1. Présentation du produit
1.1 Présentation d'ISA Server et bref historique
 |
ISA signifie Internet Security & Acceleration
Server. C’est un produit de la gamme serveur de Microsoft cumulant
plusieurs rôles :
-
Pare-feu multicouches
-
Serveur de proxy
-
Serveur VPN
|
ISA est le descendant direct de Microsoft Proxy Server 1.0
(sorti en 1996) qui n’était à l’origine qu’un serveur de proxy conçu pour
fonctionner sous Windows NT 4.
La version 2.0 de Proxy Server apporte principalement
la gestion de la mise en cache distribuée via des groupes de serveurs.
Cette édition permet de mettre en place un équilibrage de la charge réseau et
une tolérance de panne au niveau de l’accès Web (FTP et HTTP), fonctionnalité
innovante dans le domaine des proxys à l’époque de la sortie du produit (pour
cela Microsoft a développé un protocole spécifique, dont il est propriétaire
nommé CARP) !
La troisième mouture de Proxy Server se veut plus ambitieuse
que ses prédécesseurs car le but n’est pas seulement d’accélérer
l’accès Web (fonction de serveur proxy) mais aussi de le sécuriser
(fonction de pare-feu et de serveur VPN). Cette version, nommée ISA Server
2000 propose de puissantes fonctions de surveillance (détection
d’intrusions, rapports HTML, alertes…), de filtrage (filtres de paquets, règles
de sites et de contenu…) et de gestion de la bande passante.
La dernière édition de proxy server, nommée ISA Server
2004 apporte de nombreuses améliorations : configuration simplifiée (nouvelle
console MMC, gestion simplifiée des règles, multiples assistants de
configuration), sécurité renforcée (filtrage au niveau applicatif,
mise en quarantaine des clients VPN, support des méthodes d'authentification RSA
SecureID et RADIUS...) et fonctionnalités supplémentaires sont de la
partie (compression HTTP, sauvegarde au format XML, mode tunnel IPSec,
monitoring en temps réel... ).
1.2 Les nouveautés offertes par ISA Server 2006
ISA Server 2006 est une évolution logique d'ISA Server 2004.
A ce titre,
toutes les fonctionnalités incluses dans ISA Server 2004 SP2 (gestion du QoS
avec Diffserv, mise en cache du protocole BITS,
compression HTTP...) sont reprises dans la nouvelle version du produit. Voici
une liste non exhaustive des principales nouveautés et améliorations apportées
depuis la version 2004 :
-
Intégration de l'authentification par formulaire Web pour les règles de
publication Web
-
Implémentation d'un système d'ouverture de session unique (SSO) lorsque
plusieurs sites Web sont publiés (OWA, SharePoint...)
-
Nouveaux assistants de publication pour les serveurs Web, SharePoint et
les serveurs de messagerie
-
Meilleure gestion des certificats sur les ports d'écoute Web
-
Intégration de filtres Web supplémentaires
-
Intégration d'un assistant permettant de configuration automatiquement
une connexion VPN dans un site distant
-
Synchronisation entre les serveurs ISA et les serveurs CSS améliorée
-
Nouveau système de gestion des flux permettant de détecter des attaques
DoS
1.3 Les différentes éditions d'ISA Server 2006
A l'instar des versions précédentes d'Internet Security & Acceleration,
ISA 2006 est disponible en édition Standard mais aussi en édition Entreprise.
Comme aujourd'hui avec ISA 2004, les deux versions seront très proches hormis
quelques fonctionnalités réservées à la version entreprise. Voici la liste des
spécificités de cette dernière version :
-
Support de plus de quatre processeurs physiques
-
Système de stockage centralisé permettant
d’appliquer une configuration uniforme sur de nombreux serveurs ISA
-
Support du Network Load Balancing (NLB) avec
basculement automatique (y compris sur les liaisons VPN site-à-site)
-
Support de la mise en cache hiérarchisée via le
protocole CARP (Cache Array Routing Protocol)
1.4 L'intégration aux Appliances : un enjeu important pour l'avenir
Introduction
Pour augmenter les ventes de son pare-feu, mais aussi pour séduire les
amateurs de pare-feu "matériels", Microsoft s'est associé avec de grands
constructeurs pour fournir des "appliances" basées sur Windows
Server 2003 et ISA Server 2004. On peut citer Hewlett Packard (HP), Celestix,
Corrent, Network Engines, RimApp ou bien encore SecureGuard. Une liste complète
des partenaires de Microsoft sur les appliances ISA Server 2004 est disponible
ici.
 |
Les appliances actuellement basées sur ISA Server
2004 intègrent une version optimisée de Windows Server 2003 ainsi que
l'édition standard d'ISA (à l'heure actuelle aucune appliance n'intègre
l'édition entreprise).
Pour rappel une appliance est un système prêt à
l'emploi et dédié à exécuter une tâche bien précise (serveur Web,
serveur d'impression, pare-feu...). Ci-contre l'appliance de la société
Network Engines. |
Un système clés en main ?
Sur une appliance l'administrateur n'a pas directement accès
au système et à la console de configuration classique d'ISA Server. En effet la
plupart du temps le constructeur de l'appliance développe une interface Web
spécifique. La capture d'écran ci-dessous présente l'interface intégrée à l'appliance
MSA4000 de Celestix :
Outre ce système d'administration via interface Web, les
appliances proposent de nombreux avantages :
-
matériel spécialement sélectionné et soigneusement
dimensionné (l'appliance HP Proliant DL320 intègre par exemple un
processeur Pentium4 cadencé à 3GHz, 1Go de RAM, un disque dur de 80Go en
SATA ainsi que plusieurs cartes réseau gigabit utilisant l'interface PCI-X).
-
sécurité de la configuration garantie par le
constructeur (la version de Windows Server 2003 incluse dans les
appliances a été configurée par les ingénieurs de la marque de manière à
être la plus sécurisée possible; de plus le constructeur fourni généralement
un système de mise à jour automatique - cela induit donc un gros gain de
temps pour l'administrateur qui n'a pas besoin de se soucier de la sécurité
du système)
-
déploiement rapide du service (la plupart des
appliances sont opérationnelles en quelques minutes !)
 
ci-dessus, les appliances de Celestix et de Pyramid Computer
Les appliances sont donc des produits livrés "clés en
main" contrairement aux serveurs ISA "classiques" qui nécessitent de longues et
fastidieuses phases de configuration. En effet avant d'arriver à un système
parfaitement fonctionnel et sécurisé sur un serveur ISA il faut passer par les
étapes suivantes :
-
Prise de renseignements pour dimensionner/construire
le serveur en fonction des besoins (nombre de clients, bande passante de la
connexion Internet, mise en ouvre de la haute disponiblité...)
-
Installation matérielle et logicielle du serveur
-
Sécurisation du pare-feu (principalement au niveau du
système d'exploitation)
-
Configuration d'ISA Server
-
Optimisation des performances
Avec une appliance, l'utilisateur final n'a pas à se soucier
de toutes ces étapes : la seule chose à faire est de raccorder la machine au
réseau, puis de la configurer à l'aide de l'interface Web dédiée. De plus le
coût du matériel et des licences logicielles pour Windows Server 2003 et ISA se
fondent au sein d'une seule et même facture ce qui est plus pratique à gérer.
Des options supplémentaires...
 |
Pour se démarquer de la concurrence, la plupart des
constructeurs intègrent des matériels spécifiques ou bien incluent des
fonctionnalités supplémentaires au sein de leur produits ! Ainsi il
n'est pas rare de voir des appliances intégrant en standard un
anti-virus, un anti-spam ou bien encore un système de filtrage des URLs
(dans le but de bloquer les URLs utilisées à but promotionnel ou
malveillant : phishing, trojans, etc.). Le matériel peut aussi être
adapté et certains constructeurs comme HP ajoutent des cartes
accélératrices SSL pour augmenter les performances du chiffrement, des
systèmes ou bien des systèmes de tolérances de panne matériel ! |
Quid des appliances avec ISA 2006 ?
Le marché des appliances étant florissant, le concept des
appliances basées sur ISA restera bien sur d'actualité avec la nouvelle mouture
du pare-feu de la firme de Redmond ! Cette fois-ci, il sera possible d'acheter
une appliance basée sur l'édition standard d'ISA 2006 mais aussi sur l'édition
entreprise ! De plus les appliances ISA 2006 intégreront directement Windows
Server 2003 R2 plutôt que Windows Server 2003 SP1.
Les appliances intégrant ISA 2006 devraient être encore plus
nombreuses que celles basées sur ISA 2004 (actuellement on dénombre une dizaine
de marques commercialisant des appliances ISA 2004). En effet, d'autres
partenaires devraient rejoindre les constructeurs travaillant actuellement avec
Microsoft.
1.5 Vers un produit plus fiable et plus complet ?
La version actuelle d'ISA Server 2006 intègre une section
nommée "programme d'amélioration du produit". Le but de ce système de
feedback, mis en place avec le Service Pack 2 d'ISA Server 2004, est bien
évidemment d'améliorer la qualité et la fiabilité des produits Microsoft.
Il est présent au sein de cette beta mais devrait toujours être intégré à la
version finale du produit !
Cela montre vraiment la volonté qu'à Microsoft de se
détacher de cette image de développeur commercialisant des produits peu fiables
et remplis de bugs ! En effet, grâce à ce système l'équipe technique d'ISA
2006 est automatiquement averti au moindre bug rencontré par l'utilisateur.
Cela devrait permettre une vitesse de correction des bugs dans un temps record !
|
Bien entendu, toutes les informations collectées
sont totalement anonymes et ne concernent en rien l'identité de
l'utilisateur ou bien l'utilisation qu'il fait de sa machine ! Il est
tout à fait possible de ne pas participer à ce programme (c'est
d'ailleurs le cas par défaut). De plus, ceux qui ont activés l'option
peuvent revenir en arrière à tout moment ! |
 |
1.6 Essayez ISA Server 2006 gratuitement !
Une fois n'est pas coutume, la Beta1 du produit est ouverte au public !
Sans doute une autre manière de montrer la volonté d'ouverture de Microsoft qui
se rapproche de plus en plus du monde du libre... du moins lorsqu'il s'agit de
trouver un maximum de testeurs pour ses produits. Cette version Beta est
utilisable pendant 210 jours ce qui est sans doute une indication sur la
commercialisation du produit (officiellement durant le 2ème semestre 2006)
même si
cette page du site officiel de Microsoft mentionne plutôt l'été 2006.
Les deux éditions d'ISA Server 2006 peuvent être téléchargées
directement sur le site de Microsoft. Vous devrez bien sur posséder un
compte Passport .net pour accéder à la page de téléchargement. Le fichier,
d'une taille de 49,9 Mo quelle que soit l'édition considérée est
disponible uniquement en version anglaise. Avis aux développeurs, le
kit de développement (SDK) est également disponible !
Dans la suite de cet article l'édition Standard sera
souvent nommée SE (pour Standard Edition) et l'édition entreprise EE (pour
Enterprise Edition).
 Sommaire
1. Présentation du produit
1.1 Présentation d'ISA Server et bref historique
1.2 Les nouveautés offertes par ISA Server 2006
1.3 Les différentes éditions d'ISA Server 2006
1.4 L'intégration aux Appliances : un enjeu important pour l'avenir
1.5 Vers un produit plus fiable et plus complet ?
1.6 Essayez ISA Server 2006 gratuitement !
2. Déploiement d'ISA Server 2006
2.1 Configuration minimale
2.2 Installation d'ISA Server 2006 édition standard
2.3 Installation d'ISA Server 2006 édition entreprise
2.4 Les différents scénarii de mise à jour vers ISA 2006
2.5 Mise à jour vers ISA Server 2006 SE à partir d'ISA Server 2004 SE SP2
2.6 Mise à jour vers ISA Server 2006 EE à partir d'ISA Server 2004 EE SP2
3. Gestion de la publication sous ISA Server 2006
3.1 Présentation des nouveaux assistants de publication
3.2 Gestion des certificats sur les ports d'écoute Web
3.3 Gestion de la traduction de liens dans ISA 2006
3.4 Publication d'une ferme de serveurs Web
4. Mise en place de l'authentification dans le cadre d'une publication
4.1 Introduction au mécanisme d'authentification
4.2 Intégration de l'authentification basées sur les formulaires
4.3 Implémentation de l'ouverture de session unique (SSO) sur un port
d'écoute Web
4.4 Rappels sur les différentes méthodes d'authentification intégrée à ISA
2006
5. Déploiement d'ISA Server 2006 dans un site distant
5.1 Problématique du déploiement d'ISA Server 2004 EE dans un site distant
5.2 Déploiement automatisé d'ISA Server 2006 SE/EE dans un site distant
5.3 Procédure de déploiement pas-à-pas d'un serveur ISA 2006 dans un site
distant
5.4 Intégration des nouveautés du Service Pack 2 d'ISA Server 2004
6. Protection de l'accès Web et fonctionnalités de monitoring associées
6.1 La problématique
6.2 La réduction du flood
6.3 Test des fonctionnalités de monitoring
6.4 Un produit encore en version beta...
7. Conclusion
7.1 Nos impressions sur la Beta1 d'ISA Server 2006
7.2 Que pouvons-nous attendre pour l'avenir ?
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout savoir sur ISA Server 2006 (Beta1 - Codename Wolverine)
