Présentation d’ISA Server 2004 Accueil > Articles > Serveurs
Auteur  Matthieu MARTINEAU PI SERVICES (GOLD PARTNER MICROSOFT) Ingénieur systèmes et réseaux  Tous les articles de cet auteur Vincent TROTTIER MGI CONSULTANTS Ingénieur systèmes & réseaux  Tous les articles de cet auteur		4,2/5 Bien 577876 314/1336

7. Configuration des ordinateurs clients

A l'instar d'ISA 2000, il est possible de configurer les ordinateurs clients de trois manières différentes. C'est pourquoi on en distingue trois types :

• les clients de pare-feu

• les clients du Proxy web

• les clients SecureNAT

Les possibilités offertes en terme de sécurité, de fonctionnalités mais aussi de déploiement diffèrent en fonction du type de client.

Un client SecureNAT est un ordinateur configuré pour utiliser l'adresse IP du serveur ISA en tant que passerelle par défaut. Toute machine exécutant un système d'exploitation sur lequel la pile de protocole TCP/IP est supportée (UNIX, BSD, Linux, Windows,...) peut donc devenir un client SecureNAT. Bien évidemment lorsqu'un ou plusieurs routeurs séparent le client SecureNAT du serveur ISA, le client devra utiliser l'adresse IP du routeur le plus proche de lui en tant que passerelle par défaut. Ce type de client s'avère simple et rapide à implémenter lorsque le protocole DHCP est utilisé (en effet, il n'y a qu'une option a paramétrer au niveau du serveur DHCP pour que les clients SecureNAT fonctionnent).

L'un des défauts majeur du client SecureNAT est l'absence de système d'authentification. En effet, là où le client de pare-feu et le client du Proxy web permettent de retrouver l'identité de l'utilisateur, le client SecureNAT permet uniquement de retrouver l'adresse IP de la machine. Cela signifie que les restrictions sur les utilisateurs et les groupes d'utilisateurs ne s'appliquent pas aux clients SecureNAT. Ceci explique pourquoi ils sont utilisés uniquement lorsque cela est nécessaire :

• dans le cas d'ordinateurs ne supportant pas le client pare-feu (c'est-à-dire sous Unix/Linux)

• dans le cas de serveurs devant être publiés

Un client du Proxy web est un ordinateur exécutant une application configurée pour utiliser le serveur ISA en tant que serveur de proxy. L'exemple type est un navigateur web comme Safari, Opéra ou bien encore Internet Explorer. Voici quelques caractéristiques des clients du Proxy web : ils sont utilisables sur n'importe quel système d'exploitation (sauf les OS ne gérant pas TCP/IP et ne possédant aucun navigateur web...). les seuls protocoles supportés sont HTTP, HTTPS et FTP sur HTTP (protocole permettant de consulter le contenu d'un serveur FTP à l'aide d'un navigateur web en saisissant des adresses du type ftp://nom_du_serveur dans la barre des URL). Ils proposent d'authentifier ou non les utilisateurs. Ci-contre, la capture d'écran d'un ordinateur exécutant Internet Explorer et configuré en tant que client du Proxy web. Il suffit définir le nom du serveur ISA ainsi que le port utilisé dans le navigateur (cette fenêtre est est accessible via Outils / Options Internet / Connexions / Paramètres réseaux). Bien entendu, l'apparence et l'emplacement de ces paramètres changent d'un logiciel à l'autre. Lorsque le serveur ISA reçoit une requête sur le port 80, le client est toujours considéré comme un client du Proxy web, et ce quelque soit sa configuration réelle (SecureNAT, Proxy web ou pare-feu).

Par défaut, ISA Server 2004 utilise le port 8080 pour communiquer avec les clients du Proxy web. Pour modifier ce paramètre, il faut afficher les propriétés du réseau Interne en développant Configuration / Réseaux dans l'arborescence de la console de Gestion ISA. L'onglet Proxy web permet de modifier les ports utilisés pour les protocoles HTTP et HTTPS (les valeurs par défaut sont respectivement 8080 et 8443).

L'onglet Proxy web permet aussi d'activer ou non l'authentification des clients du Proxy web (il suffit de côcher la case Exiger que tous les utilisateurs s'authentifient). Plusieurs méthodes d'authentifications sont disponibles : De base : Cette méthode est à proscrire absolument car les informations d'identification (identifiant et mot de passe) sont envoyées en clair ! Digest : Les informations d'identification sont hachées ce qui offre une meilleure sécurité que l'authentification de base. Lorsque l'on côche la case Digest et que le serveur ISA est installé sur un ordinateur exécutant Windows Server 2003, le protocole réellement utilisé est WDigest. Intégrée : L'authentification dite Intégrée correspond au protocole Kerberos V5 (ou NTLM dans certains cas). Kerberos met en oeuvre le hachage des données et propose une authentification mutuelle. Certificat SSL : Cette méthode vérifie l'identité du client et du serveur à l'aide de certificat numériques préalablement distribués par une autorité de certification. Le protocole de cryptage utilisé est SSL pour Secure Sockets Layer. RADIUS : RADIUS signifie Remote Authentification Dial-In User Service. C'est un protocole d'authentification standard faisant intervenir le protocole de hachage MD5.

La méthode d'authentification à privilégier au sein d'un domaine reste l'authentification intégrée à Windows en raison de son haut niveau de sécurité. La mise en place de l'authentification des clients du Proxy web ne doit pas être négligée sinon les restrictions des règles accès sur les utilisateurs et sur les groupes d'utilisateurs ne s'appliqueront pas. En outre, l'authentification permet d'obtenir des statistiques concernant les utilisateurs par le biais des rapports. Dès que l'une des méthodes d'authentification a été choisie, une fenêtre équivalente à celle présentée ci à droite apparaît. Deux possibilités s'offrent à l'utilisateur : Renseigner les champs Nom d'utilisateur et Mot de passe à chaque nouvelle instance du navigateur Mémoriser l'identifiant et le mot de passe pour ne plus avoir à les remplir

Lorsque les ordinateurs utilisent Microsoft Internet Explorer, leurs configuration en tant que clients du Proxy web est facilité. En effet, il est possible de configurer les paramètres du Proxy à l'aide d'un objet stratégie de groupe ou GPO (Group Policy Object). Cela implique évidemment que les ordinateurs appartiennent à un domaine Active Directory. Les paramètres du Proxy (adresse IP, port, ...) pour Internet Explorer sont configurables au niveau du compte d'utilisateur ou bien au niveau du compte d'ordinateur. Dans les deux cas, il faut développer Paramètres Windows / Maintenance de Internet Explorer / Connexion à l'aide de la console Éditeur de stratégie de groupe.

Lorsqu'une application autre que Internet Explorer doit être configurée, la tâche se révèle plus contraignante puisqu'il n'existe aucun moyen de l'automatiser. Les clients doivent donc être configurés manuellement ce qui entraîne :

• une perte de temps lors de la configuration initiale des applications

• une perte de temps si le serveur de Proxy change d'adresse IP (il faut alors reconfigurer à la main toutes les applications alors qu'avec une GPO il n'y a qu'une valeur à modifier une seule fois)

• une perte de temps si l'ordinateur qui héberge le programme est mobile. En effet, un cadre se déplaçant de succursale en succursale avec son ordinateur portable devra reconfigurer manuellement l'adresse IP du serveur de Proxy à chaque changement de site (en supposant qu'il y ait un serveur de Proxy par site). Dans ce cas bien précis, une GPO n'est d'aucun secours...

Pour palier à cela, il est possible d'implémenter le protocole WPAD (Web Proxy AutoDetect) qui permet de configurer automatiquement les programmes pour pointer vers le bon serveur de proxy. Bien entendu les applications doivent être conçues pour supporter WPAD (tous les navigateurs récent tels Opéra, IE, Safari, Konqueror, Firefox ou bien encore Netscape Navigator le supportent). C'est par exemple le cas avec Internet Explorer depuis la version 5.0 et Netscape Navigator depuis la version 2.0. WPAD propose deux manière différente pour configurer automatiquement les applications web :

• à l'aide d'un enregistrement de ressource spécifique dans le serveur DNS

• à l'aide d'une option spécifique dans le serveur DHCP

La première chose à faire avant même de configurer le serveur DNS ou bien le serveur DHCP est d'activer la prise en charge du protocole WPAD au niveau du serveur ISA. Pour cela, il suffit d'aller dans les propriétés du réseau Interne, puis de côcher la case Publier les informations de détection automatique, située dans l'onglet Détection automatique.

Par défaut, les informations de configuration automatique sont publiées sur le port 80. Il est possible de modifier cette valeur mais cela n'est pas recommandé. En effet, certains programmes ne peuvent détecter automatiquement la configuration du serveur Proxy que via le port 80. C'est notamment le cas des navigateurs basés sur le moteur Gecko (Mozilla / Firefox / Netscape Navigator) Si vous choisissez d'utiliser un port différent avec ces navigateurs, il faudra spécifier l'adresse de configuration automatique du Proxy manuellement ce qui s'avère aussi contraignant que de définir l'adresse du serveur de Proxy de façon classique... L'utilisation du port 80 est donc de mise pour ce service sauf si une autre application utilise déjà ce port sur le serveur ISA. Ci-contre la fenêtre de configuration des paramètres de connexion du navigateur Firefox dans sa version 1.0. On remarque que l'option Détection automatique des paramètres du Proxy sur ce réseau a été activée ce qui signifie que Firefox essaye de se configurer automatiquement à l'aide du protocole WPAD en effectuant une recherche sur le port 80.

Pour configurer un grand nombre de machines en tant que clients du Proxy web, l'utilisation du serveur DHCP se révèle la plus efficace. Pour cela il faut créer une nouvelle option DHCP (clic droit sur le nom du serveur, puis Définir les options prédéfinies... dans la console DHCP). Ci-contre, la fenêtre de création d'une option DHCP. Il faut définir plusieurs paramètres : le nom de l'option le type de données (la case à cocher tableau permet de créer des options multivaluées) le code de l'option une description (facultative)

Il faut ensuite attribuer la valeur http://nom_du_serveur_de_proxy:port_utilisé/wpad.dat à l'option WPAD précédemment crée. Bien entendu, vous pourrez appliquer cette option au niveau du serveur, d'une étendue, d'une classe DHCP ou bien encore d'un client réservé.

L'administrateur peut aussi utiliser le serveur DNS pour configurer automatiquement les ordinateurs clients en tant que clients du Proxy web. Il suffit simplement de créer un enregistrement de ressource de type Alias (CNAME) nommé WPAD pointant vers le nom de domaine pleinement qualifié (FQDN) du serveur de proxy.

Cet enregistrement doit être créé dans le même domaine que les ordinateurs clients. Lorsque l'option DHCP 252 n'a pas été affectée, le client contacte le serveur DNS pour savoir si il existe un enregistrement de ressource nommé wpad.suffixe_dns_client. Le client récupère donc l'adresse IP du serveur de Proxy en deux étapes :

• le client cherche le FQDN correspondant à wpad.laboms.net (le serveur DNS renvoie la réponse isa-2004.laboms.net)
• le client cherche l'adresse IP correspondant à isa-2004.laboms.net (le serveur DNS renvoie la réponse 10.1.0.1)

Un client pare-feu est un ordinateur sur lequel l'application client de pare-feu Microsoft est installée. Cette application configure automatiquement la machine pour accéder à Internet ou à un autre réseau par l'intermédiaire d'un serveur ISA. Il est possible de déployer ce logiciel de diverses manières :

• via le partage \\serveur_isa_2004\mspclnt crée automatiquement lors de l'installation d'ISA
• via un objet stratégie de groupe (GPO)
• via un package System Management Server (SMS) 2003

Le paramétrage du client de pare-feu est on ne peut plus simple. L'onglet Général permet de sélectionner manuellement ou automatiquement le serveur ISA. Dans le second cas, le protocole WSPAD (WinSock Proxy AutoDetect) est utilisé. WSPAD se configure de la même manière que WPAD (via un serveur DHCP ou un serveur DNS). L'onglet Navigateur Web permet quand à lui de configurer automatiquement Internet Explorer. Les paramètres appliqués au navigateur doivent être définis au niveau du serveur ISA.

On peut configurer les paramètres du Proxy que va recevoir le navigateur (par l'intermédiaire du logiciel client de pare-feu Microsoft) dans les propriétés du réseau Interne. Trois choix sont possibles correspondant aux trois méthodes de configuration d'un client du Proxy web (partie 8.3) : Détecter automatiquement les paramètres de connexion Utiliser un script de configuration automatique Utiliser un serveur Proxy web

Le client pare-feu Microsoft d'ISA Server 2004 crypte les échanges entre le client et le serveur. Cette fonctionnalité n'est pas prise en charge avec le logiciel client de pare-feu Microsoft d'ISA Server 2000. Deux solutions s'offrent alors : Mettre à jour le client (fortement recommandé) Activer la prise en charge des connexions non cryptées. Pour cela, il faut développer Configuration / Général dans l'arborescence de la console de gestion ISA, puis cliquer sur Définir les paramètres de clients de pare-feu.

Il est difficile de déterminer quelle configuration est la plus adaptée en ce qui concerne les machines clientes. En effet, ce choix dépend fortement du type de machines déployées (Windows, Linux, Mac OS, BSD,...), des logiciels installés (notamment des navigateurs), du niveau de sécurité nécessaire, de l'infrastructure en place (domaine/groupe de travail; DMZ)... Voici un petit tableau récapitulatif des caractéristiques des différents clients :

De manière générale, l'utilisation de clients pare-feu est recommandée. Sur des configurations exotiques, l'utilisation des clients SecureNAT est de mise. Cependant, il peut s'avérer utile du point de vue de la sécurité de configurer les clients SecureNAT en tant que clients du Proxy web (pour bénéficier de l'authentification).

Sommaire

1. Présentation Générale d'ISA Server 2004
     1.1 Introduction
     1.2 Nouveautés par rapport à la version 2000
     1.3 Configuration requise
     1.4 Les différentes versions disponibles
     1.5 Évaluer ISA Server 2004 gratuitement

2. Installation et configuration initiale
     2.1 Installation du logiciel
     2.2 Une interface entièrement repensée
     2.3 L'assistant modèle réseau
     2.4 Le chaînage de pare-feu et le chaînage web

3. Paramétrage du pare-feu
     3.1 Introduction
     3.2 Les éléments de stratégie
     3.3 La création des règles de pare-feu
     3.4 Ordre d'application des règles
     3.5 Les règles de stratégie système
     3.6 Le filtrage applicatif
     3.7 Conclusion

4. Exemples de configuration
     4.1 Introduction
     4.2 Autoriser l'accès à Internet pour les clients du réseau interne
     4.3 Interdire complètement l'accès à MSN Messenger
     4.4 Interdire l'accès à MSN Web Messenger
     4.5 Conclusion

5. Implémentation de la mise en cache
     5.1 Introduction
     5.2 Configuration de la mise en cache d'un serveur Web
     5.3 Conclusion

6. Mise en place d'un serveur VPN
     6.1 Introduction
     6.2 Un paramétrage simplifié
     6.3 De nouvelles options
     6.4 La fonction de mise en quarantaine
     6.5 Conclusion

7. Configuration des ordinateurs clients
     7.1 Introduction
     7.2 Configurer un client SecureNAT
     7.3 Configurer un client du Proxy Web
     7.4 Utilisation du protocole WPAD pour paramétrer automatiquement les clients du Proxy Web
     7.5 Déploiement et configuration des clients pare-feu
     7.6 Interopérabilité avec le client pare-feu d'ISA 2000
     7.7 Conclusion

8. Surveillance et monitoring d'ISA Server 2004
     8.1 Introduction
     8.2 Vue d'ensemble du tableau de bord
     8.3 Configuration et utilisation des vérificateurs de connectivité
     8.4 Gestion de la journalisation
     8.5 Génération de rapports
     8.6 Conclusion

9. Migration d'ISA Server 2000 vers ISA Server 2004
     9.1 Prérequis
     9.2 Sauvegarde des paramètres du serveur ISA en vue d'une migration
     9.3 Mise à niveau du serveur
     9.4 Importation des paramètres précédemment sauvegardés dans ISA Server 2004

10. Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft