Présentation d’ISA Server 2004 Accueil > Articles > Serveurs
Auteur  Matthieu MARTINEAU PI SERVICES (GOLD PARTNER MICROSOFT) Ingénieur systèmes et réseaux  Tous les articles de cet auteur Vincent TROTTIER MGI CONSULTANTS Ingénieur systèmes & réseaux  Tous les articles de cet auteur		4,2/5 Bien 577864 314/1336

4. Exemples de configuration

Ce chapitre a pour but de présenter la configuration de certaines règles souvent mises en place (accès à Internet, autorisation/interdiction de MSN Messenger, ...). Chaque sous partie se consacre à un exemple en particulier.

Nous allons maintenant créer une règle autorisant l'accès à Internet (c'est-à-dire au réseau externe dans cet exemple) pour tous les clients pare-feu du réseau interne via le ports 21, 80, 443 et 1863 (le port utilisé par MSN Messenger pour la connexion et l'échange de messages).

Il faut commencer par donner le nom le plus explicite possible à la règle que l'on souhaite créer. On doit ensuite sélectionner l'action a effectuer (autoriser ou refuser). Si l'on sélectionne Refuser, la possibilité de rediriger la requête vers une page web est offerte (cela permet de faire comprendre à l'utilisateur que la page a été bloquée intentionnellement par le pare-feu et que ce n'est donc pas un problème technique). Il faut choisir le ou les ports de destination pour le(s)quel(s) la règle va s'appliquer. Dans notre exemple, tous les protocoles sont prédéfins (ce sont des éléments de stratégie présent par défaut dans le serveur) et il suffit juste d'ajouter les protocoles nommés FTP, HTTP et HTTPS à l'aide du bouton adéquat. Il est possible de définir quels sont les ports sources à l'aide du bouton Ports... Dans notre exemple nous laissons l'option par défaut qui autorise tous les ports sources (ainsi les clients pourront accéder à des sites web et à des serveurs FTP quel que soit le logiciel client utilisé).

L'étape suivante consiste à spécifier le réseau source et le réseau de destination. Dans notre exemple, le réseau source correspond à Interne (le réseau local de l'entreprise) et le réseau de destination correspond à Externe (Internet).

Enfin on sélectionne les ensembles d'utilisateurs pour lesquels la règle entrera en action. Dans notre cas, le groupe nommé Tous les utilisateur authentifiés est retenu. Cependant, tous les groupes de sécurité définis dans le service d'annuaire Active Directory peuvent être utiliser pour créer une règle plus fine.

Une fois l'assistant terminé, la règle est inopérante. Pour que qu'elle entre en action il suffit de cliquer sur le bouton Appliquer qui apparaît au milieu de l'interface de la console de gestion ISA.

Et voilà ! Tous les utilisateurs de votre réseau ont maintenant accès à Internet, et ce quel que soit leur navigateur (Internet Explorer, Safari, Firefox, Opéra,...) ou bien leur client FTP (Internet Explorer, FileZilla,...). Bien entendu, certains pré-requis doivent être respectés pour que tout fonctionne correctement :

• Les ordinateurs clients doivent être capable de joindre un serveur DNS résolvant les noms DNS "publiques"

• Les ordinateurs client doivent être configurés pour joindre le serveur ISA

• Le pare-feu présent sur les ordinateurs client doit lui aussi être configuré pour autoriser l'accès à Internet

A l'instar de Windows Messenger, MSN Messenger est une application de messagerie instantanée permettant d'accroître grandement la productivité des utilisateurs (chat, vidéoconférence, échange de fichiers aisé,...). Cependant l'utilisation de ce logiciel en entreprise peut entraîner quelques dérives... Si vous souhaitez empêcher certains utilisateurs de l'utiliser, plusieurs solutions sont envisageables :

• créer deux règle d'accès interdisant la communication avec le serveur messenger.hotmail.com

• configurer les clients pare-feu pour empêcher MSN Messenger d'accéder au réseau

• configurer le filtre HTTP pour bloquer l'application MSN Messenger en analysant le paramètre adéquat

Nous allons étudier les avantages et les inconvénients de chacune de ces méthodes.

1ère méthode

Étant donné que MSN Messenger utilise plusieurs ports ou plage de ports pour mettre en oeuvre ses différents services (texte, échange de fichier, son...). La solution la plus simple reste d'interdire le port TCP 1863 qui est utilisé l'échange de messages textuels mais surtout pour la connexion initiale. Pour cela, il n'est pas nécessaire de créer un élément de stratégie, puisque le protocole MSN Messenger est prédéfini dans ISA 2004. Il suffit donc de créer une règle d'accès bloquant le protocole MSN Messenger entre le réseau Interne et lé réseau Externe et s'appliquant au bon groupe d'utilisateurs.

