Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Déploiement du pare-feu de sécurité, du serveur proxy et du cache Web chez Microsoft (3)

Sommaire

Premier déploiement

Pour le premier déploiement d’ISA Server, l’équipe devait initialiser l’environnement, installer ISA Server et configurer l’environnement à l’aide de l’outil d’administration inclus avec ISA Server 2000 Enterprise Edition. La figure 5 illustre les étapes nécessaires à ces tâches.

Initialisation de l’environnement et premier déploiement d’ISA Server

Figure 5 Initialisation de l’environnement et premier déploiement d’ISA Server.

Il est à noter que l’initialisation de l’environnement exigeait que l’équipe exécute l’outil d’initialisation pour lancer la mise à jour du schéma d’Active Directory. à l’issue de la modification du schéma, une boîte de dialogue indique qu’il est possible d’installer ISA Server comme un membre de la grappe des domaines. Cet outil d’initialisation doit être exécuté avant de pouvoir utiliser la stratégie Enterprise ou la stratégie Array (qui sont stockées dans Active Directory). La tâche de l’utilitaire consiste à mettre à jour le schéma d’Active Directory à l’aide d’un ensemble de règles de base qui affectent la manière dont la stratégie Enterprise s’applique à la stratégie Array.

Ensuite, l’équipe a initialisé le schéma Active Directory pour autoriser l’application de la stratégie Enterprise à la stratégie Array. Ceci autoriserait l’ajout de la stratégie propre à la grappe à la stratégie Enterprise et autoriserait les administrateurs au niveau des filiales régionales à adopter des stratégies directrices applicables aux ordinateurs ISA Server déployés dans leur région tout en conservant par ailleurs les règles de base définies par la stratégie Enterprise.

Sans la mise à jour du schéma Active Directory, ISA Server ne peut fonctionner qu’en mode autonome, ce qui ne permet pas de tirer profit de la mise en cache distribuée (CARP) ni d’appliquer une stratégie multi-niveaux aux serveurs au sein d’une grappe. Il est toujours possible de promouvoir au mode grappe un ordinateur exécutant ISA Server Enterprise Edition en mode autonome, mais la configuration du serveur sera remplacée par des configurations spécifiées dans la stratégie Enterprise et la stratégie Array. Le tableau 6 illustre les relations existant entre ces options.

Tableau 6 Relations existant entre les types de stratégie, la mise en cache distribuée et la décision de mettre à jour le schéma d’Active Directory

Stratégie
Mettre à jour le schéma ?
Cache distribué
Autonome
Enterprise Oui Oui Non
Array Oui Oui Non
Autonome Non Non Oui

Dans le cadre de leur tâche, les membres de l’équipe ont dû étudier comment il faudrait mettre en œuvre la stratégie Enterprise et la stratégie Array, et comment cette décision pourrait affecter l’administration ultérieure. Dans le cadre de cette considération, l’équipe a dû se familiariser avec la manière dont les administrateurs d’ISA Server créent des règles régissant les filtres de protocoles et de paquets au niveau de la grappe. La stratégie Array s’applique uniquement aux ordinateurs ISA Server de la grappe.

L’équipe de déploiement a décidé de configurer l’environnement afin d’autoriser l’application de la stratégie Enterprise à la stratégie Array de sorte que les stratégies puissent être combinées en fonction des exigences de l’entreprise. Grâce à l’outil d’initialisation ISA Server, l’équipe a aussi fourni un support de configuration pour définir une nouvelle stratégie, conserver la configuration d’une stratégie existante et utiliser des filtres de paquets au niveau de la grappe. La figure 6 illustre cette relation.

Relation entre les stratégies Enterprise et Array

Figure 6 Relation entre les stratégies Enterprise et Array

Figure 6 Relation entre les stratégies Enterprise et Array

à l’issue de la mise à jour du schéma Active Directory à l’aide de l’outil d’initialisation ISA Server, les membres de l’équipe étaient prêts à utiliser le programme d’installation ISA Server pour mettre en place le premier serveur. à la fin des modifications du schéma, l’outil d’initialisation affichait une boîte de dialogue indiquant qu’il était désormais possible de commencer l’installation d’ISA Server. Dans le cadre de l’installation, l’équipe a configuré le premier serveur comme un membre de la grappe de domaines pour fonctionner en mode intégré.

Les quelques dernières étapes de l’installation impliquaient que l’équipe définisse une table d’adresses locales LAT (Local Address Table). Dans le cadre de ce processus, l’équipe a sélectionné une plage d’adresses IP à inclure dans la table LAT. ISA Server utilise la table LAT pour distinguer les réseaux internes des réseaux externes.

à l’issue de l’installation d’ISA Server, l’équipe a exécuté l’outil d’administration du produit pour configurer l’environnement de sorte que les ordinateurs client puissent commencer à utiliser ISA Server. La figure 7 illustre les étapes suivies par l’équipe ITG au cours de l’utilisation de l’outil d’administration pour configurer l’environnement.

étapes suivies pour configurer l’environnement initial d’ISA Server

Figure 7 étapes suivies pour configurer l’environnement initial d’ISA Server

L’outil d’administration gère la configuration d’un ensemble d’adresses client, qui peut être basé sur des adresses IP individuelles ou des plages d’adresses IP. L’ensemble d’adresses client spécifie les ordinateurs client qui sont autorisés à utiliser ISA Server. Chez Microsoft, presque tous les employés nécessitant un accès régulier à Internet, l’équipe a par conséquent configuré l’ensemble d’adresses client à l’aide de plages d’adresses qui pourraient satisfaire à cette exigence.

Par défaut, ISA Server refuse tous les protocoles, ce qui signifie que l’outil d’administration doit être exécuté spécifiquement dans le but d’autoriser les protocoles nécessaires. Pour maintenir le système aussi sécurisé que possible, l’équipe a profité des avantages de cette restriction en utilisant la stratégie Enterprise pour définir uniquement les protocoles qui étaient nécessaires chez Microsoft et refuser tous les autres. Le groupe chargé de la sécurité de la société a utilisé ces informations pour réduire les risques éventuels liés à la possibilité que l’application demandant le protocole soit en fait un cheval de Troie. Dans le scénario le plus défavorable, cette application pourrait collecter des informations critiques depuis les systèmes internes, puis utiliser le protocole activé pour transférer ces informations vers l’extérieur. Ceci impliquait que, avant que l’équipe ne puisse « autoriser » une application, il était nécessaire de s’assurer qu’elle avait été élaborée par un développeur ou une organisation digne de confiance et qu’elle était demandée afin de satisfaire à une exigence légitime de l’entreprise. à cet effet, l’équipe a distribué aux employés le questionnaire ci-dessous.

Application nécessitant le protocole

  • Individu ou entité qui détient les droits de copyright sur l’application
  • Procédé par lequel l’employé de Microsoft a obtenu l’application
  • Comment d’autres employés de Microsoft peuvent-ils obtenir l’application ?
  • Objet et fonctionnement de l’application
  • Selon vous, comment l’application fonctionne via le pare-feu ?

Connexions

  • Numéro du port initial
  • UDP, TCP ou les deux
  • Connexions secondaires
  • Systèmes à partir desquels la plupart des connexions seront établies
  • à quoi ces systèmes seront-ils le plus vraisemblablement connectés.

Projet

  • Nombre d’employés utilisant l’application quotidiennement
  • Nombre estimé d’octets entrants et sortants transférés quotidiennement
  • Fréquence des transactions toutes à la fois ou tout au long de la journée.

Afin de sécuriser davantage le déploiement d’ISA Server, l’équipe a utilisé des groupes Windows 2000 et des règles d’accès à Internet pour limiter le nombre d’employés pouvant accéder aux protocoles autorisés. Lorsque cela était requis, l’équipe a appliqué à chaque protocole autorisé un échéancier restreignant son fonctionnement à une période donnée chaque jour. Lorsque cela était également requis, l’équipe a appliqué un ensemble de destinations aux protocoles autorisés dans le but de bloquer l’accès des clients internes à des sites Internet spécifiés.

Pour finir, l’équipe a configuré la détection d’intrusion pour prendre en charge la détection (ainsi que la notification aux administrateurs) des techniques d’intrusion couramment utilisées.

Déploiements consécutifs d’ISA Server

à l’issue de la mise en œuvre du premier déploiement d’ISA Server par l’équipe chargée de son déploiement, qui avait compris l’établissement de la stratégie Enterprise, des objectifs bien définis et de l’étendue du déploiement, il était désormais possible de mettre en œuvre les déploiements consécutifs.

Au moment de la rédaction de ce document, les membres de l’équipe sont en train de déployer une grappe ISA Server dans chacun des vingt-deux emplacements au sein de Microsoft qui disposent de points d’accès à Internet. Les membres de l’équipe utilisent la stratégie Enterprise qu’ils ont définie au cours du premier déploiement afin de compléter la stratégie de chacune de ces grappes. Ils utilisent, en outre, la stratégie Array pour restreindre davantage l’accès en refusant les protocoles que la stratégie Enterprise avait autorisés lorsque ceux-ci ne sont pas requis par les grappes spécifiques (par exemple, les employés de certaines filiales ne demandent pas tous les protocoles qui sont nécessaires au siège social de la société). La réplication multimaître d’Active Directory a automatisé la plupart des configurations utilisées par les déploiements consécutifs d’ISA Server en configurant automatiquement ces serveurs à l’aide des paramètres établis par la stratégie Enterprise.

