Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Déploiement du pare-feu de sécurité, du serveur proxy et du cache Web chez Microsoft

Sommaire

Introduction

Technologies de l’information (IT) et commerce sont en train de devenir synonymes. Les technologies de l’information sont essentielles à l’automatisation d’un vaste réseau de processus d’entreprise pour l’achat, la fabrication, l’expédition, le lancement et la commercialisation de nouveaux produits et services. La plupart du temps, les technologies de l’information permettent d’unifier les processus qui gèrent les capacités d’adaptation d’une entreprise au changement. De plus, les technologies de l’information favorisent l’orientation vers de méthodes commerciales.

Aujourd’hui, par exemple, de nombreuses entreprises tirent parti de l’omniprésence du réseau Internet afin d’unifier les processus inter-entreprises, d’entreprise à consommateur et tous les processus professionnels de gestion d’activité. Grâce à l’utilisation du réseau Internet, de nombreuses sociétés sont en train de réinventer le commerce. Les entreprises à réseaux interconnectés créent des applications Web, automatisées, efficaces et rentables visant à gérer les opérations centrales de gestion d’activité telles que la facturation ou l’approvisionnement. Internet a permis à de nombreuses entreprises d’établir entre elles des accords de partenariat plus librement tout en offrant davantage de services complets aux clients.

Tandis que les entreprises continuent de tirer parti d’Internet, les technologies qu’elles utilisent pour entretenir leur patrimoine informatique et conserver des données sécurisées sont de plus en plus pointues.

Les entreprises travaillant avec Internet sont confrontées à une nouvelle série de sérieux défis sur le marché actuel. Les clients exigent des environnements informatiques qui soient sécurisés, rapides et faciles à utiliser. Les entreprises demandent que l’environnement informatique déployé puisse évoluer et satisfaire aux nouvelles exigences du marché tandis que leurs informaticiens souhaitent une gestion et une résolution simplifiées des problèmes que pause cet environnement.

Afin de satisfaire à ces besoins, le serveur Microsoft® Internet Security and Acceleration Server 2000 est maintenant disponible.

Présentation de Microsoft ISA Server

« Microsoft Internet Security and Acceleration Server 2000 » (également désigné par ISA Server) appartient à la famille des serveurs d’entreprise de la plate-forme Microsoft .NET Entreprise, qui comprend un jeu complet d’applications serveur visant à construire, déployer et gérer rapidement des solutions et des services Web évolutifs et intégrés. Conçus dans un souci d’intégration et de performance pour assurer les tâches indispensables à l’entreprise, les serveurs de la plate-forme .NET Enterprise sont construits de bout en bout pour garantir l’interopérabilité grâce aux standards Internet ouverts comme le protocole XML. Les serveurs .NET Enterprise, associés au système d’exploitation Microsoft Windows® 2000 fournissent la base de la plate-forme .NET, favorisant l’avènement d’un Internet de troisième génération où le logiciel est conçu comme un service totalement programmable et personnalisable, accessible par le biais de tout périphérique, à tout moment et en tout lieu. La plate-forme .NET a été spécifiquement conçue en vue de permettre le développement, l’intégration et l’orchestration rapides d’un groupe de services et d’applications Web en une solution unique complète.

ISA Server est un pare-feu d’entreprise extensible et un serveur cache Web intégré à Windows 2000 pour offrir la sécurité basée sur une stratégie, l’accélération et la gestion de réseaux interconnectés. ISA Server propose deux modes étroitement intégrés : un pare-feu multicouche et un serveur cache Web très performant. Le pare-feu assure le filtrage des couches de paquets, de circuits et d’applications ; l’inspection de l’état pour examiner les données traversant le pare-feu ; le contrôle de la stratégie d’accès ; et le routage du trafic. Le cache améliore la performance du réseau et l’expérience de l’utilisateur en stockant le contenu Web fréquemment demandé. Le pare-feu et le cache peuvent être déployés séparément sur des serveurs spécialisés ou bien intégrés dans la même boîte. Les outils de gestion sophistiqués simplifient la définition de la stratégie, le routage du trafic, la publication par le serveur et le contrôle. ISA Server s’appuie sur la sécurité, l’annuaire, la connexion réseau privée virtuelle (VPN) et le contrôle de la bande passante de Windows 2000. Qu’il soit déployé comme un jeu de pare-feu séparés et de serveurs cache ou bien en mode intégré, ISA Server peut accroître la sécurité du réseau, mettre en œuvre une stratégie cohérente pour l’utilisation d’Internet, accélérer l’accès à Internet et optimiser la productivité des employés dans les entreprises, quelle que soit leur taille.