Cependant, une fois la règle d'accès correctement crée, tous les utilisateurs peuvent encore utiliser MSN Messenger !!! La connexion est un peu plus lente (environ 10 secondes d'écart), mais s'effectue tout de même, ce qui permet à des utilisateurs non autorisé de "chatter". Une bonne méthode dans un cas comme celui-ci, est d'utiliser un programme pour analyser les trames envoyées par le logiciel MSN Messenger afin de mieux comprendre son fonctionnement. Il existe pour cela des outils gratuit tel que le Moniteur réseau Microsoft ou bien encore Ethereal. Voici les résultats d'une analyse de trames lancée au moment où l'utilisateur clique sur le bouton Ouvrir une session...

On remarque que le logiciel (exécuté sur une machine dont l'adresse IP est 10.1.0.2) essaye de se connecter au serveur 207.46.104.20 (cette adresse correspond au FQDN messenger.hotmail.com) en utilisant le port 1863 du protocole TCP. L'opération est répétée trois fois consécutives si le serveur ne répond pas immédiatement. Ce port étant bloqué au niveau du pare-feu, la demande n'aboutie jamais. L'application essaye ensuite dans un second temps de se connecter à ce même serveur mais à l'aide du port 80 qui est normalement réservé au protocole HTTP. Ce port étant ouvert au niveau du pare-feu afin de permettre la navigation web, l'application réussi a se connecter et la session de l'utilisateur peut ensuite s'ouvrir.

Ce problème peut se résoudre à l'aide d'une règle d'accès interdisant la communication entre les machines du réseau Interne et le serveur messenger.hotmail.com. Pour cela il faut créer au préalable un élément de stratégie pointant vers l'adresse IP du serveur messenger.hotmail.com ou bien directement vers le nom de domaine pleinement qualifié messenger.hotmail.com. Il est plus judicieux d'interdire le FQDN car même en cas de modification de l'adresse IP du serveur la règle restera valide. La fenêtre ci à gauche montre les propriétés d'un élément de stratégie. Il se nomme serveur MSN Messenger et pointe vers l'adresse IP 207.46.104.20. Une fois l'élément de stratégie correctement configuré, il suffit de créer une règle refusant les connexions au domaine messenger.hotmail.com et s'appliquant aux groupes appropriés. Bien entendu, on peut altérer la règle précédemment crée pour bloquer le port 1863 en ajoutant le protocole HTTP au protocole MSN Messenger et en précisant que la destination est serveur MSN Messenger. Cette règle va donc empêcher les paquets IP expédiés par le réseau Interne et à destination du serveur messenger.hotmail.com d'atteindre leur objectif quel que soit le port utilisé (1863 ou 80).

Dans l'exemple ci-dessous les utilisateurs appartenant aux groupes Comptabilité, Production ou Recherche ne peuvent plus se connecter à l'aide du logiciel MSN Messenger.

Cette première méthode est celle qui répond le mieux à la problématique car elle demande peu de ressources et reste simple à mettre en œuvre.

2ème méthode

Les clients pare-feu récupèrent à chaque démarrage une liste des logiciels autorisés ou non à accéder au réseau (lorsqu'un logiciel n'est pas mentionné dans cette liste il peut tout de même accéder au réseau). Il est possible de bloquer MSN Messenger par ce biais. Il suffit d'ouvrir la fenêtre Paramètre du client de pare-feu située en utilisant le conteneur Général de l'arborescence de la console de gestion ISA. Cette fenêtre montre toutes les applications pour lesquelles l'accès au réseau a été configuré. Pour bloquer une application, il suffit d'ajouter une entrée correspondante au nom du processus lancé par cette application (sans son extension), puis de donner la valeur 1 au paramètre Disable. Dans notre exemple le processus utilisé par MSN Messenger est msnmsgr.exe. Il faut donc créer une entrée nommée msnmsgr. Une fois la modification appliquée au niveau du serveur, il faut penser à redémarrer le service Agent du client de pare-feu à l'aide des commandes net stop fcwagent et net start fcwagent (ou bien en utilisant la console Services). Dès que cette opération est effectuée, le programme ne peut plus accéder au réseau et la fenêtre ci-dessous apparaît :

Cette méthode est très rapide à mettre en oeuvre et est très efficace. Cependant elle possède deux inconvénients majeurs :

• elle ne s'applique qu'aux clients de pare-feu (et pas aux clients SecureNAT et clients du proxy web)

• elle ne permet pas d'interdire l'utilisation du logiciel à des utilisateurs donnés (tous les utilisateurs seront affectés par l'interdiction d'utilisation)

3ème méthode

Une dernière méthode consiste à utiliser un filtre web (le filtre HTTP en l'occurence). C'est le procédé le plus optimisé et le plus sure, cependant, il a le gros inconvénient de demander énormément de ressources système au serveur ISA. En effet, lorsque le filtrage web est activé, le serveur ISA analyse l'en-tête et/ou le contenu de chaque paquet IP provenant du réseau Interne et à destination du réseau Externe. C'est pourquoi il faut tenir compte des capacité matérielles du serveur avant d'activer cette option.  Le thème du filtrage applicatif et du filtrage web étant trop vaste, nous ne détaillerons pas ici la configuration du filtre HTTP. Elle sera abordée dans un prochain article.

Avantages et inconvénients des trois méthodes

Une fois le logiciels MSN Messenger bloqué, les utilisateurs peuvent toujours accéder à ce service par le biais de sa version web. En effet, le site http://webmessenger.msn.com/ propose une interface reprenant la plupart des services de la version logicielle. Il peut donc s'avérer utile de bloquer l'accès à cette URL en complément de la désactivation de l'application. Pour cela il suffit de créer une règle interdisant le trafic entre le réseau interne et le domaine webmessenger.hotmail.com sur le port 80 en TCP. Bien entendu, on peut tout aussi bien bloquer l'URL http://webssenger.msn.com ou bien directement l'adresse IP (ci-contre l'ensemble de stratégie nommé sites de chat peut être utilisé pour interdire l'accès à webmessenger.msn.com).

Certaines règles ne sont pas évidentes à configurer, il faut parfois utiliser des connexions secondaires ou des éléments de stratégie supplémentaire. Certains logiciels devant être autorisés ou interdit sont parfois pas ou peu documentés. Une bonne méthode permettant de trouver les informations manquantes reste l'utilisation d'un analyseur de trames comme le Moniteur réseau Microsoft ou bien encore Ethereal.

Ce chapitre va être prochainement modifié avec l'ajout de nouveaux exemples (autoriser toutes les fonction de MSN Messenger, autoriser eMule,....) et de vidéos express.

Sommaire

1. Présentation Générale d'ISA Server 2004
     1.1 Introduction
     1.2 Nouveautés par rapport à la version 2000
     1.3 Configuration requise
     1.4 Les différentes versions disponibles
     1.5 Évaluer ISA Server 2004 gratuitement

2. Installation et configuration initiale
     2.1 Installation du logiciel
     2.2 Une interface entièrement repensée
     2.3 L'assistant modèle réseau
     2.4 Le chaînage de pare-feu et le chaînage web

3. Paramétrage du pare-feu
     3.1 Introduction
     3.2 Les éléments de stratégie
     3.3 La création des règles de pare-feu
     3.4 Ordre d'application des règles
     3.5 Les règles de stratégie système
     3.6 Le filtrage applicatif
     3.7 Conclusion

4. Exemples de configuration
     4.1 Introduction
     4.2 Autoriser l'accès à Internet pour les clients du réseau interne
     4.3 Interdire complètement l'accès à MSN Messenger
     4.4 Interdire l'accès à MSN Web Messenger
     4.5 Conclusion

5. Implémentation de la mise en cache
     5.1 Introduction
     5.2 Configuration de la mise en cache d'un serveur Web
     5.3 Conclusion

6. Mise en place d'un serveur VPN
     6.1 Introduction
     6.2 Un paramétrage simplifié
     6.3 De nouvelles options
     6.4 La fonction de mise en quarantaine
     6.5 Conclusion

7. Configuration des ordinateurs clients
     7.1 Introduction
     7.2 Configurer un client SecureNAT
     7.3 Configurer un client du Proxy Web
     7.4 Utilisation du protocole WPAD pour paramétrer automatiquement les clients du Proxy Web
     7.5 Déploiement et configuration des clients pare-feu
     7.6 Interopérabilité avec le client pare-feu d'ISA 2000
     7.7 Conclusion

8. Surveillance et monitoring d'ISA Server 2004
     8.1 Introduction
     8.2 Vue d'ensemble du tableau de bord
     8.3 Configuration et utilisation des vérificateurs de connectivité
     8.4 Gestion de la journalisation
     8.5 Génération de rapports
     8.6 Conclusion

9. Migration d'ISA Server 2000 vers ISA Server 2004
     9.1 Prérequis
     9.2 Sauvegarde des paramètres du serveur ISA en vue d'une migration
     9.3 Mise à niveau du serveur
     9.4 Importation des paramètres précédemment sauvegardés dans ISA Server 2004

10. Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft