3. Paramétrage du pare-feu
3.1 Introduction
Nous allons maintenant voir comment paramétrer le pare-feu
du serveur ISA. En effet, depuis la version 2000, les options du pare-feu ont
été profondément revues. Voici un rappel des nouveautés :
-
Interface et méthode de création des règles d'accès améliorées
-
Modification de l’ordre d’application des règles
-
Stratégie système
-
Remaniement des filtres d'application
3.2 Les éléments de stratégie
|
A l’instar d’ISA 2000, on utilise des éléments de
stratégie définis préalablement afin de simplifier et de structurer la
création de règles d'accès pour le pare-feu mais aussi pour la
création de tous les autres types de règles existantes (règles de mise
en cache, règles de stratégie système,...) comme nous le verrons
ultérieurement.
Les différents types d’éléments sont :
-
Protocoles
-
Utilisateurs
-
Types de contenus
-
Planifications
-
Objets de réseau
|
 |
Un certain nombre d’éléments existent par défaut ce
qui évite à l’administrateur de devoir tous les re-définir. On peut
créer et visionner les éléments de stratégie dans l’ongle boîte à outils
située dans le menu de la fenêtre de droite (ce menu s’affiche si l’on
sélectionne stratégie de pare-feu dans l’arborescence).
 |
Par défaut le nombre de protocoles préfinis est
impressionnant. Ils sont classés par groupe ce qui facilite
grandement les recherches. Ainsi si l'on souhaite paramétrer une règle
pour autoriser ou refuser l'accès aux pages Web il faudra aller chercher
dans le conteneur Web qui contient notamment les protocoles HTTP et HTTPS.
Cette classification se révèle très utile à l'usage.
En effet, cela évite de devoir faire des recherches sur Internet
lorsqu'on ne connaît pas le numéro de port et/ou les plages de ports
utilisées par une application donnée. On peut citer quelques dossiers
intéressants :
-
VPN et IPSec qui permet d'autoriser
l'accès VPN (IKE, IPSec, L2TP, PPTP,...)
-
Terminal distant donne accès aux
principaux protocoles d'administration à distance (RDP, Telnet, SSH,...)
-
Messagerie instantanée qui permet
d'autoriser ou d'interdire rapidement l'accès aux principales
applications (ICQ, AIM, MSN, IRC...)
Bien entendu on peut rajouter des définitions de
protocoles à la liste présente au départ si le besoin s'en fait sentir. |
|
L'onglet Utilisateurs permet de créer des groupes
d'utilisateurs qui seront utiles lors de la création des règles du
pare-feu. La grande nouveauté à ce niveau est la gestion des comptes
contenus sur les serveurs RADIUS ou sur les serveurs gérant
l'authentification via le protocole SecureID en plus des comptes
de domaine Active Directory. |
 |
 |
Un certain nombre de types de contenus existe par
défaut, ce qui permet de simplifier la création de règles sur les
contenus. On peut citer documents web, images, audio ou
bien encore vidéo. Les éléments de stratégie Types de contenus
se révèlent très utiles pour permettre à des utilisateurs de surfer tout
en les empêchant de télécharger certains fichiers (comme les vidéos par
exemple). |
|
Les deux planifications types présentes par défaut sont simplistes
et devront être retouchées afin de correspondre aux horaires de votre
entreprise. Il ne faudra pas hésiter ici à créer plusieurs autres
planifications comme pause ou repas qui permettront de
paramétrer des règles d'accès spécifiques à certains moments de la
journée. |
 |
 |
Les objets réseaux sont très importants pour le paramétrage des
différentes règles du serveur ISA. Les ensembles de réseaux et les
réseaux sont crées automatiquement lors de la sélection d'un modèle
réseau. Par exemple si vous choisissez le modèle pare-feu de
périmètre les réseaux Interne, Externe, Clients VPN et
Clients VPN
en quarantaine seront ajoutés. Le réseau hôte local est toujours
présent, il représente le serveur ISA.
Le "réseau" clients VPN en
quarantaine contient l'ensemble des clients VPN dont la connexion a été
refusée car leurs niveaux de sécurité n'était pas satisfaisant. Cette
mise en quarantaine des clients "non sécurisés" est une nouveauté de la
version 2004 d'ISA server. Nous aborderons la configuration de la mise
en quarantaine dans le chapitre dédié au serveur VPN.
