du site principal afin de bnficier du fichier de cache de ce serveur qui doit tre plus consquent et plus jour tant donn le nombre de clients appartenant au site principal.

le chanage de serveurs ISA Le chanage web route (ou redirige) les demandes des clients du Proxy web vers la connexion Internet locale, un autre serveur de Proxy situ en amont ou bien directement vers un serveur HTTP. ISA Server 2004 permet de dfinir des rgles de chanage web trs flexible afin d'optimiser au maximum les performances de la navigation et la charge rseau. On peut par exemple rediriger les requtes destination d'une URL ou d'un ensemble d'URL donn vers un serveur de Proxy spcifique.

Le chanage de pare-feu redirige les demandes des clients SecureNAT et des clients pare-feu vers la connexion Internet locale ou vers un autre serveur ISA situ en amont. Il n'est pas possible de dfinir de rgles prcises en ce qui concerne le chanage de pare-feu.

Paramtrage du pare-feu
3.1 Introduction
Nous allons maintenant voir comment paramtrer le pare-feu du serveur ISA. En effet, depuis la version 2000, les options du pare-feu ont t profondment revues. Voici un rappel des nouveauts : Interface et mthode de cration des rgles d'accs amliores Modification de lordre dapplication des rgles Stratgie systme Remaniement des filtres d'application

3.2 Les lments de stratgie


A linstar dISA 2000, on utilise des lments de stratgie dfinis pralablement afin de simplifier et de structurer la cration de rgles d'accs pour le pare-feu mais aussi pour la cration de tous les autres types de rgles existantes (rgles de mise en cache, rgles de stratgie systme,...) comme nous le verrons ultrieurement. Les diffrents types dlments sont : Protocoles Utilisateurs Types de contenus Planifications Objets de rseau

Un certain nombre dlments existent par dfaut ce qui vite ladministrateur de devoir tous les redfinir. On peut crer et visionner les lments de stratgie dans longle bote outils situe dans le menu de la fentre de droite (ce menu saffiche si lon slectionne stratgie de pare-feu dans larborescence). Par dfaut le nombre de protocoles prfinis est impressionnant. Ils sont classs par groupe ce qui facilite grandement les recherches. Ainsi si l'on souhaite paramtrer une rgle pour autoriser ou refuser l'accs aux pages Web il faudra aller chercher dans le conteneur Web qui contient notamment les protocoles HTTP et HTTPS. Cette classification se rvle trs utile l'usage. En effet, cela vite de devoir faire des recherches sur Internet lorsqu'on ne connat pas le numro de port et/ou les plages de ports utilises par une application donne. On peut citer quelques dossiers intressants : VPN et IPSec qui permet d'autoriser l'accs VPN (IKE, IPSec, L2TP, PPTP,...) Terminal distant donne accs aux principaux protocoles d'administration distance (RDP, Telnet, SSH,...) Messagerie instantane qui permet d'autoriser ou d'interdire rapidement l'accs aux principales applications (ICQ, AIM,

MSN, IRC...) Bien entendu on peut rajouter des dfinitions de protocoles la liste prsente au dpart si le besoin s'en fait sentir. L'onglet Utilisateurs permet de crer des groupes d'utilisateurs qui seront utiles lors de la cration des rgles du pare-feu. La grande nouveaut ce niveau est la gestion des comptes contenus sur les serveurs RADIUS ou sur les serveurs grant l'authentification via le protocole SecureID en plus des comptes de domaine Active Directory.

Un certain nombre de types de contenus existe par dfaut, ce qui permet de simplifier la cration de rgles sur les contenus. On peut citer documents web, images, audio ou bien encore vido. Les lments de stratgie Types de contenus se rvlent trs utiles pour permettre des utilisateurs de surfer tout en les empchant de tlcharger certains fichiers (comme les vidos par exemple).

Les deux planifications types prsentes par dfaut sont simplistes et devront tre retouches afin de correspondre aux horaires de votre entreprise. Il ne faudra pas hsiter ici crer plusieurs autres planifications comme pause ou repas qui permettront de paramtrer des rgles d'accs spcifiques certains moments de la journe. Les objets rseaux sont trs importants pour le paramtrage des diffrentes rgles du serveur ISA. Les ensembles de rseaux et les rseaux sont cres automatiquement lors de la slection d'un modle rseau. Par exemple si vous choisissez le modle pare-feu de primtre les rseaux Interne, Externe, Clients VPN et Clients VPN en quarantaine seront ajouts. Le rseau hte local est toujours prsent, il reprsente le serveur ISA. Le "rseau" clients VPN en quarantaine contient l'ensemble des clients VPN dont la connexion a t refuse car leurs niveaux de scurit n'tait pas satisfaisant. Cette mise en quarantaine des clients "non scuriss" est une nouveaut de la version 2004 d'ISA server. Nous aborderons la configuration de la mise en quarantaine dans le chapitre ddi au serveur VPN. Une autre catgorie d'objet de rseau intressante est la possibilit de crer des ensembles d'URL et des ensembles de noms de domaines. Cela va permettre de bloquer ou d'autoriser certains sites ou certaines pages. Si le nombre de sites web auquel vos utilisateurs doivent accder est faible, il est fortement recommand de crer un lment de stratgie nomm sites autoriss ce qui permettra vos utilisateurs d'accder uniquement ces sites.

3.3 La cration des rgles du pare-feu

Par rapport sa version 2000, la cration des rgles du pare-feu a t modifie. Ainsi il ny a plus quun seul type de rgles contrairement aux trois types de rgles (rgles de protocoles, rgles de sites et de contenu et filtres de paquets) dISA Server 2000. Voici les informations rentrer pour paramtrer une rgle type. ACTION -refuser -autoriser PROTOCOLE - ensemble de protocoles - port particulier SOURCE / DESTINATION - ensemble de site - ensemble de noms de domaine - plage dadresses IPs APPLICATION - utilisateurs - groupes - personnalise CONDITION -plage horaire -type de contenu

Cette nouveaut a le mrite de simplifier la configuration et la comprhension car on na beaucoup moins de rgles paramtrer. Par exemple pour autoriser laccs Internet avec ISA Server 2000 il faut crer deux rgles (une rgle de site et de contenu pour autoriser laccs vers telle ou telle destination et une rgle de protocoles pour autoriser les protocoles HTTP et HTTPS) alors quISA Server 2004 ne ncessite quune seule rgle pour arriver au mme rsultat.

Longlet tches contient lensemble des actions ralisables pour paramtrer le pare-feu. On y retrouve les possibilits sappliquant aux rgles d'accs (cration, dition, dsactivation, suppression), mais aussi tous les types de publication (publication dun serveur Web, publication dun serveur web scuris, publication dun serveur de messagerie, publication de serveur). On peut de plus afficher, modifier, importer et exporter les rgles de la stratgie systme. Ces rgles sont dfinies par automatiquement et s'appliquent spcifiquement au serveur ISA qui correspond au "rseau" hte local. Ces rgles permettent par exemple au serveur ISA de joindre un serveur DHCP ou un contrleur de domaine. Les rgles de stratgie systme sont donc essentielles au bon fonctionnement du serveur ISA. Le lien dfinir les prfrences d'IP permet quand lui d'activer le routage IP et de paramtrer le filtre d'options IP. Le filtre d'options IP permet d'autoriser ou de refuser les paquets possdant des options spcifiques. Toutes les oprations d'importation et d'exportation utilisent le format XML. Des exemples de cration de rgles d'accs sont prsents dans la partie ddie cet effet.

3.4 Ordre d'application des rgles

Avec ISA Server 2000, lorsquune requte arrive au pare-feu, une procdure spcifique pour autoriser ou refuser le passage de la requte est ralise :

1. Vrification de lexistence dune rgle de site et de contenu qui refuse la requte 2. Vrification de lexistence dune rgle de site et de contenu qui autorise explicitement la
requte

3. Vrification de lexistence dune de protocole qui refuse la requte 4. Vrification de lexistence dune de protocole qui autorise explicitement la requte 5. Vrification de lapplication dun ventuel filtre de paquet
Avec la nouvelle version, cette procdure complexe est remplace par un autre systme. Dornavant, chaque rgle possde un numro et lorsquune requte arrive au serveur, cest la rgle qui a le numro le plus faible qui sapplique. Ce systme a le mrite dtre beaucoup plus simple comprendre que lancien et il est dailleurs repris en ce qui concerne lensemble des rgles que lon peut crer avec ISA Server 2004 (rgles de translation dadresse et de routage, rgles de pare-feu, rgles de cache, ). Voici un exemple de rgles que lon peut paramtrer :

On note la prsence dune rgle spcifique ne portant pas de numro et note : Dernier . Comme vous pouvez le voir sur la capture dcran ci-dessus, cette rgle bloque tous les protocoles de toutes les sources vers toutes les destinations. Elle est toujours situe la fin et possde donc la priorit la plus basse.

3.5 Les rgles de stratgie systme


La stratgie systme est un ensemble de rgles qui permettent au serveur ISA de joindre certains services rseau frquemment utiliss. Au premier abord, on pourrait considrer ces rgles de stratgie systme comme un trou de scurit. Cependant la plupart de ces rgles autorisent juste la communication entre l'hte local et le rseau interne. En aucun cas, un utilisateur externe ne peut accder au serveur ISA ou bien au rseau de l'entreprise via l'une de ces rgles. Le but de Microsoft avec la stratgie systme est de trouver un bon compromis entre connectivit et scurit. Si la stratgie systme n'existait pas, le serveur ISA ne pourrait communiquer avec aucune autre machine. Ceci empcherait notamment le serveur ISA de raliser les actions suivantes : ouvrir une session sur le domaine rcuprer un bail DHCP rsoudre les noms de domaines pleinement qualifi en adresse IP etc.

Le scnario de l'installation distance via une session Terminal Server permet de bien se rendre compte de l'utilit de la stratgie systme du point de vu administratif. En effet, si la stratgie systme n'existait pas, vous pourriez installer ISA 2004 sur une machine distante, mais ds le lancement du service pare-feu, la session Terminal Server serait immdiatement dconnecte car le protocole RDP serait bloqu. Cela obligerait ensuite l'administrateur a se dplacer sur le site distant pour crer une rgle d'accs autorisant le protocole RDP ce qui peut s'avrer contraignant si le site distant est situ 6000 kilomtres !

extrait des rgles de stratgie systme Bien entendu, les rgles de stratgie systme inutiles doivent tre dsactives afin de rduire la surface d'attaque. Pour ce faire, un assistant spcifique nomm diteur de stratgie systme est disponible. Il permet de dsactiver toutes les rgles de stratgie systme, mais aussi de les configurer.

L'diteur de stratgie systme est accessible partir de l'onglet Tches

3.6 Le filtrage applicatif


Cette nouvelle version d'ISA Server met l'accent sur les filtres d'application qui sont maintenant plus nombreux et qui possdent des fonctionnalits avances. Contrairement aux filtres de paquets qui analysent uniquement l'en-tte des paquets IP pour savoir si le paquet doit tre bloqu ou non, les filtres d'application analysent aussi le corps du paquet. Les filtres d'application sont au nombre de 12.

exemple de filtres d'application

Pour activer ou dsactiver des filtres d'application, il faut utiliser la fentre prsente ci-dessus (cette fentre est situe dans le menu configuration / Add-ins de l'arborescence). Par dfaut tous les filtres d'application sont activs afin de procurer une scurit maximale. Les filtres inutiliss peuvent tre dsactivs afin de ne pas faire chuter les performances sur une machine peu puissante.

3.7 Conclusion
Voici les points essentiels retenir pour crer des rgles d'accs sous ISA Server 2004 : La cration des rgles d'accs fait appel des lments de stratgie Chaque rgle est applique dans un ordre bien prcis Des filtres spcifiques peuvent tre appliqus sur les rgles d'accs Certaines rgles sont prsentent par dfaut (stratgie systme)

Exemples de configuration
4.1 Introduction
Ce chapitre a pour but de prsenter la configuration de certaines rgles souvent mises en place (accs Internet, autorisation/interdiction de MSN Messenger, ...). Chaque sous partie se consacre un exemple en particulier.

4.2 Autoriser l'accs Internet pour les clients du rseau interne


Nous allons maintenant crer une rgle autorisant l'accs Internet (c'est--dire au rseau externe dans cet exemple) pour tous les clients pare-feu du rseau interne via le ports 21, 80, 443 et 1863 (le port utilis par MSN Messenger pour la connexion et l'change de messages). Il faut commencer par donner le nom le plus explicite possible la rgle que l'on souhaite crer. On doit ensuite slectionner l'action a effectuer (autoriser ou refuser). Si l'on slectionne Refuser, la possibilit de rediriger la requte vers une page web est offerte (cela permet de faire comprendre l'utilisateur que la page a t bloque intentionnellement par le pare-feu et que ce n'est donc pas un problme technique). Il faut choisir le ou les ports de destination pour le(s)quel(s) la rgle va s'appliquer. Dans notre exemple, tous les protocoles sont prdfins (ce sont des lments de stratgie prsent par dfaut dans le serveur) et il suffit juste d'ajouter les protocoles nomms FTP, HTTP et HTTPS l'aide du bouton adquat. Il est possible de dfinir quels sont les ports sources l'aide du bouton Ports... Dans notre exemple nous laissons l'option par dfaut qui autorise tous les ports sources (ainsi les clients pourront accder des sites web et des serveurs FTP quel que soit le logiciel client utilis).

L'tape suivante consiste spcifier le rseau source et le rseau de destination. Dans notre exemple, le rseau source correspond Interne (le rseau local de l'entreprise) et le rseau de destination correspond Externe (Internet).

Enfin on slectionne les ensembles d'utilisateurs pour lesquels la rgle entrera en action. Dans notre cas, le groupe nomm Tous les utilisateur authentifis est retenu. Cependant, tous les groupes de scurit dfinis dans le service d'annuaire Active Directory peuvent tre utiliser pour crer une rgle plus fine.

Une fois l'assistant termin, la rgle est inoprante. Pour que qu'elle entre en action il suffit de cliquer sur le bouton Appliquer qui apparat au milieu de l'interface de la console de gestion ISA.

Et voil ! Tous les utilisateurs de votre rseau ont maintenant accs Internet, et ce quel que soit leur navigateur (Internet Explorer, Safari, Firefox, Opra,...) ou bien leur client FTP (Internet Explorer, FileZilla,...). Bien entendu, certains pr-requis doivent tre respects pour que tout fonctionne correctement : Les ordinateurs clients doivent tre capable de joindre un serveur DNS rsolvant les noms DNS "publiques" Les ordinateurs client doivent tre configurs pour joindre le serveur ISA Le pare-feu prsent sur les ordinateurs client doit lui aussi tre configur pour autoriser l'accs Internet

4.3 Interdire compltement l'accs MSN Messenger


A l'instar de Windows Messenger, MSN Messenger est une application de messagerie instantane permettant d'accrotre grandement la productivit des utilisateurs (chat, vidoconfrence, change de fichiers ais,...). Cependant l'utilisation de ce logiciel en entreprise peut entraner quelques drives... Si vous souhaitez empcher certains utilisateurs de l'utiliser, plusieurs solutions sont envisageables : crer deux rgle d'accs interdisant la communication avec le serveur messenger.hotmail.com configurer les clients pare-feu pour empcher MSN Messenger d'accder au rseau configurer le filtre HTTP pour bloquer l'application MSN Messenger en analysant le paramtre adquat

Nous allons tudier les avantages et les inconvnients de chacune de ces mthodes. 1re mthode tant donn que MSN Messenger utilise plusieurs ports ou plage de ports pour mettre en oeuvre ses diffrents services (texte, change de fichier, son...). La solution la plus simple reste d'interdire le port TCP 1863 qui est utilis l'change de messages textuels mais surtout pour la connexion initiale. Pour cela, il n'est pas ncessaire de crer un lment de stratgie, puisque le protocole MSN Messenger est prdfini dans ISA 2004. Il suffit donc de crer une rgle d'accs bloquant le protocole MSN Messenger entre le rseau Interne et l rseau Externe et s'appliquant au bon groupe d'utilisateurs.

Cependant, une fois la rgle d'accs correctement cre, tous les utilisateurs peuvent encore utiliser MSN Messenger !!! La connexion est un peu plus lente (environ 10 secondes d'cart), mais s'effectue tout de mme, ce qui permet des utilisateurs non autoris de "chatter". Une bonne mthode dans un cas comme celui-ci, est d'utiliser un programme pour analyser les trames envoyes par le logiciel MSN Messenger afin de mieux comprendre son fonctionnement. Il existe pour cela des outils gratuit tel que le Moniteur rseau Microsoft ou bien encore Ethereal. Voici les rsultats d'une analyse de trames lance au moment o l'utilisateur clique sur le bouton Ouvrir une session...

On remarque que le logiciel (excut sur une machine dont l'adresse IP est 10.1.0.2) essaye de se connecter au serveur 207.46.104.20 (cette adresse correspond au FQDN messenger.hotmail.com) en utilisant le port 1863 du protocole TCP. L'opration est rpte trois fois conscutives si le serveur ne rpond pas immdiatement. Ce port tant bloqu au niveau du pare-feu, la demande n'aboutie jamais. L'application essaye ensuite dans un second temps de se connecter ce mme serveur mais l'aide du port 80 qui est normalement rserv au protocole HTTP. Ce port tant ouvert au niveau du parefeu afin de permettre la navigation web, l'application russi a se connecter et la session de l'utilisateur peut ensuite s'ouvrir.

Ce problme peut se rsoudre l'aide d'une rgle d'accs interdisant la communication entre les machines du rseau Interne et le serveur messenger.hotmail.com. Pour cela il faut crer au pralable un lment de stratgie pointant vers l'adresse IP du serveur messenger.hotmail.com ou bien directement vers le nom de domaine pleinement qualifi messenger.hotmail.com. Il est plus judicieux d'interdire le FQDN car mme en cas de modification de l'adresse IP du serveur la rgle restera valide. La fentre ci gauche montre les proprits d'un lment de stratgie. Il se nomme serveur MSN Messenger et pointe vers l'adresse IP 207.46.104.20. Une fois l'lment de stratgie correctement configur, il suffit de crer une rgle refusant les connexions au domaine messenger.hotmail.com et s'appliquant aux groupes appropris. Bien entendu, on peut altrer la rgle prcdemment cre pour bloquer le port 1863 en ajoutant le protocole HTTP au protocole MSN Messenger et en prcisant que la destination est serveur MSN Messenger. Cette rgle va donc empcher les paquets IP expdis par le rseau Interne et destination du serveur messenger.hotmail.com d'atteindre leur objectif quel que soit le port utilis (1863 ou 80). Dans l'exemple ci-dessous les utilisateurs appartenant aux groupes Comptabilit, Production ou Recherche ne peuvent plus se connecter l'aide du logiciel MSN Messenger.

Cette premire mthode est celle qui rpond le mieux la problmatique car elle demande peu de ressources et reste simple mettre en uvre. 2me mthode

Les clients pare-feu rcuprent chaque dmarrage une liste des logiciels autoriss ou non accder au rseau (lorsqu'un logiciel n'est pas mentionn dans cette liste il peut tout de mme accder au rseau). Il est possible de bloquer MSN Messenger par ce biais. Il suffit d'ouvrir la fentre Paramtre du client de pare-feu situe en utilisant le conteneur Gnral de l'arborescence de la console de gestion ISA. Cette fentre montre toutes les applications pour lesquelles l'accs au rseau a t configur. Pour bloquer une application, il suffit d'ajouter une entre correspondante au nom du processus lanc par cette application (sans son extension), puis de donner la valeur 1 au paramtre Disable. Dans notre exemple le processus utilis par MSN Messenger est msnmsgr.exe. Il faut donc crer une entre nomme msnmsgr. Une fois la modification applique au niveau du serveur, il faut penser redmarrer le service Agent du client de pare-feu l'aide des commandes net stop fcwagent et net start fcwagent (ou bien en utilisant la console Services). Ds que cette opration est effectue, le programme ne peut plus accder au rseau et la fentre ci-dessous apparat :

Cette mthode est trs rapide mettre en oeuvre et est trs efficace. Cependant elle possde deux inconvnients majeurs : elle ne s'applique qu'aux clients de pare-feu (et pas aux clients SecureNAT et clients du proxy web) elle ne permet pas d'interdire l'utilisation du logiciel des utilisateurs donns (tous les utilisateurs seront affects par l'interdiction d'utilisation)

3me mthode Une dernire mthode consiste utiliser un filtre web (le filtre HTTP en l'occurence). C'est le procd le plus optimis et le plus sure, cependant, il a le gros inconvnient de demander normment de ressources systme au serveur ISA. En effet, lorsque le filtrage web est activ, le serveur ISA analyse l'en-tte et/ou le contenu de chaque paquet IP provenant du rseau Interne et destination du rseau Externe. C'est pourquoi il faut tenir compte des capacit matrielles du serveur avant d'activer cette option. Le thme du filtrage applicatif et du filtrage web tant trop vaste, nous ne dtaillerons pas ici la configuration du filtre HTTP. Elle sera aborde dans un prochain article. mthode utilise Filtre HTTP trs fort pare-feu secureNAT Rgle d'accs faible pare-feu secureNAT Configuration du client pare-feu quasi nul pare-feu

besoin en ressources sur le serveur ISA

ype de clients supports

proxy web oui long (difficile configurer et tester)

proxy web oui non assez long (il faut relancer le service agent du client de pare-feu sur l'ensemble des clients)

possibilit d'interdire 'usage du logiciel un groupe donn ?

rapidit mise en place

rapide

Avantages et inconvnients des trois mthodes

4.4 Interdire l'accs MSN Web Messenger


Une fois le logiciels MSN Messenger bloqu, les utilisateurs peuvent toujours accder ce service par le biais de sa version web. En effet, le site http://webmessenger.msn.com/ propose une interface reprenant la plupart des services de la version logicielle. Il peut donc s'avrer utile de bloquer l'accs cette URL en complment de la dsactivation de l'application. Pour cela il suffit de crer une rgle interdisant le trafic entre le rseau interne et le domaine webmessenger.hotmail.com sur le port 80 en TCP. Bien entendu, on peut tout aussi bien bloquer l'URL http://webssenger.msn.com ou bien directement l'adresse IP (cicontre l'ensemble de stratgie nomm sites de chat peut tre utilis pour interdire l'accs webmessenger.msn.com).

4.5 Conclusion
Certaines rgles ne sont pas videntes configurer, il faut parfois utiliser des connexions secondaires ou des lments de stratgie supplmentaire. Certains logiciels devant tre autoriss ou interdit sont parfois pas ou peu documents. Une bonne mthode permettant de trouver les informations manquantes reste l'utilisation d'un analyseur de trames comme le Moniteur rseau Microsoft ou bien encore Ethereal. Ce chapitre va tre prochainement modifi avec l'ajout de nouveaux exemples (autoriser toutes les fonction de MSN Messenger, autoriser eMule,....) et de vidos express.

Implmentation de la mise en cache


5.1 Introduction
A l'instar de la version 2000, ISA Server 2004 joue aussi le rle de serveur de proxy. Tous les paramtres relatifs la mise en cache se configurent dans une fentre spcifique accessible via l'arborescence principale (configuration / cache).

5.2 Configuration de la mise en cache

Un onglet "taches" rcapitule les diverses actions possibles : o o o o o activer/dsactiver la mise en cache dfinir la taille maximale qu'occupera le fichier de cache sur chaque partition ou sur chaque volume crer des rgles de cache en utilisant les lments de stratgie prdfinis importer/exporter les rgles de cache activer/dsactiver et paramtrer la mise en cache active

Les rgles de cache s'appliquent avec le mme systme que les rgles d'accs et que les rgles de stratgie systme. La rgle qui possde le numro le plus faible sera donc traite en priorit. Il existe une rgle par dfaut qui met en cache tous les types d'objets HTTP et FTP demands quel que soit le rseau source. Il aussi possible de planifier le tlchargement de certains contenus dans un onglet spcifique.

Les paramtres de la mise en cache restent les mme que sur ISA Server 2000 comme le montrent les deux captures d'cran ci-dessous :

5.3 Conclusion
Sur le plan de la mise en cache, la version 2004 n'apporte donc aucunes modifications par rapport l'ancienne mouture si ce n'est l'ordre d'application des rgles de cache et la centralisation de tous les paramtres de la mise en cache dans une mme fentre.

Mise en place d'un serveur VPN


6.1 Introduction
Avec ISA Server 2000, il est possible de mettre en place un serveur VPN directement dans la console de gestion ISA. Cependant ce mme serveur doit tre paramtr comme un serveur VPN classique cest--dire dans la console routage et accs distant . Avec lintroduction dISA Server 2004, on doit raliser lintgralit de la configuration du serveur VPN dans la console de gestion ISA. Comme nous allons le voir dans la suite de ce chapitre, cette nouveaut permet une configuration plus aise et surtout bien plus scurise.

6.2 Un paramtrage simplifi


Pour commencer, la fentre de paramtrage des rseaux privs virtuels peut tre accde directement partir de larborescence de la console du serveur ISA. Cette fentre va permettre de mettre en place un serveur VPN en quelques clics. En effet, lorsque lon slectionne une topologie rseau avec lassistant de configuration rseau, les paramtres du VPN sont automatiquement rgls pour une mise en production rapide. Ainsi lorsque lon a choisi la topologie rseau pare-feu de primtre, un serveur VPN est configur afin dcouter les ventuelles requtes faites sur la carte rseau externe en utilisant le protocole PPTP et la mthode dauthentification MS-CHAP V2.0. De plus le serveur VPN assigne les adresses IP aux clients VPN en utilisant un serveur DHCP et accepte un maximum de 5 connexions. En rsum, pour rendre le serveur VPN fonctionnel lorsque lon a choisi la topologie rseau pare-feu de primtre, il faut simplement activer le serveur VPN (qui est paramtr automatiquement, mais pas activ) et choisir les groupes et/ou les utilisateurs qui ont le droit de se connecter distance. On peut donc utiliser le serveur VPN intgr ISA en trois clics de souris. Bien entendu, les options du serveur VPN peuvent tre modifies loisir. Pour cela il faut utiliser longlet Tches qui apparat sur la fentre de configuration du VPN. Nous allons voir que le serveur VPN dISA possde des fonctions non implmentes dans celui intgr Windows Server 2003.

6.3 De nouvelles options

Le menu Tches, ci-contre, permet de paramtrer toutes les options du serveur VPN. L'option Configurer l'accs des clients VPN lance une fentre compose de quatre onglets : Gnral : activer/dsactiver laccs des clients au serveur VPN et slectionner le nombre de connexions simultanes (le nombre de connexion par dfaut est de 5).

Groupes : choisir les groupes qui ont l'autorisation d'tablir une connexion distante via le serveur VPN.

Protocoles : permet de choisir le protocole de tunnelling que l'on souhaite utiliser. Les choix disponibles sont PPTP et L2TP/IPSec (le protocole choisi par dfaut est PPTP).

Mappage des utilisateurs : permet d'appliquer les rgles de stratgie d'accs au pare-feu dfinies par dfaut aux client VPN qui s'authentifient avec un protocole d'authentification non Windows (par exemple avec le protocole RADIUS ou le protocole EAP).

Les quatre options situes dans Configuration VPN gnrale (Slectionnez les rseaux, Slectionnez les attributions d'adresses, Slectionnez les mthodes d'authentification et Spcifier la configuration RADIUS) renvoient toutes la mme fentre qui se compose logiquement de quatre onglets.

Le premier onglet nomm Rseaux d'accs (accessible en cliquant sur Slectionnez les rseaux d'accs) permet de choisir partir de quelle interface le serveur VPN sera accessible par les clients et/ou les autres serveurs VPN. Dans le cas du pare-feu de primtre, le paramtre par dfaut est le rseau externe. Cela est normal puisque avec cette topologie, on possde deux rseau : un rseau interne (le rseau priv de l'entreprise) et un rseau public (Internet). On souhaite bien entendu faire bnficier les clients externes de laccs distance et non linverse.

L'onglet Attribution d'adresses (accessible en cliquant sur Slectionnez les rseaux d'accs) permet de forcer le serveur VPN a assigner luimme les adresses IP aux clients VPN parmi une plage dadresses prdfinies ou bien utiliser les adresses fournies par un serveur DHCP. Dans le second cas, on doit slectionner linterface sur laquelle le serveur VPN essayera de contacter un serveur DHCP et choisir (en cliquant sur le bouton Avanc) si les adresses IPs des serveur DNS et WINS seront dynamiques (c'est--dire attribues par le serveur DHCP en mme temps que ladresse IP du client) ou bien statiques.

