Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Atelier MTB : Administration de Microsoft Internet Security and Acceleration (ISA) Server 2000

Sommaire

Description

Microsoft Internet Security and Acceleration Server (ISA Server) 2000 est un serveur cache Web et un pare-feu d’entreprise extensible intégré à Windows® 2000 pour offrir des fonctions de sécurité par stratégies, d’accélération et de gestion des interconnexions réseaux. Cet atelier passe en revue les principales fonctions du pare-feu, du cache Web et de la console de gestion afin de familiariser les administrateurs avec Microsoft ISA Server.

Objectifs

Cet atelier vise à vous familiariser avec les principales fonctions de sécurité, de performances et de gestion de Microsoft ISA Server. à la fin de cet atelier, vous serez en mesure de :

  • configurer la sécurité du pare-feu ;
  • configurer les stratégies d’accès ;
  • configurer le cache Web ;
  • configurer la publication du serveur.

Conditions préalables

Avant de commencer cet atelier :

  • vous devez connaître les concepts fondamentaux de Microsoft Windows® 2000, comme les domaines et les comptes d’utilisateur ;
  • vous devez être familiarisé avec Microsoft Windows® 2000 ;
  • vous devez connaître les concepts fondamentaux du protocole TCP/IP, comme le routage, les protocoles, les ports et les adresses IP ;
  • vous devez avoir une connaissance globale des fonctions des serveurs de pare-feu et de cache.

Configuration de l’atelier

Avant de démarrer cet atelier, prenez note des informations ci-dessous.

Au cours de cet atelier, vous utiliserez un seul ordinateur.

  • L’ordinateur est configuré en tant que serveur de groupe de travail autonome exécutant ISA Server RC1. Cet atelier met l’accent sur la configuration du serveur plutôt que sur le test de la connectivité du client.

    Cet ordinateur est équipé de deux cartes réseau :

    • le premier a l’adresse IP 192.168.1.1. Il représente votre connexion Internet externe ;
    • le deuxième a l’adresse IP 10.10.0.5. Il représente votre connexion au réseau intranet de l’entreprise.
  • ISA Server a été installé en mode Intégré et assure les services Web et pare-feu.

Topologie du réseau

Pour en savoir plus

Pour plus d’informations sur ISA Server, vous pouvez consulter le site Microsoft ISA Server.

Temps estimé nécessaire à l’exécution de cet atelier : 60 minutes

Exercice 1 Configuration de la sécurité par pare-feu

Au cours de cet exercice, vous allez configurer ISA Server pour protéger les paquets et les applications à l’aide d’un pare-feu, définir la détection des intrusions, activer l’émission d’alertes et renforcer la configuration du système.

Scénario

Tuck Financial Services est une grande entreprise fictive comptant 80 succursales à travers le pays. Chaque succursale compte approximativement 500 employés. Chaque site de succursale est équipé de postes de travail Windows, Unix et Macintosh. Tuck Financial Services doit s’assurer que chaque succursale dispose d'un accès rapide et sécurisé à Internet. En votre qualité d’administrateur réseau de Tuck Financial Services, vous devez offrir à vos clients internes l’accès à Internet tout en protégeant votre réseau et vos serveurs de messagerie électronique contre toute attaque externe ou contre toute utilisation malveillante des ressources.

Votre système ISA Server est actuellement configuré pour connecter votre réseau intranet au réseau Internet. Avant de permettre à vos clients de se connecter à Internet, vous devez d’abord vous assurer que cette connexion est sécurisée et que toute tentative d’intrusion vous sera notifiée. Vous devez également protéger votre système de messagerie électronique contre la réception de tout courrier dangereux à partir d’un domaine de courriers indésirables connu, SpamIT.com.

Tâches
Procédure détaillée
Remarque : ISA Server prend en charge la détection d’un certain nombre d’attaques courantes du réseau. Il peut bloquer ces tentatives d’intrusion et émet une alerte.
1. Activer le filtrage dynamique de paquets et la détection des intrusions pour tous les types d’attaques reconnus par ISA Server.

 

a. Dans l’arborescence de la console, développez le nœud Stratégie d’accès, puis cliquez sur Filtre de paquets IP.
b. Dans le volet Résultats, cliquez sur Configurer le filtrage de paquets et la détection d'intrusion.
c. Dans l’onglet Général de la boîte de dialogue Propriétés des filtres de paquets IP, assurez-vous que la case à cocher Activer le filtrage de paquets est activée, puis activez la case à cocher Activer la détection d'intrusion.
d. Dans l’onglet Détection des intrusions, activez toutes les cases à cocher. Maintenez la touche Maj enfoncée et appuyez sur F1 après avoir activé chacune des cases à cocher afin d’afficher la description de chaque type d’attaque.
e. Dans l’onglet Filtres de paquets, activez toutes les cases à cocher. Maintenez la touche Maj enfoncée et appuyez sur F1 après avoir activé chacune des cases à cocher afin d’afficher la description de chaque type d’attaque.
f. Cliquez sur OK.
Vous avez configuré ISA Server pour générer des événements lorsqu’il détecte des actions associées à certaines attaques. Pour recevoir une notification lorsque de tels événements se produisent, vous devez également configurer des alertes.

 

2. Configurer les alertes en cas d’intrusion et avertir l’administrateur par courrier électronique.

 

a. Dans l’arborescence de la console, développez Configuration de la supervision, puis cliquez sur Alertes.
b. Dans le volet des détails, cliquez avec le bouton droit sur Toute attaque de port, puis cliquez sur Activer.
c. Cliquez avec le bouton droit sur Toute attaque de port, puis cliquez sur Propriétés
d. Dans l’onglet Actions de la boîte de dialogue Propriétés Toute attaque de port, activez la case à cocher Envoyer un courrier, puis tapez Tuck Server dans le champ Serveur SMTP : et Administrateur@TuckFinancial.com dans le champ à : .
e. Cliquez sur OK.
Lorsque ISA Server détecte une attaque de port par le biais de la détection d’intrusions intégrée, il envoie un courrier à l’administrateur. Vous pouvez également configurer ISA Server pour exécuter des scripts personnalisés ou démarrer et arrêter des services Windows.

 

3. Activer les filtres d’applications de données intuitives, comme le filtre SMTP, pour empêcher la réception de courrier émanant du domaine “ ’SpamIT.com ”

 

a. Dans l’arborescence de la console, développez le nœud Extensions , puis cliquez sur Filtres d’application. Cliquez avec le bouton droit sur Filtre SMTP dans le volet des détails, puis sélectionnez Propriétés.
b. Dans la boîte de dialogue Propriétés de filtre SMTP, sélectionnez l’onglet Utilisateurs/domaines.
c. Tapez SpamIT.com dans le champ Nom de domaine, puis cliquez sur Ajouter.
d. Cliquez sur OK.
D’autres filtres d’applications intégrés permettent à Microsoft ISA Server de prendre en charge le trafic H.323 et la division du flux de média. Vous pouvez créer des filtres d’applications personnalisés afin d’étendre davantage les fonctionnalités de filtrage.

 

4. Verrouillez le système à l’aide de l’Assistant Configuration de la sécurité de ISA Server. Ce processus “ durcit ” le système d’exploitation et sécurise les configurations.

 

a. Dans l’arborescence de la console, cliquez sur Filtres de paquets IP.
b. Dans le volet des détails, cliquez sur Sécuriser votre machine serveur.
c. Dans l’Assistant Configuration de la sécurité de ISA Server, lisez l’avertissement, puis cliquez sur Suivant.
d. Dans la page Sélectionner le niveau de sécurité système, lisez les descriptions des paramètres de sécurité.
e. Cliquez sur Annuler.
Le durcissement du système ISA limite les services de l’ordinateur. En raison des contraintes de la présente démonstration, nous ne décrirons pas ici le processus de verrouillage.

 

Exercice 2 Configuration des stratégies d’accès à Internet

Au cours de cet exercice, vous allez apprendre à gérer les stratégies d’accès pour ISA Server en autorisant l’accès au Web, en créant des éléments de stratégie et en limitant l’accès par le biais des règles régissant les sites et les contenus.

Scénario

La stratégie de sécurité définie pour Tuck Financial Services permet aux employés d’accéder à n’importe quel site Web tant que le trafic n’interfère pas avec le fonctionnement normal du réseau. à cette fin, vous devez configurer une règle de protocole qui autorise ce type d’accès. Par exemple, plusieurs équipes de sport locales s’étant distinguées récemment par des performances très satisfaisantes, vous ne souhaitez pas que les utilisateurs regardent ces événements sportifs diffusés en direct car cela peut entraîner une forte intensification du trafic sur votre réseau. Vous décidez alors de bloquer l’accès au site Web diffusant ces événements pendant les heures de travail.

