3. Mise en place d'une stratégie d'Entreprise
3.1 Introduction aux stratégies d'entreprise
L'un des avantages majeurs d'ISA Server EE est la possibilité de configurer
en une seule fois un grand nombre de serveurs. Cela passe par la création et la
configuration de stratégies d'entreprise. Une stratégie d'entreprise est un
ensemble de règles d'accès utilisant des réseaux et des éléments de stratégie
définis au niveau de l'entreprise, c'est à dire enregistrés dans un
serveur de stockage de configuration ! C'est justement grâce à l'utilisation d'un système
de stockage centralisé (le serveur CSS) qu'il est possible d'appliquer une
stratégie d'entreprise sur plusieurs grappes de serveurs ISA.
|
La première action a effectuer lors de la
configuration d'une entreprise ISA Server est la création des objets
Réseaux. Ils doivent correspondre aux sites et aux plages d'adresses
IP réellement affectés au sein de l'organisation. Ces objets réseaux
définis au niveau de l'entreprise sont communs à toutes les stratégies
d'entreprise et vont permettre la création de règles d'accès fines et
précises. Ces règles seront interprétées de la même manière par tous
les serveurs ISA de l'organisation, et ce, quelque soit leur placement
(ce qui n'est pas le cas d'une règle du type Interne vers Externe,
puisque les réseaux Interne et Externe ne contiennent pas toujours la
même chose selon le serveur ISA considéré !).
Dans l'exemple ci-contre, quatre réseaux reflétant
les quatre sites de la société ont été crées. Pour chaque réseau, une
plage d'adresse IP correspondant à la réalité a été attribuée. Une fois
que les règles de réseaux appropriées auront été crée, il sera aisé de
créer des règles d'accès faisant intervenir ces réseaux. Il est aussi
possible de créer des ensembles de réseaux afin de simplifier encore
plus la configuration. On pourrait par exemple créer un ensemble de
réseaux nommé Tous les sites distants contenant les réseaux
Lyon, Nantes et Nice. cela permettrait de faciliter la création des
règles d'accès autorisant la communication entre le site principal
(Réseau Paris) et les sites distants (Tous les
sites distants). |
 |
 |
Lorsque les réseaux, les ensembles de réseaux et les
règles de réseaux ont été crées, l'administrateur peut ensuite définir
des éléments de stratégie spécifique à l'entreprise ou bien de nouvelles
stratégies d'entreprise. Il existe une seule stratégie d'entreprise
prédéfinie. Elle est nommée Stratégie par défaut et contient
uniquement une règle d'accès bloquant le trafic en provenance de tous
les réseaux et à destination de tous les réseaux. Cette stratégie d'entreprise
n'est pas modifiable !!! Elle est uniquement présente pour verrouiller
la configuration des serveurs ISA (grâce à la règle bloquant tout le
trafic).
La création d'une ou plusieurs stratégies
d'entreprise est donc un passage obligé pour l'équipe sécurité. Il est
recommandé de se limiter à une seule stratégie d'entreprise dans la
mesure du possible (cela évite de rendre la configuration trop
complexe). |
On peut par exemple créer deux stratégies
d'entreprise : l'une contenant des règles d'accès flexible (accès
illimité au Web via les protocoles HTTP et FTP) et utilisée sur les
sites ne nécessitant pas une sécurité élevée et l'autre contenant des
règles d'accès hautement sécurisées (accès limité au Web pour certaines
personnes à certaines heures et uniquement vers certaines URLs,
utilisation du filtre HTTP pour restreindre certaines méthodes et pour
filtrer les signatures des applications sensibles) utilisée sur les
sites nécessitant une sécurité élevée.
3.2 Implémentation et configuration d'une grappe de serveurs
 |
Avec ISA Server EE on ne parle plus de serveur ISA mais de
grappes (arrays)
de serveurs ISA. Une grappe est un ensemble de serveurs ISA possédant une
configuration identique ! L'avantage des grappes (ou groupes) de serveurs est
qu'elle permet la mise en place de l'équilibrage de la charge (NLB) et du cache
distribué (CARP), notions qui seront détaillées dans les chapitres 4 et 5. Il
est tout à fait possible de créer une grappe de serveurs ne possédant qu'un seul
serveur si le but recherché n'est pas la mise en place des technologies
précédemment citées ou si le budget est limité. Ce type de configuration (une
grappe contenant un seul serveur) permet déjà d'appliquer une configuration
standardisée (c'est-à-dire une stratégie d'entreprise) tout en permettant une
croissance horizontale (ajout de nouveaux serveurs ISA dans la grappe pour
améliorer les performances et la disponibilité).
Dans l'exemple ci-contre, quatre groupes de serveurs
nommés GRP-PARIS, GRP-NANTES, GRP-LYON et GRP-NICE sont présents.
La configuration du groupe GRP-LYON est développée et on observe
que les options de configuration d'un groupe de serveurs sont
identique à celles présentes sur un serveur ISA exécutant la version
standard. La seule nouveauté dans l'arborescence est le paramètre
Configuration/Serveurs qui permet de configurer tous les serveurs
présents dans la grappe mais aussi d'activer le support de Network
Load Balancing (NLB). |
En ce qui concerne la configuration des grappes, il n'est possible de leur
appliquer qu'une seule et unique stratégie d'entreprise. De plus, des règles d'accès spécifiques mais aussi des
règles de publication et de cache peuvent être crées au niveau de la grappe (ce qui est impossible au niveau de
l'entreprise). L'ensemble des règles (cache, publication, accès) définies au
niveau d'une grappe de serveur est nommé stratégie de grappe ou stratégie de
groupe (Attention à ne pas confondre avec les objets stratégie de groupe ou GPOs,
cela n'est pas du tout la même chose !!!). Une stratégie de grappe est
spécifique à la grappe de serveur et ne peut pas être utilisé pour configurer
d'autres grappes de serveurs ISA.
|
Lors de la création d'une nouvelle grappe de serveurs
ISA, il suffit de spécifier les trois paramètres suivants :
-
un nom convivial qui est affiché dans la
console Gestion ISA server
-
un nom de domaine pleinement qualifié (FQDN)
qui pourra être utilisé par les clients pare-feu et par les clients
du proxy Web pour joindre le groupe de serveurs
-
la stratégie d'entreprise utilisée (si
aucune stratégie n'a été crée, la stratégie appliquée est la
Stratégie par défaut)
Une fois le groupe crée, l'administrateur a accès a
d'autres options qui doivent impérativement être configurées pour
assurer le bon fonctionnement de la grappe ! Pour commencer l'onglet
Paramètres de stratégie permet de modifier la stratégie
d'entreprise utilisée et de définir les règles d'accès et de
publications qui pourront être crées au niveau de la grappe. Trois
options sont disponibles :
-
Règles d'accès de type "refuser"
-
Règles d'accès de type "autoriser"
-
Règles de publication (de types "refuser" et
"autoriser")
Si un administrateur tente de créer une règle d'accès
au niveau de la grappe alors que cette fonctionnalité est désactivée, le
message d'erreur suivant s'affichera :
 |
 |
 |
Nous avons vu précédemment comment mettre en place un
système de stockage centralisé et redondant. Cela passe par
l'installation et la configuration de plusieurs serveurs CSS.
Etant donné que le mode ADAM n'utilise pas de serveur DNS pour
enregistrer les machines exécutant le service d'annuaire, les
ordinateurs clients (en l'occurrence les serveurs ISA) sont incapables
de localiser un serveur CSS en interrogeant leur serveur DNS principal.
Pour qu'un groupe de serveur ISA soit capable de
joindre un serveur de stockage de configuration, il faut configurer
les noms de domaine pleinement qualifié des serveurs CSS manuellement !
Cela se réalise dans l'onglet Stockage des configurations des
propriétés de la grappe. Il est possible de configurer un serveur CSS
principal et un serveur CSS de sauvegarde. Si les serveurs ISA sont
placé dans un groupe de travail, le FQDN entré pour le serveur de
stockage de configuration doit impérativement correspondre avec le nom
commun du certificat numérique qui a été déployé lors de son
installation. Dans cet exemple, cela signifie qu'un certificat ayant le
nom commun CSS-1.laboms.lan a été installé sur le serveur CSS.
Cet onglet permet aussi la configuration de deux
options cruciales pour le bon fonctionnement de la grappe :
-
L'intervalle avec lequel les serveurs ISA
présents dans la grappe interrogent le serveur CSS pour obtenir
les éventuelles mises à jour de la configuration (par défaut toutes
les quinze secondes)
-
La méthode d'authentification utilisée par les
serveurs ISA pour joindre les serveurs CSS. Dans le cas où les
serveurs CSS et les serveurs ISA appartiennent au même domaine (ou à
des domaines reliés entre-eux par des relations d'approbation
correctement configurés) l'authentification Windows peut être
utilisée. Pour tous les autres cas, l'authentification sur un
canal SSL crypté doit être utilisée (comme expliquée
précédemment cette méthode nécessite l'installation d'un certificat
sur les serveurs CSS).
|
3.3 Ordre d'application des règles d'entreprise et de grappes
Lorsque l'on configure les règles d'accès d'une stratégie d'entreprise, il
est possible de définir si une règle donnée sera ou non prioritaire par rapport
aux règles de grappe. Pour cela il suffit de faire un clic droit sur la règle
choisie, puis de sélectionner Monter ou Descendre. Le détail d'une stratégie
d'entreprise nommée Stratégie - Sécurité Avancée est présentée ci-dessous
:
On remarque que deux règles d'accès sont configurées. La première règles d'accès
nommée Accès filtré à Internet autorise les membres des services
Communication et Recherche a accéder aux sites Web bancaires et au sites Web des
fournisseurs de la société mais uniquement pendant les heures de bureau (on
remarque aussi que le contenu visible sur ces sites Web est limité aux documents
HTML et aux images). Comme le montre le volet de configuration de la stratégie
d'entreprise présent ci-dessus, cette règle s'applique AVANT la stratégie de
pare-feu de groupe (ou stratégie de grappe). Cela signifie qu'elle entrera en
fonction quelque soit les règles configurées au niveau du groupe de serveur ISA.
La seconde règle nommée Accès total à Internet autorise un accès non
filtré à Internet (tout type de contenu, toute destination) pour tous les
employés mais uniquement pendant les heures de repos et de pauses. Cette règle
s'applique APRES la stratégie de pare-feu de groupe. Si l'administrateur du
groupe de serveur crée une règle bloquant l'accès à Internet, les employés
n'auront plus accès à Internet durant les heures de repos et de pauses. Cela
permet de bloquer facilement l'accès à Internet d'un site distant qui doit être
plus sécurisé que les autres, et ce, sans passer par la création d'une seconde
stratégie d'entreprise.
3.4 Délégation de l'administration au sein d'une entreprise ISA Server
ISA Server 2004 édition entreprise apporte son lot de
nouveautés en ce qui concerne la délégation de l'administration. Six rôles
prédéfinis sont maintenant proposés (au lieu des trois rôles de la version
standard) afin de permettre une décentralisation maximale de l'administration
des serveurs. Mieux qu'un long discours, le tableau ci-dessous récapitule les
différents rôles disponibles selon les versions d'ISA Server ainsi que les
actions qu'ils autorisent sur la configuration des serveurs :
|
Nom du rôle |
Version |
Description du rôle |
| Administrateur de ISA Server
Entreprise |
Ent |
Contrôle total sur l'entreprise, les groupes
et la délégation |
| Editeur de stratégies ISA Server
Entreprise |
Ent |
Contrôle total sur une stratégie d'entreprise
donnée |
| Auditeur de ISA Server Entreprise |
Ent |
Accès en lecture à la configuration de
l'entreprise et des groupes |
| Administrateur de groupe ISA
Server |
Ent |
Contrôle total sur le groupe, lecture sur la
stratégie d'entreprise appliquée au groupe |
| Auditeur de groupe ISA Server |
Ent |
Contrôle total sur les options de surveillance
du groupe, lecture sur le reste de la configuration du groupe et sur
la stratégie d'entreprise appliquée au groupe |
| Auditeur de surveillance de
groupes ISA Server |
Ent |
Accès en lecture aux options de surveillance
du groupe |
| Administrateur Global de ISA
Server |
Std |
Contrôle total sur le serveur ISA et la
délégation sur ce serveur |
| ISA Server - Surveillance étendue |
Std |
Contrôle total sur les options de surveillance
du serveur ISA, lecture sur le reste de la configuration du serveur |
| ISA Server - Surveillance de base |
Std |
Accès en lecture aux options de surveillance
du serveur |
Tous les rôles de la version standard se configurent à l'aide
d'un assistant (clic droit sur le nom du serveur, puis Délégation de
contrôle...). En revanche pour la version entreprise, il n'y a pas de
composant permettant de simplifier la délégation des tâches administratives et
on doit utiliser une option différente de l'interface graphique selon le rôle
que l'on souhaite attribuer :
-
Pour définir un Administrateur d'ISA Server Entreprise
ou un Auditeur d'ISA Server Entreprise, il faut utiliser l'onglet
Attribuer les rôles des propriétés de l'Entreprise.
-
Pour définir un Editeur de stratégie ISA Server
Entreprise, il faut utiliser l'onglet Attribuer les rôles des
propriétés de la stratégie d'Entreprise considérée.
-
Pour définir un rôle au niveau du groupe, il faut
utiliser l'onglet Attribuer les rôles des propriétés du groupe
considéré.
 Sommaire
1. Présentation d'ISA Server Edition Entreprise
1.1 Le positionnement du produit au sein la politique de sécurité de Microsoft
1.2 Les nouveautés de la version Entreprise
1.3 Configuration requise pour exécuter Microsoft ISA Server 2004 EE
1.4 Quelle version d'ISA choisir ?
2. Implémentation d'un serveur de stockage de configuration (CSS)
2.1 Évolution du système de stockage depuis ISA Server 2000
2.2 Le serveur de stockage de configurations (CSS)
2.3 Recommandations pour le placement du serveur de stockage de configurations
2.4 Recommandations pour la mise en place d'un serveur CSS dans un site distant
2.5 Installation du premier serveur de configurations de l'entreprise ISA Server
2.6 Installation d'un serveur CSS redondant pour assurer la tolérance de panne
2.7 Configuration de la réplication intrasite sur les serveurs CSS
2.8 Configuration de la réplication intersites sur les serveurs CSS
3. Mise en place d'une stratégie d'Entreprise
3.1 Introduction aux stratégies d'entreprise
3.2 Implémentation et configuration d'une grappe de serveurs
3.3 Ordre d'application des règles d'entreprise et de grappes
3.4 Délégation de l'administration au sein d'une entreprise ISA Server
4. Déploiement d'un serveur ISA au sein d'une Entreprise ISA Server
4.1 Installation manuelle d'un premier serveur ISA dans groupe de serveurs
4.2 Installation automatique d'un second serveur ISA dans un groupe de serveur
5. Configuration de l'équilibrage de la charge (NLB) sur un groupe de serveurs (Array)
5.1 Principe du Network Load Balancing (NLB)
5.2 Intégration du NLB au sein d'ISA Server 2004
5.3 Configuration d'un réseau permettant la communication à l'intérieur de la grappe
5.4 Activation du NLB sur l'un des réseaux d'un groupe de serveurs ISA
6. La mise en cache distribuée à l'aide du protocole CARP
6.1 Problématique de la gestion du cache dans un groupe de serveurs
6.2 Principe du cache distribué
6.3 Configuration du protocole CARP sur un groupe de serveur ISA
6.4 Fonctionnement simultané de l'équilibrage de la charge (NLB) de la mise en cache distribuée (CARP)
7. Conclusion
7.1 Procédure globale de déploiement
7.2 Le mot de la fin...
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tech-Ed 2005 : Implémentation d'ISA Server 2004 Édition Entreprise