L'onglet Authentification (accessible en cliquant sur Slectionnez les mthodes d'authentification) propose un large choix de protocoles pour permettre l'authentification des clients d'accs distant. Le protocole slectionn par dfaut est MS-CHAP v2. On peut aussi utiliser EAP. D'autres mthodes, moins scurises, sont prsentes mais uniquement titre de compatibilit. On peut citer MS-CHAP, CHAP, SPAP et PAP. Enfin, il est possible dutiliser une cl pr partage si lon utilise le protocole L2TP/IPsec.

Une des principales nouveauts dISA Server 2004 est la possibilit de pouvoir utiliser un serveur RADIUS pour authentifier les clients daccs distants. L'onglet RADIUS (accessible en cliquant sur Slectionnez la configuration RADIUS) propose d'activer cette fonctionnalit. Dans le cas o ce paramtre est slectionn on peut choisir d'enregistrer les vnements lis l'tablissement et la fermeture des sessions VPN dans le journal du serveur RADIUS. Pour spcifier la liste de serveurs RADIUS a contacter il faut cliquer sur le bouton Serveurs RADIUS et entrer les serveurs dans l'ordre de priorit avec lequel ils doivent tre utiliss.

6.4 La fonction de mise en quarantaine


Une des fonctionnalits les plus innovantes d'ISA Server 2004 reste la mise en quarantaine des clients VPN. En effet, la mise en place d'un serveur VPN pose un gros problme en ce qui concerne la scurit malgr le fait que le processus d'authentification et que les changes soient crypts. La faille provient souvent des machines clientes car elles sont souvent infectes par divers virus, vers, chevaux de Troie et autres logiciels espions. Ces virus, par le biais du rseau priv virtuel, finissent par se retrouver sur le rseau de l'entreprise, ruinant ainsi tous les efforts des administrateurs rseau ! La fonction de mise en quarantaine permet d'isoler les clients ne rpondant certains critres dans un rseau spcifique nomm clients VPN en quarantaine. Les critres de slections doivent tre dfinis dans un script qui s'excute aprs l'authentification des clients. Ce script n'est pas fourni par Microsoft avec ISA Server et doit donc tre dvelopp par l'administrateur ce qui offre une plus grande flexibilit. Il est tout de mme dommage que Microsoft ne se soit pas donn la peine de fournir des scripts prdfinis pour certains scnarios. On peut notamment crer un script vrifiant si le pare-feu du client est actif et si son antivirus et son systme sont jour. En raison de la difficult de mise en place de ce service et de l'envergure du sujet, nous traiterons la configuration de la mise en quarantaine dans un autre article qui lui sera ddi.

6.5 Conclusion
ISA Server 2004 apporte son lot de nouveauts en ce qui concerne la configuration du serveur VPN. Parmi celles-ci, on peut citer le support de l'authentification RADIUS et SecureID la fonction de mise en quarantaine le protocole IPSec tunnel mode qui permet de crer un lien de site site entre un serveur ISA et n'importe quel type de serveur VPN (routeur, machine Unix,...)

Configuration des ordinateurs clients


7.1 Introduction
A l'instar d'ISA 2000, il est possible de configurer les ordinateurs clients de trois manires diffrentes. C'est pourquoi on en distingue trois types : les clients de pare-feu les clients du Proxy web les clients SecureNAT

Les possibilits offertes en terme de scurit, de fonctionnalits mais aussi de dploiement diffrent en fonction du type de client.

7.2 Configurer un client SecureNAT


Un client SecureNAT est un ordinateur configur pour utiliser l'adresse IP du serveur ISA en tant que passerelle par dfaut. Toute machine excutant un systme d'exploitation sur lequel la pile de protocole TCP/IP est supporte (UNIX, BSD, Linux, Windows,...) peut donc devenir un client SecureNAT. Bien videmment lorsqu'un ou plusieurs routeurs sparent le client SecureNAT du serveur ISA, le client devra utiliser l'adresse IP du routeur le plus proche de lui en tant que passerelle par dfaut. Ce type de client s'avre simple et rapide implmenter lorsque le protocole DHCP est utilis (en effet, il n'y a qu'une option a paramtrer au niveau du serveur DHCP pour que les clients SecureNAT fonctionnent).

L'un des dfauts majeur du client SecureNAT est l'absence de systme d'authentification. En effet, l o le client de pare-feu et le client du Proxy web permettent de retrouver l'identit de l'utilisateur, le client SecureNAT permet uniquement de retrouver l'adresse IP de la machine. Cela signifie que les restrictions sur les utilisateurs et les groupes d'utilisateurs ne s'appliquent pas aux clients SecureNAT. Ceci explique pourquoi ils sont utiliss uniquement lorsque cela est ncessaire : dans le cas d'ordinateurs ne supportant pas le client pare-feu (c'est--dire sous Unix/Linux) dans le cas de serveurs devant tre publis

7.3 Configurer un client du Proxy web


Un client du Proxy web est un ordinateur excutant une application configure pour utiliser le serveur ISA en tant que serveur de proxy. L'exemple type est un navigateur web comme Safari, Opra ou bien encore Internet Explorer. Voici quelques caractristiques des clients du Proxy web : ils sont utilisables sur n'importe quel systme d'exploitation (sauf les OS ne grant pas TCP/IP et ne possdant aucun navigateur web...). les seuls protocoles supports sont HTTP, HTTPS et FTP sur HTTP (protocole permettant de consulter le contenu d'un serveur FTP l'aide d'un navigateur web en saisissant des adresses du type ftp://nom_du_serveur dans la barre des URL). Ils proposent d'authentifier ou non les utilisateurs.

Ci-contre, la capture d'cran d'un ordinateur excutant Internet Explorer et configur en tant que client du Proxy web. Il suffit dfinir le nom du serveur ISA ainsi que le port utilis dans le navigateur (cette fentre est est accessible via Outils / Options Internet / Connexions / Paramtres rseaux). Bien entendu, l'apparence et l'emplacement de ces paramtres changent d'un logiciel l'autre. Lorsque le serveur ISA reoit une requte sur le port 80, le client est toujours considr comme un client du Proxy web, et ce quelque soit sa configuration relle (SecureNAT, Proxy web ou parefeu). Par dfaut, ISA Server 2004 utilise le port 8080 pour communiquer avec les clients du Proxy web. Pour modifier ce paramtre, il faut afficher les proprits du rseau Interne en dveloppant Configuration / Rseaux dans l'arborescence de la console de Gestion ISA. L'onglet Proxy web permet de modifier les ports utiliss pour les protocoles HTTP et HTTPS (les valeurs par dfaut sont respectivement 8080 et 8443).

L'onglet Proxy web permet aussi d'activer ou non l'authentification des clients du Proxy web (il suffit de ccher la case Exiger que tous les utilisateurs s'authentifient). Plusieurs mthodes d'authentifications sont disponibles : De base : Cette mthode est proscrire absolument car les informations d'identification (identifiant et mot de passe) sont envoyes en clair ! Digest : Les informations d'identification sont haches ce qui offre une meilleure scurit que l'authentification de base. Lorsque l'on cche la case Digest et que le serveur ISA est install sur un ordinateur excutant Windows Server 2003, le protocole rellement utilis est WDigest. Intgre : L'authentification dite Intgre correspond au protocole Kerberos V5 (ou NTLM dans certains cas). Kerberos met en oeuvre le hachage des donnes et propose une authentification mutuelle. Certificat SSL : Cette mthode vrifie l'identit du client et du serveur l'aide de certificat numriques pralablement distribus par une autorit de certification. Le protocole de cryptage utilis est SSL pour Secure Sockets Layer. RADIUS : RADIUS signifie Remote Authentification Dial-In User Service. C'est un protocole d'authentification standard faisant intervenir le protocole de hachage MD5.

La mthode d'authentification privilgier au sein d'un domaine reste l'authentification intgre Windows en raison de son haut niveau de scurit. La mise en place de l'authentification des clients du Proxy web ne doit pas tre nglige sinon les restrictions des rgles accs sur les utilisateurs et sur les groupes d'utilisateurs ne s'appliqueront pas. En outre, l'authentification permet d'obtenir des statistiques concernant les utilisateurs par le biais des rapports. Ds que l'une des mthodes d'authentification a t choisie, une fentre quivalente celle prsente ci droite apparat. Deux possibilits s'offrent l'utilisateur : Renseigner les champs Nom d'utilisateur et Mot de passe chaque nouvelle instance du navigateur Mmoriser l'identifiant et le mot de passe pour ne plus avoir les remplir

7.4 Utilisation du protocole WPAD pour paramtrer automatiquement les clients du Proxy web
Lorsque les ordinateurs utilisent Microsoft Internet Explorer, leurs configuration en tant que clients du Proxy web est facilit. En effet, il est possible de configurer les paramtres du Proxy l'aide d'un objet stratgie de groupe ou GPO (Group Policy Object). Cela implique videmment que les ordinateurs appartiennent un domaine Active Directory. Les paramtres du Proxy (adresse IP, port, ...) pour Internet Explorer sont configurables au niveau du compte d'utilisateur ou bien au niveau du compte d'ordinateur. Dans les deux cas, il faut dvelopper Paramtres Windows / Maintenance de Internet Explorer / Connexion l'aide de la console diteur de stratgie de groupe.

Lorsqu'une application autre que Internet Explorer doit tre configure, la tche se rvle plus contraignante puisqu'il n'existe aucun moyen de l'automatiser. Les clients doivent donc tre configurs manuellement ce qui entrane : une perte de temps lors de la configuration initiale des applications une perte de temps si le serveur de Proxy change d'adresse IP (il faut alors reconfigurer la main toutes les applications alors qu'avec une GPO il n'y a qu'une valeur modifier une seule fois) une perte de temps si l'ordinateur qui hberge le programme est mobile. En effet, un cadre se dplaant de succursale en succursale avec son ordinateur portable devra reconfigurer manuellement l'adresse IP du serveur de Proxy chaque changement de site (en supposant qu'il y ait un serveur de Proxy par site). Dans ce cas bien prcis, une GPO n'est d'aucun secours...

Pour palier cela, il est possible d'implmenter le protocole WPAD (Web Proxy AutoDetect) qui permet de configurer automatiquement les programmes pour pointer vers le bon serveur de proxy. Bien entendu les applications doivent tre conues pour supporter WPAD (tous les navigateurs rcent tels Opra, IE, Safari, Konqueror, Firefox ou bien encore Netscape Navigator le supportent). C'est par exemple le cas avec Internet Explorer depuis la version 5.0 et Netscape Navigator depuis la version 2.0. WPAD propose deux manire diffrente pour configurer automatiquement les applications web : l'aide d'un enregistrement de ressource spcifique dans le serveur DNS l'aide d'une option spcifique dans le serveur DHCP La premire chose faire avant mme de configurer le serveur DNS ou bien le serveur DHCP est d'activer la prise en charge du protocole WPAD au niveau du serveur ISA. Pour cela, il suffit d'aller dans les proprits du rseau Interne, puis de ccher la case Publier les informations de dtection automatique, situe dans l'onglet Dtection automatique.

Par dfaut, les informations de configuration automatique sont publies sur le port 80. Il est possible de modifier cette valeur mais cela n'est pas recommand. En effet, certains programmes ne peuvent dtecter automatiquement la configuration du serveur Proxy que via le port 80. C'est notamment le cas des navigateurs bass sur le moteur Gecko (Mozilla / Firefox / Netscape Navigator) Si vous choisissez d'utiliser un port diffrent avec ces navigateurs, il faudra spcifier l'adresse de configuration automatique du Proxy manuellement ce qui s'avre aussi contraignant que de dfinir l'adresse du serveur de Proxy de faon classique... L'utilisation du port 80 est donc de mise pour ce service sauf si une autre application utilise dj ce port sur le serveur ISA. Ci-contre la fentre de configuration des paramtres de connexion du navigateur Firefox dans sa version 1.0. On remarque que l'option Dtection automatique des paramtres du Proxy sur ce rseau a t active ce qui signifie que Firefox essaye de se configurer automatiquement l'aide du protocole WPAD en effectuant une recherche sur le port 80. Pour configurer un grand nombre de machines en tant que clients du Proxy web, l'utilisation du serveur DHCP se rvle la plus efficace. Pour cela il faut crer une nouvelle option DHCP (clic droit sur le nom du serveur, puis Dfinir les options prdfinies... dans la console DHCP). Ci-contre, la fentre de cration d'une option DHCP. Il faut dfinir plusieurs paramtres : le nom de l'option le type de donnes (la case cocher tableau permet de crer des options multivalues) le code de l'option une description (facultative)

Il faut ensuite attribuer la valeur http://nom_du_serveur_de_proxy:port_utilis/wpad.dat l'option WPAD prcdemment cre. Bien entendu, vous pourrez appliquer cette option au niveau du serveur, d'une tendue, d'une classe DHCP ou bien encore d'un client rserv.

L'administrateur peut aussi utiliser le serveur DNS pour configurer automatiquement les ordinateurs clients en tant que clients du Proxy web. Il suffit simplement de crer un enregistrement de ressource de type Alias (CNAME) nomm WPAD pointant vers le nom de domaine pleinement qualifi (FQDN) du serveur de proxy. Cet enregistrement doit tre cr dans le mme domaine que les ordinateurs clients. Lorsque l'option DHCP 252 n'a pas t affecte, le client contacte le serveur DNS pour savoir si il existe un enregistrement de ressource nomm wpad.suffixe_dns_client. Le client rcupre donc l'adresse IP du serveur de Proxy en deux tapes : le client cherche le FQDN correspondant wpad.laboms.net (le serveur DNS renvoie la rponse isa-2004.laboms.net) le client cherche l'adresse IP correspondant isa-2004.laboms.net (le serveur DNS renvoie la rponse 10.1.0.1)

7.5 Dploiement et configuration du client pare-feu


Un client pare-feu est un ordinateur sur lequel l'application client de pare-feu Microsoft est installe. Cette application configure automatiquement la machine pour accder Internet ou un autre rseau par l'intermdiaire d'un serveur ISA. Il est possible de dployer ce logiciel de diverses manires : via le partage \\serveur_isa_2004\mspclnt cre automatiquement lors de l'installation d'ISA via un objet stratgie de groupe (GPO) via un package System Management Server (SMS) 2003

Le paramtrage du client de pare-feu est on ne peut plus simple. L'onglet Gnral permet de slectionner manuellement ou automatiquement le serveur ISA. Dans le second cas, le protocole WSPAD (WinSock Proxy AutoDetect) est utilis. WSPAD se configure de la mme manire que WPAD (via un serveur DHCP ou un serveur DNS). L'onglet Navigateur Web permet quand lui de configurer automatiquement Internet Explorer. Les paramtres appliqus au navigateur doivent tre dfinis au niveau du serveur ISA.

On peut configurer les paramtres du Proxy que va recevoir le navigateur (par l'intermdiaire du logiciel client de pare-feu Microsoft) dans les proprits du rseau Interne. Trois choix sont possibles correspondant aux trois mthodes de configuration d'un client du Proxy web (partie 8.3) : Dtecter automatiquement les paramtres de connexion Utiliser un script de configuration automatique Utiliser un serveur Proxy web

7.6 Interoprabilit avec le client pare-feu d'ISA 2000


Le client pare-feu Microsoft d'ISA Server 2004 crypte les changes entre le client et le serveur. Cette fonctionnalit n'est pas prise en charge avec le logiciel client de parefeu Microsoft d'ISA Server 2000. Deux solutions s'offrent alors : Mettre jour le client (fortement recommand) Activer la prise en charge des connexions non cryptes. Pour cela, il faut dvelopper Configuration / Gnral dans l'arborescence de la console de gestion ISA, puis cliquer sur Dfinir les paramtres de clients de pare-feu.

7.7 Conclusion
Il est difficile de dterminer quelle configuration est la plus adapte en ce qui concerne les machines clientes. En effet, ce choix dpend fortement du type de machines dployes (Windows, Linux, Mac OS, BSD,...), des logiciels installs (notamment des navigateurs), du niveau de scurit ncessaire, de l'infrastructure en place (domaine/groupe de travail; DMZ)... Voici un petit tableau rcapitulatif des caractristiques des diffrents clients : Pare-feu Authentification des utilisateurs supporte Systme d'exploitation supports Protocoles supports Maintenance Configuration requise sur les clients Oui Windows Tous contraignante (ncessit de redmarrer le service dans certains cas) installation et configuration d'un logiciel Proxy web Oui si configure Tous HTTP / HTTPS / FTPover HTTP aise (sauf quand le Proxy est configur manuellement) configuration du navigateur SecureNAT Non Tous Tous aise (rien configurer sauf la passerelle) configuration de la passerelle par dfaut

De manire gnrale, l'utilisation de clients pare-feu est recommande. Sur des configurations exotiques, l'utilisation des clients SecureNAT est de mise. Cependant, il peut s'avrer utile du point de vue de la scurit de configurer les clients SecureNAT en tant que clients du Proxy web (pour bnficier de l'authentification).

Surveillance et monitoring d'ISA Server 2004


8.1 Introduction
En ce qui concerne les fonctionnalits lies au monitoring, ISA Server 2004 offre peu de nouveauts par rapport la version 2000 : une fentre rsumant toutes les informations nomme tableau de bord la possibilit de dfinir des vrificateurs de connectivit l'interface de configuration est bien plus intuitive que celle de l'utilitaire de gestion ISA 2000 les modifications sont toujours appliques immdiatement par dfaut, toutes les donnes sont stockes dans la base de donne MSDE plutt que dans des fichiers

8.2 Vue d'ensemble du tableau de bord


Le tableau de bord, accessible la racine de l'arborescence rcapitule les lments essentiels sur le serveur l'tat des services et des vrificateurs de connectivit les derniers rapports et alertes gnrs les sessions actives classes par type l'activit du serveur

Ce panneau permet de diagnostiquer rapidement un ventuel problme car il se rafrachit intervalles rguliers (il est possible de forcer le rafrachissement).

le tableau de bord d'ISA Server 2004

8.3 Configuration et utilisation des vrificateurs de connectivit

Les vrificateurs de connectivit permettent de tester l'accessibilit un serveur ou une machine donne. Le test peut prendre plusieurs formes : une requte ICMP (ping) une requte HTTP une requte sur un port TCP choisi par l'administrateur

Certains vrificateurs sont pr configurs et accessibles via une liste droulante : Active Directory (envoie une requte LDAP au contrleur de domaine choisi) Autre (propose une trentaine de port TCP communment utiliss comme FTP, PPTP, POP3, RDP...) DHCP DNS Serveurs publis Web (Internet)

Une fois le vrificateur cr, il est possible de dfinir un seuil au-del duquel l'ordinateur est considr comme injoignable (dans ce cas, une alerte est gnre). La fentre connectivit liste les vrificateurs de connectivit et affiche leur tat ainsi que diverses autres informations (seuil, type de requte, temps de rponse,...).

8.4 Gestion de la journalisation


De la mme manire que sous ISA 2000, il est possible de crer automatiquement des rapports sur l'activit du serveur. Ils sont gnrs partir des informations stockes dans les fichiers journaux et permettent notamment de vrifier les performances de la mise en cache et les accs non souhaits. Il est trs important de bien choisir les champs qui doivent tre sauvegards dans les fichiers journaux. En effet par dfaut quasiment tous les champs sont slectionns, ce qui gnre de

"gros" fichiers journaux. Voici les fichier journaux gnrs par un serveur ISA protgeant un rseau constitu de 35 postes clients sous Windows 2000 professionnel :

On remarque que l'espace disque utilis pour stocker les "logs" de trois jours distinct est de 1,4 Go ! Le nombre de champs enregistrs dans la base de donnes se configure dans l'onglet Journalisation de la fentre Surveillance.

8.5 Gnration de rapports


Le processus de cration de rapport d'ISA Server 2004 est similaire celui de la version 2000. Il est possible de gnrer des rapports mensuels, hebdomadaires, quotidiens ou bien de les gnrer manuellement. Lors de la cration du rapport un processus nomm IsaRepGen.exe parcourt l'intgralit des donnes de la base et compile les informations pour les rendre exploitable (en crant une page web). Les tches de rapports ne doivent pas tre excutes au hasard, surtout sur un serveur en production ! En effet, la cration de rapport demande beaucoup de ressources matrielles surtout en ce qui concerne le temps processeur, l'utilisation de la mmoire vive et les accs disque. D'o l'intrt de planifier les tches de rapport dans une plage horaire o le serveur ISA n'est pas ou peu utilis (la nuit ou le week-end). Ci-contre la gnration d'un rapport d'activit mensuel sur un serveur ISA grant 30 machines clientes. La cration a dur environ 2 heures alors que l'ordinateur utilise un processeur cadenc 2 GHz, dispose de 512Mo de mmoire vive et utilise un disque dur tournant 7200 tr/min ! On remarque que le processus accapare : 99% du temps processeur, 230Mo de mmoire vive et 256 Mo de mmoire virtuelle... Heureusement ce processus s'excute en fond de tche (et avec une priorit plus faible) ce qui permet au serveur de continuer rpondre aux demandes des clients.

8.6 Conclusion
Pour conclure, les capacit de monitoring d'ISA Server 2004 sont identiques celles de la version 2000 malgr quelques amliorations sensibles en terme d'ergonomie et de performance (utilisation de MSDE au lieu des fichiers textes pour stocker les donnes). En revanche il faut se mfier des fonction de journalisation et de cration de rapports qui demandent : de fortes ressources matrielles beaucoup d'espace disque

Migration de ISA Server 2000 vers ISA Server 2004


9.1 Prrequis
Pour l'instant, la seule version de ISA Server 2004 disponible est la version standard. La migration d'un d'ISA 2000 Enterprise vers une ISA 2004 Standard est impossible. En rsum, la seule migration actuellement possible est ISA 2000 Standard vers ISA 2004 Standard. Pour raliser cette migration, il est recommand d'installer le service pack 2 pour ISA 2000 que vous trouverez ici. Il est nanmoins possible de se passer du service pack 2 en installant une mise jour spcifique. Cette mise jour ncessite l'installation : du service pack 2 de Windows 2000 disponible ici du service pack 1 de ISA Server 2000 disponible ici.

La mise jour est, quand elle, tlchargeable grce ce lien. Les installations des services pack et de la mise jour pour ISA ne prsentant aucune difficults majeures, elles ne seront pas dtailles ici.

Si vous souhaitez utiliser le filtre SMTP, le service SMTP de IIS doit tre install via la console Ajouter ou supprimer des composants Windows.

9.2 Sauvegarde des paramtres du serveur ISA en vue d'une migration


Lors d'une mise jour du serveur ISA, il est possible de sauvegarder les paramtres de la version 2000 pour les rinjecter dans la version 2004.

Une fois que le Cdrom est insr, et si l'autorun est activ, il faut lancer l'Assistant Migration .

Comme expliqu sur la capture d'cran, cet assistant permet d'exporter la configuration VPN et RAS dans un fichier XML, qui sera import sur ISA Server 2004.

Ds le dbut de la migration, l'assistant demande de choisir le nom du fichier XML qui servira lors de la sauvegarde.

Lors de l'installation de ISA Server 2000, les clients ont, par dfaut, la possibilit d'accder l'ordinateur excutant ISA Server. Il est possible dans ISA Server 2004 de dsactiver cette fonction afin de garantir un meilleur niveau de scurit.

Toutes les informations ncessaires la sauvegarde des paramtres ont t collectes, la sauvegarde peut donc commencer vers le fichier que vous avez slectionn lors de la premire tape.

Au bout de quelques secondes, vous disposez d'un fichier XML contenant toutes informations sur la configuration de votre serveur ISA 2000.

L'Assistant Migration est maintenant termin. Comme indiqu au dbut de la migration, toutes les oprations effectues ont t enregistres dans un fichier de log du mme nom que votre fichier XML avec l'extension .log.

Lors de l'ouverture de ce fichier, on peut constater que certaines mise jour n'ont pas fonctionn. On peut notamment citer les alertes : Composant d'installation manquant Paquet IP ignor Le serveur n'est pas dans le site du groupe chec du fractionnement de flux actifs WMT Violation de protocole IP

Ces composants ne sont pas implments dans ISA Server 2004. C'est pourquoi il est impossible de les sauvegarder. En revanche, on peut constater tous les autres paramtres ont t exports avec succs.

9.3 Mise niveau du serveur

Maintenant que toutes les mises jour et toutes les sauvegardes ont t effectues, on peut sans craintes installer ISA Server 2004 grce au menu principal. Il suffit de cliquer sur Installer ISA Server 2004. L'Assistant d'Installation ne va pas supprimer ISA Server 2000, il se contentera de mettre jour les composants dj prsents. Le processus de mise jour d'ISA 2000 vers ISA 2004 est quasiment identique une installation classique. C'est pourquoi elle n'est dtaille dans cette page. Vous pouvez nanmoins consulter toutes les tapes sur cette page.

9.4 Importation des paramtres prcdemment sauvegards dans ISA Server 2004
Vous devez normalement avoir un ISA Server 2004 fonctionnel. Il faut maintenant importer le fichier XML contenant les sauvegardes.

Ce fichier XML, nomm ISA2KExport.xml (si vous avez valid le choix par dfaut), s'importe dans ISA Server 2004 grce une boite de dialogue accessible via un lien situ dans le bas de l'onglet Tches : Importer depuis un fichier de configuration ISA Server export.

Il suffit ici de slectionner le fichier export prcdemment et de cliquer sur importer afin de charger la configuration. Il est galement possible d'importer les paramtres d'autorisations utilisateurs et ceux des lecteurs de cache et des certificats SSL. Une fois que les modifications ont t charges, il suffit de cliquer sur Appliquer pour les rendre efficientes.

Lors d'un chargement de fichier de sauvegarde, les services doivent tre redmarrs pour appliquer ces modifications de configuration.

Conclusion
En conclusion, ISA Server 2004 s'inscrit dans la ligne de son prdcesseur tout en apportant un grand nombre d'amliorations. On peut citer la nouvelle interface intuitive grce au systme d'onglets et efficace grce au systme d'actualisation (le bouton Appliquer permet de rendre les modifications actives immdiatement ce qui n'tait pas le cas sous ISA 2000...). L'intgration totale du serveur VPN dans la console de gestion ISA apporte de nombreux avantages : configuration facilite interoprabilit des liaisons sites sites l'aide du protocole IPSec tunnel mode meilleure scurit avec le rseau clients VPN en quarantaine

De plus l'assistant modle rseau ainsi que le nouveau systme d'application des rgles ont le mrite de clarifier le paramtrage quelque soit le type de rgles (d'accs, de chanage web, de cache,...). Le niveau de scurit a lui aussi t amlior de par le systme de cryptage entre le nouveau logiciel client pare-feu Microsoft et le serveur ISA, et de par les amliorations effectues sur les filtres applicatifs et les les filtres web. En ce qui concerne le monitoring, la refonte de l'interface et l'ajout des vrificateurs de connectivit et du tableau de bord permettent une meilleure surveillance de l'tat et des connections du serveur. Quelques remarques assombrissent tout de mme ce tableau idyllique : la stratgie systme s'avre trs pratique l'usage mais reste une faille dans la scurit du serveur puisqu'elle est active par dfaut l'utilisation de MSDE demande plus de ressources matrielles que le systme inclus dans ISA 2000 il n'est pas possible de voir en temps rel toutes les requtes HTTP/HTTPS/FTP effectues par les utilisateurs (des systmes de ce type quipent dj certains pare-feu matriel, tels ceux de la marque Arkoon, et s'avrent trs pratique l'usage) certaines fonctions avances pourtant misent en avant par Microsoft doivent par leur implmentation difficile. On peut citer le filtre HTTP (aucune mthode, en-tte ou signature HTTP n'est dfinie par dfaut, ce qui oblige l'administrateur a possder une bonne connaissance du protocole HTTP et utiliser un analyseur de trames) ou bien encore le systme de mise en quarantaine (aucun script n'est fourni par Microsoft et un assistant de configuration aurait t le bienvenue tant donn le nombre d'tapes raliser...)

Esprons que la version entreprise d'ISA Server 2004 prvue pour le premier semestre 2005 corrigera ces quelques inconvnients qui n'enlvent (presque) rien la qualit du produit qui est globalement trs bonne.