Tâches
Procédure détaillée
1. Configurer les règles de protocole ISA Server qui autorisent l’accès à tous les sites Web à l’aide du protocole HTTP.

 

a. Dans l’arborescence de la console, développez le nœud Stratégie d’accès, puis cliquez sur Règles de protocole.
b. Dans le volet des détails, cliquez sur Autoriser des protocoles Web.
c. Dans l'Assistant Nouvelle règle de protocole, dans la zone Nom de la règle de protocole, tapez Autoriser l’accès au Web – Tous les utilisateurs, puis cliquez sur Suivant.
d. Dans la page Protocoles, désactivez la case à cocher Gopher, puis cliquez sur Suivant.
étant donné que les utilisateurs au sein de votre entreprise n’utilisent pas le protocole gopher pour accéder à Internet, vous empêchez ainsi l’utilisation de protocole.
e. Dans la page Planification, cliquez sur Suivant.
f. Dans la page Type de client, cliquez sur Suivant.
g. Passez en revue les composants de la règle de protocole que vous créez, puis cliquez sur Terminer.
Par mesure de sécurité, ISA Server refuse l’accès à Internet par défaut. Les Assistants de protocole vous permettent d’assurer rapidement et facilement la connectivité, ainsi que de développer des règles d’accès granulaires.

 

2. Créer un ensemble de destinations appelé Sports qui inclut *distractingSports.com

 

a. Dans l’arborescence de la console, développez le nœud éléments de stratégie, puis cliquez sur Ensembles de destination.
b. Dans le volet des détails, cliquez sur Nouvel ensemble de destinations.
c. Dans la zone Nom de la boîte de dialogue Nouvel ensemble de destinations, tapez Sports.
d. Cliquez sur Ajouter.
e. Dans la boîte de dialogue Ajouter/Modifier la destination, confirmez que l’option Destination est sélectionnée puis, dans le champ Destination, tapez *distractingSports.com puis cliquez deux fois sur OK.
Les éléments de stratégie sont les composants qui permettent de créer les Règles de site et de contenu, les Règles de protocole, les Règles de publication et les Règles de bande passante.

 

3. Modifier la planification appelée Heures de travail pour inclure la plage horaire 6 heures - 12 heures, du lundi au vendredi.

 

a. Dans l’arborescence de la console, cliquez sur Planifications.
b. Dans le volet des détails, cliquez sur Heures de travail, puis sur Configurer une planification.
c. Dans l’onglet Planification de la boîte de dialogue Heures de travail Propriétés, faites glisser la souris afin de mettre en évidence la plage horaire comprise entre 6 heures et 12 heures, du lundi au vendredi. Cliquez sur le bouton d’option Actif afin de définir cette plage horaire, puis cliquez sur OK.

 

4. Passer en revue les autres éléments de stratégie des définitions de protocoles et des groupes de contenus prédéfinis.

 

a. Dans l’arborescence de la console, cliquez sur Définitions de protocole et passez en revue les définitions de protocole prédéfinies disponibles.
b. Dans l’arborescence de la console, cliquez sur Groupes de contenus et passez en revue les groupes de contenus prédéfinis disponibles.
ISA Server vous permet de filtrer le contenu en spécifiant différents types d’éléments de stratégie. Outre les éléments de stratégie que vous avez passé en revue, ISA Server peut également utiliser des définitions de bande passante qui tirent parti du protocole QoS (Quality of Service) et des jeux d’adresses de clients qui incluent un ou plusieurs ordinateurs. ISA Server vous permet aussi de définir des stratégies basées sur les groupes de sécurité Windows 2000.

 

5. Configurer une règle de site et de contenu qui refuse au groupe Utilisateurs de domaine l’accès à l'ensemble de destinations Sports pendant les heures de travail.

 

a. Dans l’arborescence de la console, développez le nœud Stratégie d’accès, puis cliquez sur Règles de site et de contenu.
b. Dans le volet des détails, cliquez sur Créer une règle de site et de contenu.
c. Dans l’Assistant Nouvelle règle de site et de contenu, dans le champ Nom de la règle de site et de contenu, tapez Refuser l’accès à Sports – Utilisateurs de domaine, puis cliquez sur Suivant.
d. Dans la page Action de la règle, cliquez sur Refuser, puis sur Suivant.
e. Dans la page Ensembles de destinations, sélectionnez Ensemble de destinations spécifié dans la zone Appliquer cette règle à, sélectionnez Sports dans la zone Nom, puis cliquez sur Suivant.
f. Dans la page Planification, dans la zone Utiliser cette planification, sélectionnez Heures de travail, puis cliquez sur Suivant.
g. Dans la page Type de client, cliquez sur Suivant.
h. Passez en revue les éléments de la règle de site et de contenu que vous créez, puis cliquez sur Terminer.
Cette règle refusera désormais tout accès aux URL définies dans l'ensemble de destinations Sports pendant les heures de travail.

 

6. Passer en revue les rapports ISA Server intégrés pour analyser les modes d’utilisation du Web.

 

a. Dans l’arborescence de la console, développez le nœud Analyse, puis Rapports. Les sous-dossiers correspondent aux différents types de rapports ISA Server intégrés.
à des fins de démonstration, ces rapports ont été créés au préalable afin d’en montrer le format. Ces rapports sont générés à partir des journaux d’accès et de sécurité de Microsoft ISA Server. Ces journaux peuvent être convertis au format ODBC, W3C ou à celui d’un fichier simple.
b. Sur le bureau Windows, double-cliquez sur le raccourci vers les rapports de résumés Microsoft ISA Server afin de passer en revue les rapports.

 

Exercice 3 Configuration du cache Web

Au cours de cet exercice, vous allez configurer les services de cache Web, en stockant le contenu Internet sur un ordinateur ISA Server local au lieu de vous connecter au site Internet à chaque fois que vous souhaitez en consulter le contenu.

Scénario

Les utilisateurs de votre réseau doivent être en mesure d’accéder rapidement et facilement aux listes de prix qu’un partenaire commercial met à jour et publie quotidiennement sur Internet. L’accès à ces listes est crucial et vos utilisateurs doivent pouvoir y accéder y compris lorsqu’une connexion à Internet n’est pas disponible. Pour permettre l’accès hors ligne à ces sites Web et FTP, vous allez configurer ISA Server pour en télécharger automatiquement le contenu au quotidien. Pour obtenir de meilleures performances, vous allez planifier l’exécution des téléchargements aux heures creuses.

Tâches
Procédure détaillée
1. Configurer le téléchargement d’un contenu planifié portant sur deux niveaux de contenu depuis le site http://www.PartnerPrice.com, en réinitialisant la durée de vie (TTL) à 120 minutes. Planifier l’exécution de ce travail à 5 heures du matin chaque jour.

 

a. Dans l’arborescence de la console, développez le nœud Configuration du cache, puis cliquez sur Opération de téléchargement du contenu planifiée.
b. Cliquez avec le bouton droit sur Opération de téléchargement du contenu planifiée, pointez sur Nouveau, puis cliquez sur Tâche.
c. Dans l’Assistant Nouvel opération de téléchargement du contenu planifiée, dans le champ Nom de la tâche, tapez Téléchargement de PartnerPrice, puis cliquez sur Suivant.
d. Dans la page Heure de début, vérifiez que la zone Date contient la date du jour, fixez l’heure à 5h00, puis cliquez sur Suivant.
e. Dans la page Fréquence, cliquez sur Tous les jours, puis sur Suivant.
f. Dans la page Contenu, dans le champ Télécharger le contenu à partir de URL, tapez http://www. PartnerPrice.com
g. Activez la case à cocher Contenu uniquement du domaine de l’URL (pas des sites liés), puis cliquez sur Suivant.
h. Dans la page Liens et objets téléchargés, activez la case à cocher Toujours ignorer la TTL de l’objet puis, dans la zone Marquer les objets téléchargés avec une nouvelle TTL de, tapez 120.
Lorsque vous fixez la durée de vie (TTL) à 120 minutes, ISA Server transmet les pages placées dans le cache au client pendant deux heures sans vérifier l’existence d’une nouvelle version sur le site Web proprement dit. La définition d’une TTL de longue durée pour les pages Web permet de réduire le trafic réseau à Internet mais peut impliquer l’affichage d’informations périmées.
i. Cliquez sur Traverser une profondeur maximale de liens de dans la zone Traverser une profondeur maximale de liens, tapez 2, puis cliquez sur Suivant.
La définition d’une profondeur maximale pour des téléchargements planifiés peut limiter la quantité des données téléchargées par ISA Server à partir du site Web.
j. Passez en revue les paramètres de l’Assistant, puis cliquez sur Terminer.

