	SUPINFO Institute of Information Technology Laboratoire Microsoft		Laboratoire Microsoft \| Blog \| Forum \| FaqXP \| CertifExpress

Ajouter laboratoire-microsoft.org à mes favoris

Faire de laboratoire-microsoft.org ma page par défaut

Accueil News Articles Essentiels Vidéos Express Scripts Windows Outils d'administration Logiciels Pocket PC Whitepapers Définitions Histoires droles Perles :-) Easter Eggs Livres

Espace membres :

Mot de Passe oublié ?
Créer un compte

CodeName :

Laguna
Qu'est ce que c'est ?

Tips :

Terminer un processus en ligne de commande Lister les processus en ligne de commande Donner des priorites a vos emails sous Outlook 2007 Vous trouvez que Powershell est long a démarrer? Import Export automatique d''informations de la base de registre Activer Windows Server 2008 Edition Core Modifier la clé produit sur Windows Server 2008 Edition Core Désactiver la mise en veille sécurisée sous Windows Server 2008 Edition Core Changer le temps avant l’affichage de l’écran de veille sous Windows Server 2008 Edition Core Désactiver l’écran de veille sous Windows Server 2008 Edition Core

Fonds d'écran :

Factoids :

23 Avril 2005
Qu'est ce que c'est ?

Top Sites : 1er - ...2ème - Informatruc 3ème - TopHebergemen...4ème - 3etoiles.net<...5ème - SoSWindows

1782 Visiteurs

Site audité par :

Jugez notre site !

Tous les Articles du Laboratoire Microsoft

Le filtre HTTP intégré à ISA Server 2004
Accueil > Articles > Serveurs

Auteur

Matthieu MARTINEAU
PI SERVICES (GOLD PARTNER MICROSOFT)
Ingénieur systèmes et réseaux

Tous les articles de cet auteur

Vincent TROTTIER
MGI CONSULTANTS
Ingénieur systèmes & réseaux

Tous les articles de cet auteur

4,3/5

Bien

74696
106/466

1. Introduction au filtrage applicatif

1.1 Les limitations inhérentes aux règles d'accès

A l'instar de n'importe quel autre pare-feu, ISA 2004 peut analyser l'en-tête d'un paquet IP en entrée ou en sortie de l'une des interfaces réseau du serveur, puis décider d'une action à accomplir. Cela passe par la création de règles d'accès. Voici un petit exemple de ce qui peut être mis en place à l'aide de règles d'accès :

rejeter le trafic provenant du réseau 172.17.0.0
accepter le trafic entrant sur le port 80
rejeter le trafic provenant du réseau 10.3.40.0/24 sur le port TCP 1247 et à destination du serveur 10.3.41.200 sur le port TCP 443

Il est bien entendu possible d'affiner ces règles d'accès en utilisant des éléments de stratégie spécifiques. Une règle d'accès peut s'appliquer à une destination précise (par exemple à l'aide des éléments de stratégie ensemble d'URL ou ensemble de noms domaines), pendant une période donnée (à l'aide de l'élément de stratégie planification) et ce uniquement pour un groupe d'utilisateurs donné. Pour plus d'informations concernant les divers éléments de stratégie disponibles sous ISA Server 2004, consultez cette section de notre précédent article.

En étudiant la structure d'un paquet IP, on comprends mieux comment le serveur ISA utilise l'en-tête pour déterminer si le paquet est oui ou non autorisé à passer.

Les règles d'accès basées sur le numéro et le type de port (par exemple le port 993 en TCP utilisé par le protocole IMAP4s) seraient suffisantes si chaque port était dédié à une application ou un protocole donné et si les applications et les protocoles étaient exempts de failles. Cependant certains numéro de ports et certains protocoles sont utilisés par plusieurs applications (tel le protocole HTTP qui est notamment utilisé par MSN messenger ou eMule lorsque le port par défaut est bloqué). Quand aux failles applicatives, elles semblent inévitables contenu de la conception même du matériel informatique. Le protocole HTTP a notamment subit plusieurs évolutions qui permettent maintenant à n'importe quel protocole de transiter à l'intérieur d'un paquet HTTP. Ce procédé est désigné par le terme encapsulation HTTP. On peut notamment citer le protocole RPC over HTTP qui permet à un client MAPI (comme Outlook 2003), de se connecter à un serveur Exchange tout en n'envoyant que des requêtes HTTP.

Etant donné l'utilisation massive de l'encapsulation HTTP, on peut considérer qu'un pare-feu sur lequel le port 80 est ouvert en sortie est totalement inefficace. Certains éditeurs de logiciels fournissent même des programmes permettant d'établir un tunnel HTTP avec un serveur situé sur Internet et ainsi de permettre le fonctionnement de n'importe quelle application en dépit des règles configurées sur le pare-feu de l'entreprise. C'est pourquoi il est nécessaire de mettre en place un système d'analyse plus poussé permettant de vérifier le contenu des paquets IP en plus de leur en-tête.

1.2 Présentation des filtres applicatifs d'ISA Server 2004

Cette analyse plus poussée, nommée filtrage applicatif consiste à inspecter non plus l'en-tête mais aussi le contenu des paquets IP. Ainsi, contrairement a beaucoup de pare-feu d'entreprise, ISA Server 2004 permet d'analyser les données directement au niveau de la couche application comme le montre le schéma ci-dessous :

Les filtres applicatifs d'ISA 2004 se scindent en deux catégories :

Les filtres d'applications qui sont, par défaut, au nombre de 12. Il sont exécutés directement par le service Pare-feu et offrent de nombreux avantages comme la possibilité de faire fonctionner des protocoles nécessitant plusieurs connexions (tel le protocole FTP, ou bien la plupart des protocoles de streaming), la possibilité de filtrer le contenu et de détecter les intrusions. Le filtre SMTP permet notamment de mettre en place une stratégie limitant l'envoi et la réception de courrier non sollicité (SPAM).
Les filtres Web qui sont, par défaut, au nombre de 5. Ils s'attaquent uniquement au trafic HTTP et permettent soit d'activer certaines fonctions spécifiques (authentification RADIUS via HTTP, authentification OWA basée sur les formulaires, authentification SecureID via HTTP...) soit de mettre en place des fonctionnalités de filtrage puissantes sur le trafic HTTP. Il est par exemple possible de bloquer l'envoi ou la réception de certains documents (exécutables, fichiers multimédias...) ou d'empêcher l'accès Internet à certaines applications (eMule, Kazaa, BitTorrent, Morpheus...), mais aussi de se protéger des virus, chevaux de Troie et autres spywares (blocages de méthodes, de champs et de signatures).

Non content d'offrir de nombreux filtres traitant les protocoles les plus sensibles du point de vue de la sécurité (HTTP, SMTP et RPC !!!), le kit de développement d'ISA Server (téléchargeable ici) permet la création de nouveau filtres s'appliquant à n'importe quel trafic IP ou bien la modification de filtres existants. Certaines sociétés proposent déjà des filtres additionnels pour ISA Server 2004. On peut notamment citer :

BitDefender for MS ISA Server (*) qui permet de détecter les fichiers infectés par des virus au travers du trafic HTTP ou du trafic FTP.
Policy Patrol Web (*) qui offre un filtrage d'URL et de fichiers avancé ainsi qu'une fonction de détection des virus au travers d'un filtre d'application pour ISA 2004 propriétaire.
etc...

(*) Ces produits ne sont cités ici qu'à titre d'exemple ! Nous ne les avons pas testés et ne pouvons donc pas émettre de jugement de valeur à ce niveau. Si vous êtes à la recherche d'outils permettant d'étendre les possibilité d'ISA Server 2004, vous pouvez consulter la rubrique ISA Server Software Addons de l'excellent site www.isaserver.org.

Dans la suite de cette article, nous nous focaliserons sur un filtre fourni en standard avec Microsoft ISA Server 2004 : Le filtre HTTP. Pour saisir l'importance de ce filtre et l'impact de sa configuration sur le trafic réseau entrant et sortant de votre organisation, il est nécessaire d'avoir une bonne connaissance du protocole HTTP en lui-même. C'est pourquoi la partie suivante présente le fonctionnement de ce protocole de manière détaillée.

Sommaire

1. Introduction au filtrage applicatif
      1.1 Les limitations inhérentes aux règles d'accès
      1.2 Présentation des filtres applicatifs d'ISA Server 2004

2. Etude du protocole HTTP (Hyper Text Transfer Protocol)
      2.1 Présentation du protocole HTTP
      2.2 Fonctionnement d'une requête HTTP
      2.3 Fonctionnement d'une réponse HTTP

3. Le filtre HTTP
      3.1 Présentation du filtre HTTP
      3.2 Les options générales du filtre HTTP
      3.3 Le blocage de méthodes
      3.4 Le blocage de signatures
      3.5 La suppression ou la modification d'en-têtes
      3.6 Le blocage des extensions
      3.7 Sauvegarder/restaurer une configuration du filtre HTTP

Conclusion

En Savoir Plus

Evaluez cet article

Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft

Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

F.A.Q. Quelles sont les différentes actions de filtrage IPSec ? Quel type d’authentification utilise IPSec ? Quel mode IPSec utiliser ? Comment sécuriser des communications pour un serveur d’application WEB ? Quelles ont les 4 méthodes que prend en charger Windows 2000 pour authentifier des clients Unix sur un réseau Windows : Toutes les F.A.Q. Poser une question sur le forum

Le Laboratoire | Nous Contacter | Outils Webmasters