Une autre catégorie d'objet de réseau
intéressante est la possibilité de créer des ensembles d'URL et des
ensembles de noms de domaines. Cela va permettre de bloquer ou
d'autoriser certains sites ou certaines pages. Si le nombre de sites
web auquel vos utilisateurs doivent accéder est faible, il est fortement
recommandé de créer un élément de stratégie nommé sites autorisés ce qui
permettra à vos utilisateurs d'accéder uniquement à ces sites. |
3.3 La création des
règles du pare-feu
Par rapport à sa version 2000, la création des règles du
pare-feu a été modifiée. Ainsi il n’y a plus qu’un seul type de règles
contrairement aux trois types de règles (règles de protocoles, règles de sites et
de contenu et filtres de paquets) d’ISA Server 2000. Voici les informations à
rentrer pour paramétrer une règle type.
|
ACTION |
PROTOCOLE |
SOURCE / DESTINATION |
APPLICATION |
CONDITION |
-refuser
-autoriser |
- ensemble de
protocoles
- port particulier |
- ensemble de
site
- ensemble de noms de domaine
- plage d’adresses IPs |
- utilisateurs
- groupes
- personnalisée |
-plage horaire
-type de contenu |
Cette nouveauté a le mérite de simplifier la configuration et
la compréhension car on n’a beaucoup moins de règles à paramétrer. Par exemple
pour autoriser l’accès à Internet avec ISA Server 2000 il faut créer deux règles
(une règle de site et de contenu pour autoriser l’accès vers telle ou telle
destination et une règle de protocoles pour autoriser les protocoles HTTP et HTTPS) alors qu’ISA Server 2004 ne nécessite qu’une seule règle pour arriver au
même résultat.
 |
L’onglet tâches contient l’ensemble des actions réalisables pour
paramétrer le pare-feu. On y retrouve les possibilités s’appliquant aux
règles d'accès (création, édition, désactivation, suppression), mais
aussi tous les types de publication (publication d’un serveur Web,
publication d’un serveur web sécurisé, publication d’un serveur de
messagerie, publication de serveur).
On peut de plus afficher,
modifier, importer et exporter les règles de la stratégie système. Ces
règles sont définies par automatiquement et s'appliquent spécifiquement
au serveur ISA qui correspond au "réseau" hôte local. Ces règles
permettent par exemple au serveur ISA de joindre un serveur DHCP ou un
contrôleur de domaine. Les règles de stratégie système sont donc
essentielles au bon fonctionnement du serveur ISA.
Le lien définir les préférences d'IP permet quand à lui d'activer
le routage IP et de paramétrer le filtre d'options IP. Le filtre
d'options IP permet d'autoriser ou de refuser les paquets possédant des
options spécifiques. Toutes les opérations
d'importation et d'exportation utilisent le format XML.
Des exemples de création de règles d'accès sont présentés dans
la partie dédiée à cet effet. |
3.4 Ordre d'application des règles
Avec ISA Server 2000, lorsqu’une requête arrive au pare-feu,
une procédure spécifique pour autoriser ou refuser le passage de la requête est
réalisée :
-
Vérification de l’existence d’une règle de site et de
contenu qui refuse la requête
-
Vérification de l’existence d’une règle de site et de
contenu qui autorise explicitement la requête
-
Vérification de l’existence d’une de protocole qui refuse
la requête
-
Vérification de l’existence d’une de protocole qui
autorise explicitement la requête
-
Vérification de l’application d’un éventuel filtre de
paquet
Avec la nouvelle version, cette procédure complexe est
remplacée par un autre système. Dorénavant, chaque règle possède un numéro et
lorsqu’une requête arrive au serveur, c’est la règle qui a le numéro le plus
faible qui s’applique. Ce système a le mérite d’être beaucoup plus simple
à comprendre que l’ancien et il est d’ailleurs repris en ce qui concerne
l’ensemble des règles que l’on peut créer avec ISA Server 2004 (règles de
translation d’adresse et de routage, règles de pare-feu, règles de cache, …).
Voici un exemple de règles que l’on peut paramétrer :
On note la présence d’une règle spécifique ne portant pas de
numéro et notée : «Dernier ». Comme vous pouvez le voir sur la capture d’écran
ci-dessus, cette règle bloque tous les protocoles de toutes les sources vers
toutes les destinations. Elle est toujours située à la fin et possède donc la
priorité la plus basse.
3.5 Les règles de stratégie système
La stratégie système est un ensemble de règles qui
permettent au serveur ISA de joindre certains services réseau fréquemment
utilisés. Au premier abord, on pourrait considérer ces règles de stratégie
système comme un trou de sécurité. Cependant la plupart de ces règles
autorisent juste la communication entre l'hôte local et le réseau interne. En
aucun cas, un utilisateur externe ne peut accéder au serveur ISA ou bien au
réseau de l'entreprise via l'une de ces règles. Le but de Microsoft avec la
stratégie système est de trouver un bon compromis entre connectivité et
sécurité.