 

En raison des contraintes de la configuration de la présente démonstration, vous ne testerez pas le téléchargement du contenu Web.

 

Exercice 4 Configuration de la publication d’un serveur

Au cours de cet exercice, vous allez publier un serveur Web interne. Les utilisateurs Internet externes pourront ainsi accéder à votre site Web en toute transparence mais il existe désormais une couche de sécurité de pare-feu supplémentaire.

Scénario

Le site Web de Tuck Financial Services doit être accessible aux utilisateurs sur Internet. Le serveur Web qui héberge ce site Web se trouve dans un sous-réseau blindé, séparé d’Internet par ISA Server. Vous devez configurer ISA Server pour transmettre les demandes de pages Web des utilisateurs Internet au serveur Web.

Tâches
Procédure détaillée
1. Créer une règle de publication Web qui redirige toutes les demandes Web envoyées à l’adresse externe de Microsoft ISA Server vers le serveur Web interne 10.10.0.10.

 

a. Dans l’arborescence de la console, développez le nœud Publication, puis cliquez sur Règles de publication Web.
b. Dans le volet des détails, cliquez sur Créer une règle de publication Web.
c. Dans l’Assistant Nouvelle règle de publication Web, dans la zone Nom de la règle de publication Web, tapez Serveur Web public, puis cliquez sur Suivant.
d. Dans la page Ensembles de destinations, cliquez sur Suivant.
Les ensembles de destinations pour la publication de serveurs incluent les ordinateurs internes, tandis que les ensembles de destinations que vous créez pour l’accès à Internet contiennent des ordinateurs externes.
e. Dans la page Type de client, cliquez sur Suivant.
f. Dans la page Action de la règle, cliquez sur Rediriger la demande vers ce serveur Web interne (nom ou adresse IP), tapez 10.10.0.10, puis cliquez sur Suivant. Cette adresse IP représente notre serveur Web.
g. Cliquez sur Terminer.
h. Dans le volet des détails, vérifiez l’ordre dans lequel les règles sont appliquées.

 

Remarque : la configuration de la règle de publication Web est terminée. Cette règle redirigera toutes les connexions à l’adaptateur réseau externe de Microsoft ISA Server vers un serveur Web interne. Toutefois, le composant pare-feu de Microsoft ISA Server bloquera toujours toutes les tentatives de connexion sur la plupart des ports de l’adaptateur réseau externe installé sur ISA Server. Vous devez configurer une règle de filtrage de paquets afin d’autoriser les connexions au port 80 de l’adaptateur réseau externe de Microsoft ISA Server.

 

2. Configurer un filtre de paquets pour autoriser les connexions sur le port 80 de ISA Server.

 

a. Dans l’arborescence de la console, développez le nœud Stratégie d’accès puis cliquez sur Filtres de paquets IP.
b. Dans le menu Affichage, désactivez Liste des tâches.
c. Cliquez avec le bouton droit sur Filtres de paquets IP, pointez sur Nouveau, puis cliquez sur Filtre.
d. Dans l’Assistant Nouveau filtre de paquets IP, dans la zone Nom du filtre de paquets IP, tapez HTTP, puis cliquez sur Suivant.
e. Dans la page Serveurs, cliquez sur Suivant. Dans la page Mode de filtrage, assurez-vous que l’option Autoriser la transmission des paquets est sélectionnée, puis cliquez sur Suivant.
g. Dans la page Type de filtre, assurez-vous que l’option Prédéfini est sélectionnée, cliquez sur Serveur HTTP (port 80), puis cliquez sur Suivant.
h. Dans la page Ordinateur local, assurez-vous que l’option Adresse IP par défaut pour chaque interface externe du serveur ISA est sélectionnée, puis cliquez sur Suivant.
i. Dans la page Ordinateurs distants, assurez-vous que l’option Tous les ordinateurs distants est sélectionnée, cliquez sur Suivant, puis sur Terminer.
ISA Server assure une sécurité transparente des serveurs Web, FTP et de courrier électronique. Grâce à la fonction SecureNAT, ISA Server mappera l’interface externe sur les serveurs internes et appliquera les stratégies de sécurité au trafic.

 

ISA Server offre le niveau de sécurité, de performances Web et de gestion intégrée requis pour les activités Internet d’aujourd’hui. Nous vous remercions de votre participation à l’atelier ISA Server et vous invitons vivement à visiter notre site Web pour plus d’informations.

 

 

Dernière mise à jour le vendredi 19 janvier 2001

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.