ISA Server 2000 Enterprise Edition est un pare-feu d’entreprise évolutif et un serveur cache Web de Microsoft. Il a été conçu pour satisfaire aux besoins d’évolutivité, de gestion et de performance des environnements à trafic Internet à haut débit par la gestion centralisée de serveurs, les multiples niveaux de stratégie d’accès et la tolérance des pannes. ISA Server Enterprise Edition procure une connectivité évolutive, sécurisée et rapide à Internet pour les environnements destinés aux missions essentielles à l’activité de l’entreprise.

Situation chez Microsoft

Chez Microsoft, l’équipe ITG (Information Technology Group) est chargée du fonctionnement des réseaux internes, des systèmes de télécommunication, des serveurs d’entreprise et de toutes les applications professionnelles de gestion d’activité de la société. Cette équipe est également responsable du déploiement des nouvelles versions des produits Microsoft sur ces systèmes alors que ces produits sont encore au stade de version bêta. Cette pratique permet à chaque équipe de développement produit de recevoir des commentaires du milieu professionnel sur son produit avant de le diriger vers la production. En fin de phase de conception, l’équipe ITG et l’équipe de développement produit doivent autoriser conjointement la sortie d’un nouveau produit avant de le diriger vers la production.

Les employés chez Microsoft qualifient (de façon amusée) le processus de déploiement de chaque nouvelle version bêta au niveau interne de « manger la nourriture de son propre chien ». Cette formule exprime les défis consistant à maintenir un environnement interne d’informatisation des données en état de fonctionnement tout en introduisant un produit dans cet environnement qui est par définition non encore « terminé ». Si le processus constitue souvent un défi, il aboutit aussi à un produit prêt à commercialiser et favorise un meilleur état d’esprit parmi les employés qui contribuent au développement ou au déploiement du nouveau produit.

ISA Server n’est pas en la matière une exception. Avant de l’envoyer à la production, l’équipe ITG l’a d’abord déployé chez Microsoft dès le stade de version bêta. Le déploiement du produit à ce stade précoce était essentiel pour détecter et résoudre rapidement les défauts d’implémentation grâce aux commentaires retournés par le milieu professionnel sur le déploiement en entreprise.

L’accès à Internet est vital au travail quotidien sur le Web des employés de Microsoft. Au cours d’une journée moyenne, plus de 40 000 ordinateurs client situés au siège social de la société accèdent à plus de 40 millions d’URL Internet, le temps de traitement moyen étant de 1,4 seconde seulement par requête. Sans cet accès à Internet depuis l’intérieur même des murs de la société, l’activité de Microsoft serait pour une large part paralysée.

Grâce aux tests internes susmentionnés et à d’autres travaux qui sont divulgués dans ce libre blanc, l’équipe ITG a appris de nombreuses leçons sur l’installation, la configuration et le déploiement conformes d’ISA Server. L’équipe a également compris comment utiliser ISA Server afin de répondre aux divers besoins de l’entreprise ainsi que les avantages procurés par les capacités exceptionnelles du produit.

Le présent document traite de ces nombreuses leçons apprises. Bien qu’il ne soit pas destiné à servir de guide général ni de plan pour le déploiement d’ISA Server, ce document illustre l’approche adoptée par l’équipe ITG pour déployer ISA Server chez Microsoft. En exprimant et rapportant comment Microsoft a déployé la version bêta d’ISA Server, ses auteurs espèrent que les clients pourront tirer profit de cette expérience interne.

Planification du déploiement

Comme pour le déploiement de tous les logiciels en version bêta chez Microsoft, le travail de l’équipe ITG a d’abord consisté à établir un planification étendue et une étude approfondie des besoins de l’entreprise ainsi que des capacités du produit. L’étendue du projet et les objectifs du déploiement ont fait partie de ces études préliminaires, puisque ces deux aspects sont essentiels pour s’assurer que le déploiement d’ISA Server satisfait effectivement aux besoins d’entreprise de Microsoft.

Besoins de l’entreprise

Tous les environnements de données informatiques sont différents, et toutes les organisations doivent de ce fait développer leurs propres stratégies, objectifs et plans pour le déploiement d’ISA Server. Les éléments d’entreprise les plus importants qui ont été pris en considération par l’équipe ITG lors de l’élaboration de sa stratégie, de ses objectifs et de ses plans pour le déploiement d’ISA Server en interne, sont présentés ci-dessous.

Les besoins des clients doivent être satisfaits. Microsoft s’engage à développer des solutions qui satisfont aux besoins des clients. L’un de ces besoins est représenté par une solution fiable et évolutive qui permette aux entreprises de communiquer avec les clients et les partenaires via Internet. Pour respecter son engagement, Microsoft a développé ISA Server et a ensuite lancé une étude interne visant à s’assurer que le produit était prêt pour l’entreprise, sûr et évolutif. L’équipe ITG et l’équipe de développement produit ont mis en place un système pour recueillir les avis des utilisateurs à chaque étape de la planification et du déploiement de la version bêta d’ISA Server chez Microsoft afin de s’assurer que tous les problèmes identifiés seraient résolus avant d’envoyer la version en production.

Les droits de propriété intellectuelle doivent être protégés. Les droits de propriété intellectuelle de Microsoft constituent le bien le plus précieux de la société, et l’équipe ITG est chargée de la protection de ce bien. C’est la raison pour laquelle, l’équipe ITG est extrêmement scrupuleuse lorsqu’il s’agit d’éviter de compromettre la sécurité de la société. Avant le déploiement de la version bêta d’ISA Server dans l’environnement de production de Microsoft, une équipe d’analystes de la sécurité a examiné les documents de la planification, puis a déployé une petite infrastructure sur la base de ces plans afin de déterminer si l’environnement risquait d’être compromis par les techniques couramment utilisées par les hackers. Ils ont constaté qu’il ne le risquait pas. Ils ont aussi constaté que la version bêta d’ISA Server était suffisamment sécurisée pour être déployée sur les abords du réseau interne où elle communiquerait directement avec les serveurs présents sur Internet.

Les employés doivent disposer d’un accès rapide à l’information. L’information n’a de valeur que dans la mesure où elle peut être utilisée pour justifier les prises de décision quotidiennes des employés et des dirigeants. L’information doit être accessible aux employés aussi rapidement qu’ils peuvent la traiter pour s’assurer que les activités sont conduites à « la vitesse de la pensée ». L’accès rapide à l’information sur le réseau Internet et l’information partagée sur Internet sont des exigences d’entreprise cruciales. Internet a radicalement changé la manière dont les employés de Microsoft effectuent leurs tâches quotidiennes. Par exemple, l’information à l’intérieur de la société est fournie presque exclusivement sous forme électronique, basée sur le protocole HTML. La plupart des applications professionnelles de gestion d’activité utilisées chez Microsoft permettent désormais d’optimiser Internet Information Server (le serveur Web intégré à Windows 2000 Server), SQL Server™ 2000 et Internet Explorer 5.5. L’utilisation généralisée de contenus basés sur le protocole HTML chez Microsoft a fait d’ISA Server une solution idéale pour la sécurisation de l’information et l’accélération de l’accès à cette information.

Les environnements distribués doivent être gérés en utilisant une stratégie cohérente. Même si la plupart des employés de Microsoft travaillent au siège social de la société ou à proximité, d’autres sont répartis dans le monde entier. Les employés de tous les départements de la société ont besoin d’accéder rapidement et de façon sécurisée au Web et à l’information partagée via Internet indépendamment de leur lieu de travail. La gestion d’un environnement distribué dans l’espace géographique doit être rapide et facile, et il est particulièrement important que l’équipe ITG puisse appliquer la stratégie de façon cohérente afin de garantir la sécurité de l’environnement interne.

Les points d’accès à Internet sont répartis dans un grand nombre d’emplacements au sein de Microsoft pour permettre au personnel dispersé dans cet espace géographique de les utiliser. Au moment de la rédaction de ce document, il existait vingt-deux de ces points d’accès, tous devant être contrôlés du point de vue de la sécurité et administrés tout en accordant aux employés un accès rapide et sécurisé à Internet.

L’environnement doit être basé sur des standards ouverts. La gestion au jour le jour de l’environnement de données informatisées interne de Microsoft est simplifiée grâce au support technique dispensé en continu par de nombreuses sociétés tierces. L’équipe ITG s’appuie sur la spécialisation et le support au jour le jour de nombreux éditeurs indépendants dans le but de réduire les coûts de support technique, d’améliorer la sécurité et de faciliter la gestion de l’environnement interne. Comme procédure recommandée, les techniques et les outils de support qui constituent les compétences centrales des sociétés tierces sont considérés comme des alternatives au développement interne rentables. C’est la raison pour laquelle il est vital que l’environnement soit basé sur des standards ouverts de sorte que les tierces parties puissent étendre l’environnement afin de satisfaire aux conditions commerciales en constante évolution.

Capacités du produit

Dans le cadre de la planification de son déploiement, l’équipe ITG a minutieusement étudié comment les fonctions d’ISA Server pourraient s’adapter aux exigences de Microsoft. Les fonctions les plus significatives du produit, avec lesquelles l’équipe ITG s’est familiarisée avant de déployer ISA Server au sein de Microsoft, sont présentées ci-dessous.

Sécurité par pare-feu multicouche

Un pare-feu peut accroître la sécurité par divers procédés, notamment les filtres de paquets, les filtres au niveau des circuits et les filtres d’applications. Les pare-feu d’entreprise avancés, comme ceux qui sont offerts par ISA Server, combinent ces trois types de filtre dans le but d’assurer une protection aux niveaux des diverses couches réseau.

Filtres au niveau des circuits

Au niveau des circuits, le service ISA Server Firewall (Pare-feu ISA Server) peut fonctionner avec toutes les applications et tous les protocoles Internet, comme Telnet, mail, news, les technologies de Microsoft Windows Media™ , RealAudio et Internet Relay Chat (IRC), ainsi que d’autres applications client. Le service Firewall (Pare-feu) permet à ces applications de s’exécuter comme si elles étaient directement connectées à Internet. Les filtres au niveau des circuits sont proposés à la fois pour le pare-feu et les clients SecureNAT.

Les filtres au niveau des circuits assurent le support de pratiquement toutes les applications Internet standard et personnalisées qui sont installées sur la plate-forme Windows. Ces applications communiquent sur le réseau à l’aide de Winsock et peuvent être prises en charge, sans modification, sur des machines client sur lesquelles est installé le logiciel client Firewall.

Les filtres au niveau des circuits inspectent les sessions, plutôt que les connexions ou les paquets. Une session pouvant nécessiter de nombreuses connexions, les clients basés sur Windows qui exécutent le logiciel client Firewall bénéficient d’un grand nombre d’avantages importants.

Filtres de paquets

La fonction Filtres de paquets d’ISA Server permet à l’administrateur de contrôler le flux des paquets IP (Internet Protocol) vers et depuis ISA Server. Lorsque la fonction Filtres de paquets est activée, tous les paquets présents sur l’interface externe sont éliminés sauf s’ils sont explicitement autorisés, soit statiquement par les filtres de paquets IP, soit dynamiquement par la stratégie d’accès ou les règles de publication.

Les filtres de paquets IP interceptent et évaluent les paquets avant de les transmettre aux niveaux supérieurs du moteur de pare-feu ou à un filtre d’application. Les filtres de paquets IP peuvent être configurés de sorte que seuls les paquets spécifiés soient transmis via ISA Server. Cette procédure procure au réseau un niveau de sécurité supérieur. Les filtres de paquets IP peuvent bloquer des paquets émanant d’hôtes Internet spécifiques et peuvent rejeter des paquets associés à de nombreuses attaques courantes. Ils peuvent également bloquer des paquets destinés à un service d’un réseau interne, y compris le serveur proxy Internet, un serveur Web, un serveur SMTP et d’autres.

Les filtres de paquets IP étant statiques, la communication via un port donné est toujours soit autorisée soit bloquée. Autoriser les filtres autorise la circulation, sans condition, vers le port spécifié. Bloquer les filtres empêche toujours les paquets de passer par l’ordinateur ISA Server.

ISA Server prend en charge les filtres de paquets dynamiques, n’ouvrant les ports automatiquement que sous les conditions requises pour les communications, et ne les fermant que lorsque la communication est terminée. Cette approche réduit le nombre de ports exposés dans les deux sens de la communication et confère une sécurité de haut niveau à un réseau.

ISA Server prend en charge les filtres de paquets IP entrants et sortants. Le procédé de filtres de paquets d’ISA Server permet aussi le blocage de fragments de paquets et la détection d’attaques au niveau des paquets contre le pare-feu.

Filtres au niveau d’applications

Le niveau le plus sophistiqué de l’inspection du trafic procuré par le pare-feu d’ISA Server concerne la sécurité au niveau de l’application. Les filtres d’applications « intelligents » analysent un flux de données d’une application donnée et assurent le traitement spécifique à l’application, à savoir l’inspection, le filtrage (screening) ou le blocage, la redirection voire la modification des données lorsqu’elles traversent le pare-feu. Ce mécanisme protège contre les tentatives connues comme les commandes SMTP non sécurisées ou les attaques sur les serveurs DNS internes (Domain Name System). Les outils des tierces parties pour le filtrage de contenus, dont la détection de virus, l’analyse lexicale et la classification par catégorie de sites, utilisent aussi des filtres Web et d’applications pour étendre la sécurité du pare-feu.

Inspection de l’état

L’inspection de l’état examine les données qui traversent le pare-feu dans le contexte de leur protocole et de l’état de la connexion. Au niveau des paquets, ISA Server inspecte la source et la destination du flot indiquées dans l’en-tête IP ainsi que le port dans l’en-tête TCP ou UDP permettant d’identifier le service ou l’application du réseau utilisé.

Les filtres de paquets dynamiques autorisent l’ouverture d’un port uniquement en réponse à la demande d’un utilisateur et uniquement pendant la durée nécessaire à la satisfaction de cette demande, réduisant ainsi la vulnérabilité associée aux ports ouverts. ISA Server peut déterminer dynamiquement les paquets qui peuvent être transmis aux services des couches applications et circuits du réseau interne. Les administrateurs peuvent configurer les règles de la stratégie d’accès qui ouvrent automatiquement les ports uniquement sous les conditions autorisées puis les ferment lorsque la communication est terminée. Ce processus, désigné par filtres de paquets dynamiques, réduit le nombre de ports exposés dans les deux sens de la communication et confère au réseau une sécurité de haut niveau.

Détection d’intrusion intégrée

Grâce à la technologie mise au point par une société connue sous le nom d’Internet Security Systems, ISA Server aide les administrateurs à identifier et à répondre aux attaques courantes sur le réseau comme l’analyse des ports, WinNuke et Ping of Death. Cette technologie procure à ISA Server un mécanisme de détection d’intrusion intégré qui identifie ce type d’attaque. L’alarme spécifie aussi quelle action ISA Server doit entreprendre lorsque l’incursion est reconnue, à savoir : envoi d’un message électronique ou d’une page à l’administrateur système, arrêt du service Firewall, écriture dans le journal des événements Système ou exécution de programmes ou de scripts. Grâce à l’aide complémentaire fournie par des sociétés tierces, ISA Server aide les administrateurs à identifier et à répondre aux autres attaques courantes sur le réseau.

ISA Server met en œuvre la détection d’intrusion à la fois au niveau des filtres de paquets et au niveau des filtres d’applications. Les plans de déploiement de l’équipe ITG préconisaient l’utilisation de toute la détection d’intrusion disponible.

Cache Web très performant

ISA Server dispose d’un cache Web entièrement nouveau qui l’autorise à placer le cache dans la RAM. Ce cache Web très performant procure une évolutivité supérieure sur le serveur principal ainsi qu’un temps de réponse Web-client global plus rapide. Ceci était particulièrement important s’agissant du déploiement de la version bêta par l’équipe ITG d’ISA Server parce que les employés de Microsoft ont besoin d’un accès rapide aux contenus du Web, et que l’équipe ITG exige des économies de la bande passante réseau.

Protocole CARP (Cache Array Routing Protocol)

ISA Server utilise le protocole CARP (Cache Array Routing Protocol) pour permettre une évolution transparente et une efficacité optimale dans une grappe de multiples ordinateurs exécutant ISA Server. Le protocole CARP utilise un routage basé sur le hachage afin d’assurer un « chemin pour la résolution de requêtes » prévisible au travers d’une grappe. Le chemin pour la résolution de requêtes, basé sur un hachage des identités et des URL des membres de la grappe, signifie que pour une requête d’URL donnée, l’explorateur ou le serveur proxy en aval peuvent connaître l’emplacement exact du stockage dans la grappe de l’information demandée. Les plans de déploiement de l’équipe ITG préconisaient la configuration d’ISA Server en grappes afin de profiter des avantages du protocole CARP.

Placement du cache en configuration chaînée

Dans ce contexte, le terme « chaînage » signifie une connexion hiérarchique entre des ordinateurs ISA Server individuels ou des grappes d’ordinateurs ISA Server. Grâce au chaînage, les demandes client sont envoyées en amont via la chaîne de serveurs cache jusqu’à ce que l’objet demandé soit trouvé. Au cours de ce processus, l’objet est mis en cache sur chaque serveur jusqu’à ce qu’il soit renvoyé au client. En conséquence, le chaînage devient un moyen efficace pour répartir la charge des serveurs et la tolérance de pannes.

La configuration chaînée peut être utilisée pour positionner les contenus plus près des utilisateurs qui en ont besoin, entraînant des temps de réponse Web-client plus rapides et un trafic du réseau étendu (WAN) réduit. ISA Server permet le cache Web distribué dans lequel les utilisateurs peuvent obtenir des pages Web depuis ISA Server plutôt que depuis des sites Web individuels. Les plans de déploiement de l’équipe ITG préconisaient l’exploitation de la configuration chaînée afin de réduire la distance du réseau étendu (WAN) des ordinateurs client au travers de zones géographiques éloignées de la société.

Mise en cache active

Grâce à une fonctionnalité désignée par mise en cache active, par laquelle ISA Server peut être configuré pour mettre automatiquement les objets à jour dans un cache, ISA Server peut optimiser l’usage de la bande passante en rafraîchissant les contenus actifs. La mise en cache active permet de mettre automatiquement à jour les objets accédés fréquemment avant leur expiration, durant des périodes de trafic réseau faible.

La mise en cache active constitue un moyen de maintenir les objets dans le cache actualisés en les vérifiant avec le serveur Web émetteur avant leur expiration et leur accès par un client. L’objectif consiste à expédier ces accès client, qui nécessiteraient normalement un trajet complet vers le serveur émetteur afin de revalider les données. étant donné le coût associé à cette fonctionnalité (au niveau des processus du serveur proxy et de la bande passante réseau), l’objectif consiste à actualiser uniquement les objets susceptibles d’être accédés par un client par la suite.

En revanche, la « popularité » d’un objet n’est pas un critère utile dans ce cas parce que de nombreuses pages très appréciées n’expirent jamais. Ceci est dû au fait que les clients rafraîchissent les pages manuellement afin de maintenir les données actualisées. En outre, un objet peut n’être apprécié que pendant un courte période de temps. Le code de mise en cache active tente d’identifier les objets correspondant précisément au schéma du contenu accédé qui bénéficieraient de la mise à jour active, à savoir les objets qui expirent et qui sont ensuite sollicités par un client.

Gestion unifiée

ISA Server tire profit de la sécurité, du service Active Directory™, de la connexion réseau privée virtuelle (VPN) et de la console MMC (Microsoft Management Console) de Windows 2000. Tous ces composants, notamment la console MMC, facilitent l’administration dans la mesure où les administrateurs sont familiarisés avec leurs fonctions et peuvent gérer à la fois le pare-feu et le cache Web depuis une console.

à l’aide des outils intégrés de création de rapports, ISA Server gère l’exécution des rapports standard planifiés qui détaillent l’usage du Web et des applications, les schémas du trafic réseau et la sécurité. ISA Server assure la prise en charge étendue des rapports sur des sujets tels que la fréquence d’accès à Internet, les objets auquel l’on accède ou les utilisateurs y accédant. En alertant et en rapportant aux administrateurs l’activité hors limites, par exemple, ISA Server les aide à mieux comprendre comment les employés utilisent le Web. Ces informations s’avèrent utiles pour planifier la capacité et mettre en œuvre les stratégies de l’entreprise. Les plans de déploiement de l’équipe ITG préconisaient l’exécution régulière de ces rapports.

Grâce à la modification du schéma d’Active Directory et à la création d’une stratégie, par exemple, ISA Server peut être configuré pour fonctionner au sein d’une grappe. Les plans de déploiement de l’équipe ITG préconisaient le déploiement de vingt-deux grappes différentes dans les diverses régions géographiques où est implanté Microsoft. Les grappes permettent aux administrateurs d’appliquer une stratégie, comme la configuration des ports, au niveau de l’entreprise, autorisant ainsi l’application d’une seule modification à chaque unité ISA Server au sein de chaque grappe. La réplication multimaître d’Active Directory dans la configuration ISA Server garantit que chaque serveur d’une grappe recevra les configurations utilisées et automatiquement mises à jour.

Les administrateurs doivent contrôler et mettre en œuvre les stratégies de sécurité tout en prenant en charge les employés qui ont besoin d’un accès à Internet. Grâce à son intégration avec Active Directory, ISA Server assure un support complet pour le contrôle de l’accès par utilisateur, groupe, application, destination, type de contenu et planning. Les plans de déploiement de l’équipe ITG préconisaient la définition du contrôle au niveau de l’entreprise et de la grappe.

Stratégie d’entreprise et contrôle d’accès

ISA Server permet également de créer des stratégies au niveau de l’entreprise ou des grappes locales, afin de les appliquer aux niveaux central ou local. Il est possible d’installer ISA Server en tant que serveur autonome ou membre d’une grappe. L’équipe ITG a d’abord utilisé des serveurs autonomes aux fins d’apprentissage, mais n’a ensuite déployé que des serveurs membres d’une grappe dans l’environnement de production. Afin de simplifier la gestion et l’administration, les membres d’une grappe partagent la même configuration. En modifiant la configuration de la grappe, tous les ordinateurs ISA Server au sein de la grappe sont également modifiés, notamment toutes leurs stratégies d’accès et de cache.

L’administration centralisée peut aussi signifier une sécurité supérieure. Les tâches administratives peuvent être exécutées sur un ordinateur et les configurations finales appliquées à tous les ordinateurs. Cette approche garantit que tous les serveurs disposent des mêmes stratégies d’accès, et s’avère particulièrement utile pour le cas de Microsoft, chez qui les grappes comptent de nombreux ordinateurs ISA Server.

Une entreprise peut en outre pousser cette gestion centralisée encore plus loin et autoriser les administrateurs à mettre en œuvre une ou plusieurs stratégies d’entreprise, comprenant le site et les règles de contenus et de protocoles. Une stratégie d’entreprise peut être appliquée à une grappe et peut être complétée par la stratégie propre à la grappe. Cette approche met en œuvre les stratégies d’entreprise aux niveaux des agences et des filiales tout en autorisant les administrateurs locaux à restreindre davantage l’accès. Les plans de déploiement de l’équipe ITG préconisaient l’utilisation de la stratégie d’entreprise pour établir les règles de l’entreprise, augmentée de la stratégie propre à la grappe.

Présentation de l’accès aux serveurs proxy en place

L’équipe ITG a déployé la première version de Microsoft Proxy Server en 1996, alors que ce produit était encore au stade bêta. Les avantages du premier déploiement ont été presque immédiatement perceptibles. Grâce à ce déploiement, les employés de la société disposaient d’un moyen relativement simple leur permettant d’accéder à Internet de n’importe où.

Lorsque les membres de l’équipe ITG ont déployé Proxy Server 1.0, ils ont placé les serveurs concernés dans seulement deux centres de données pour des raisons de sécurité et de gestion. De ce fait, les utilisateurs internes devaient traverser d’importantes distances au sein du réseau pour obtenir l’accès à Internet, ce qui a provoqué une augmentation de l’usage du réseau étendu (WAN). En conséquence, même si le déploiement des serveurs proxy a permis à l’équipe ITG de sécuriser concrètement les serveurs et de les gérer, ce premier déploiement n’a pas abouti à un accès Internet rapide pour tous les employés.

Dans cet état d’esprit, avant de déployer le nouveau Proxy Server 2.0, les ingénieurs des réseaux interconnectés internes ont recomposé le réseau d’entreprise tout en convertissant le réseau d’interconnexion à Internet en mode ATM (Asynchronous Transfer Mode). En parallèle, ils ont créé vingt-deux points d’accès à Internet dans divers emplacements de la société. Dans le cadre du planning de déploiement de Proxy Server 2.0, les ingénieurs ont évalué le placement du déploiement de Proxy Server 1.0 et ont déterminé qu’en repositionnant les serveurs Proxy Server 2.0 dans les emplacements servant de points d’accès à Internet, ils pouvaient augmenter la vitesse d’accès à Internet et réduire les exigences imposées sur le réseau étendu (WAN).

Objectifs et étendue du déploiement

Pour élaborer la stratégie du déploiement d’ISA Server, l’équipe ITG a défini les objectifs et l’étendue du déploiement, qui spécifiaient clairement ce qui devait être accompli, et permettaient à tous les membres de l’équipe de travailler avec des objectifs communs.

Pour simplifier à la fois la planification et l’exécution du déploiement, l’équipe ITG a divisé le projet en six déploiements plus petits, dont chacun était caractérisé par une configuration unique conçue dans le but de satisfaire aux exigences spécifiques de l’entreprise. Ces six déploiements définissaient l’ensemble du projet de déploiement de la version bêta.

  1. Accès entreprise à Internet. Ce déploiement nécessitait le remplacement d’une installation existante basée sur Proxy Server 2.0 par ISA Server. Pour ce déploiement, ISA Server était configuré pour s’exécuter en mode intégré, ce qui l’autorisait à fonctionner simultanément sous les modes pare-feu et cache Web.

    Ce déploiement impliquait la transition de soixante-dix ordinateurs exécutant Proxy Server 2.0 vers ISA Server. Les ordinateurs existants avaient été configurés en vingt-deux grappes et déployés sur l’ensemble de la société de sorte que les employés travaillant depuis une région puissent accéder à Internet en toute sécurité. L’exigence de l’entreprise pour ce déploiement était double : premièrement offrir aux employés un accès rapide et sécurisé au Web et deuxièmement mettre en place un système pour recueillir leurs avis afin de garantir qu’ISA Server serait prêt à fonctionner en entreprise à sa sortie.

  2. Chaînage du proxy. Ce déploiement impliquait que l’équipe ITG configure l’environnement interne de Microsoft en plaçant les caches le plus près possible des utilisateurs en configurations chaînées. Les configurations chaînées constitueraient un meilleur support pour nombre de filiales hiérarchiquement interconnectées chez Microsoft qui ne disposent pas de points d’accès à Internet. La première exigence de l’entreprise pour ce déploiement consistait à mieux utiliser le réseau étendu (WAN) de Microsoft tout en assurant un accès plus rapide à Internet aux employés qui dépendent de la performance du réseau entre le siège social de la société et ses filiales.

  3. Pare-feu dans le réseau Extranet. Ce déploiement, qui n’était pas achevé au moment de la rédaction de ce document, nécessite le déploiement d’ISA Server au sein du réseau Extranet de Microsoft, il s’agit d’une infrastructure de réseau ultra-sécurisée utilisée pour établir une connectivité réseau sécurisée entre la société Microsoft et ses partenaires commerciaux et fournisseurs.

  4. Déploiement du logiciel client Firewall. Ce déploiement nécessitait le déploiement par l’équipe ITG du logiciel client ISA Server Firewall sur plus de vingt mille ordinateurs de bureau afin de les munir d’un accès proxy Winsock à Internet. La principale exigence de l’entreprise pour ce déploiement consistait à tester le client Firewall avant de le sortir.

  5. Déploiement de Firewall dans une filiale. Ce déploiement (dans une société de la Silicon Valley qui, par la suite, a été acquise par Microsoft) impliquait que l’équipe ITG remplace une ancienne solution de pare-feu basée sur UNIX par ISA Server. Pour ce déploiement, l’équipe ITG a configuré ISA Server pour fonctionner en mode pare-feu. Ce déploiement utilise SecureNAT et profite des avantages des règles de routage côté réseau plutôt que des règles des applications côté client, assurant ainsi le service proxy à tous les clients basés sur IP, y compris les clients Macintosh et UNIX exécutant Socks.

    La principale exigence de l’entreprise pour ce déploiement consistait à remplacer une ancienne infrastructure (déployée par une tierce partie) par le standard de l’entreprise tout en offrant par ailleurs des commentaires émanant du milieu professionnel sur les composants du pare-feu dans ISA Server.

  6. Protocole H.323 Gatekeeper. Ce déploiement impliquait que l’équipe ITG conçoive, déploie et configure une infrastructure basée sur ISA Server qui utiliserait le protocole H.323. Même si la planification devait être plus poussée pour ce déploiement, il a servi de plateau de tests critiques permettant de valider et de confirmer qu’ISA Server, combiné au protocole H.323 Gatekeeper, autorisait les entreprises à communiquer entre elles sur Internet à l’aide du logiciel de conférence Microsoft NetMeeting®. La principale exigence de l’entreprise pour ce déploiement consistait à fournir des commentaires sur les possibilités offertes par ISA Server qui favoriseraient le développement par Microsoft de nouveaux procédés de commerce sur Internet.

 

<< 1 2 3 >>

Dernière mise à jour le mardi 27 février 2001

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.