Si la stratégie système n'existait pas, le serveur ISA ne
pourrait communiquer avec aucune autre machine. Ceci empêcherait notamment
le serveur ISA de réaliser les actions suivantes :
Le scénario de l'installation à distance via une session
Terminal Server permet de bien se rendre compte de l'utilité de la stratégie
système du point de vu administratif. En effet, si la stratégie système
n'existait pas, vous pourriez installer ISA 2004 sur une machine distante, mais
dès le lancement du service pare-feu, la session Terminal Server serait
immédiatement déconnectée car le protocole RDP serait bloqué. Cela
obligerait ensuite l'administrateur a se déplacer sur le site distant pour créer
une règle d'accès autorisant le protocole RDP ce qui peut s'avérer contraignant
si le site distant est situé à 6000 kilomètres !
extrait des règles de stratégie système
Bien entendu, les règles de stratégie système inutiles
doivent être désactivées afin de réduire la surface d'attaque. Pour ce
faire, un assistant spécifique nommé Éditeur de stratégie système est
disponible. Il permet de désactiver toutes les règles de stratégie système, mais
aussi de les configurer.
L'éditeur de stratégie système est accessible à partir de l'onglet Tâches
3.6 Le
filtrage applicatif
Cette nouvelle version d'ISA Server met l'accent sur les
filtres d'application qui sont maintenant plus nombreux et qui possèdent des
fonctionnalités avancées. Contrairement aux filtres de paquets qui analysent
uniquement l'en-tête des paquets IP pour savoir si le paquet doit être bloqué ou
non, les filtres d'application analysent aussi le corps du paquet. Les filtres
d'application sont au nombre de 12.
exemple de filtres d'application
 |
Pour activer ou désactiver des filtres d'application,
il faut utiliser la fenêtre présentée ci-dessus (cette fenêtre est
située dans le menu configuration / Add-ins de l'arborescence). Par défaut
tous les filtres d'application sont activés afin de procurer une
sécurité maximale. Les filtres inutilisés peuvent être désactivés afin
de ne pas faire chuter les performances sur une machine peu puissante. |
3.7 Conclusion
Voici les points essentiels à retenir pour créer des règles
d'accès sous ISA Server 2004 :
-
La création des règles d'accès fait appel à des
éléments de stratégie
-
Chaque règle est appliquée dans un ordre bien précis
-
Des filtres spécifiques peuvent être appliqués sur
les règles d'accès
-
Certaines règles sont présentent par défaut (stratégie
système)
 Sommaire
1. Présentation Générale d'ISA Server 2004
1.1 Introduction
1.2 Nouveautés par rapport à la version 2000
1.3 Configuration requise
1.4 Les différentes versions disponibles
1.5
Évaluer ISA Server 2004 gratuitement
2. Installation et configuration initiale
2.1 Installation du logiciel
2.2 Une interface entièrement repensée
2.3 L'assistant modèle réseau
2.4 Le chaînage de pare-feu et le chaînage web
3. Paramétrage du pare-feu
3.1 Introduction
3.2 Les éléments de stratégie
3.3 La création des règles de
pare-feu
3.4 Ordre d'application des règles
3.5 Les règles de stratégie système
3.6 Le filtrage applicatif
3.7 Conclusion
4. Exemples de configuration
4.1 Introduction
4.2 Autoriser l'accès à Internet pour les clients du réseau interne
4.3 Interdire
complètement l'accès à MSN Messenger
4.4 Interdire l'accès à MSN Web Messenger
4.5 Conclusion
5.
Implémentation de la mise en cache
5.1 Introduction
5.2 Configuration de la mise en cache d'un serveur Web
5.3 Conclusion
6. Mise en place d'un serveur VPN
6.1 Introduction
6.2 Un
paramétrage simplifié
6.3 De nouvelles options
6.4 La fonction de mise en quarantaine
6.5 Conclusion
7. Configuration des ordinateurs clients
7.1 Introduction
7.2 Configurer un client SecureNAT
7.3 Configurer un client du
Proxy Web
7.4 Utilisation du protocole WPAD pour
paramétrer automatiquement les clients du Proxy Web
7.5 Déploiement et configuration des clients pare-feu
7.6 Interopérabilité avec le client pare-feu d'ISA 2000
7.7 Conclusion
8. Surveillance et monitoring d'ISA Server 2004
8.1 Introduction
8.2 Vue d'ensemble du tableau de bord
8.3 Configuration et utilisation des
vérificateurs de connectivité
8.4 Gestion de la journalisation
8.5 Génération de rapports
8.6 Conclusion
9. Migration d'ISA Server 2000 vers ISA Server 2004
9.1 Prérequis
9.2 Sauvegarde des paramètres du serveur ISA en vue d'une migration
9.3 Mise à niveau du serveur
9.4 Importation des paramètres précédemment sauvegardés dans ISA Server 2004
10. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Présentation d’ISA Server 2004