Configuration d’Internet Explorer et du client Firewall

Pour le déploiement initial d’ISA Server ainsi que pour les déploiements consécutifs, les membres de l’équipe ont dû rendre les configurations nécessaires disponibles sur Internet Explorer et sur le client Firewall (inclus avec ISA Server) avant que les ordinateurs ISA Server ne puissent accéder à Internet. Cette tâche, qui impliquait la configuration de deux fichiers .DAT, est détaillée dans la section suivante.

Configuration du fichier Wpad.dat

Le fichier WPAD.DAT est utilisé par Internet Explorer pour obtenir les informations nécessaires à l’autorisation de l’explorateur client à utiliser le service proxy d’ISA Server pour accéder à Internet. Il est possible de configurer les clients exécutant Internet Explorer pour l’accès à Internet à l’aide du protocole DNS ou DHCP, mais pour le déploiement d’ISA Server, les membres de l’équipe ont utilisé DHCP pour fournir aux clients une configuration WPAD.DAT. En effet, il existe beaucoup plus d’étendues DHCP chez Microsoft qu’il n’existe de zones DNS. Par ailleurs, avec plus de 130 000 clients répartis dans plus de 90 filiales dans le monde, le DHCP assurerait la granularité nécessaire à la configuration des clients pour qu’ils utilisent la grappe ISA Server la plus proche.

Dans ce cas, les membres de l’équipe ont configuré les serveurs DHCP au niveau de chaque filiale pour fournir aux clients de niveau inférieur un fichier WPAD.DAT approprié à l’aide de l’option 252 Personnaliser l’étendue. à l’issue de la configuration, les explorateurs pouvaient détecter quel serveur DHCP était en cours d’utilisation par un ordinateur client donné, et ils demandaient ensuite au serveur DHCP approprié la configuration WPAD.DAT.

S’agissant de la partie Europe du déploiement de la version bêta d’ISA Server, l’équipe a installé le produit sur des serveurs à Dublin en Irlande, à Munich en Allemagne, à Londres en Angleterre, aux Ulis en France et à Zurich en Suisse. Chacun de ces serveurs a rejoint une grappe devant desservir chaque filiale. Les ordinateurs client exécutant Windows 2000 édition professionnelle et qui sont situés au niveau de chaque filiale étaient ensuite configurés pour utiliser la grappe locale à l’aide de l’option 252 étendue DHCP. L’utilisation de DNS aurait rendu une telle configuration impossible parce que nombre de ces régions constituent un domaine unique. L’option Personnaliser autorise la spécification de l’emplacement du fichier WPAD.DAT à l’aide de l’exemple de syntaxe suivant :

http://ProxyArrayName/wpad.dat dans lequel ProxyArrayName spécifie la grappe ISA Server à utiliser par les clients qui obtiennent des informations à partir du prestataire DHCP.

Les membres de l’équipe ont aussi enregistré le nom de la grappe dans le DNS, qui sera utilisé pour établir une liste des ordinateurs ISA Server qui s’ajoutent à la grappe aux fins d’équilibrage de la charge de toutes les demandes client. Ils ont enfin utilisé une table LAT comprise dans Internet Explorer afin de distinguer les adresses IP internes des adresses IP externes et de contourner ISA Server pour l’accès à l’intranet local.

Configuration du fichier Wspad.dat

Nombre d’applications Winsock reposent sur le fait que l’ordinateur client est directement connecté à Internet et que l’ordinateur dispose d’une adresse IP sur Internet. Ces applications rencontrent des difficultés lorsqu’elles sont utilisées au sein du réseau d’entreprise de Microsoft, parce qu’elles ne peuvent pas obtenir une configuration qui les autoriserait à accéder à Internet au moyen d’ISA Server. En effet, les paquets IP ne sont pas correctement définis pour utiliser un serveur proxy. Quelques applications demanderont une adresse Internet qui ne peut pas être obtenue si l’application n’utilise pas un proxy. Cela signifie concrètement que pour établir l’accès à Internet, les paquets doivent être interceptés et redirigés vers un serveur proxy ou le client doit être configuré pour envoyer les paquets directement au proxy.

Les ordinateurs client qui requièrent un accès proxy Winsock à Internet utilisent un client Firewall inclus dans ISA Server. ISA Server gère les restrictions de l’accès client au pare-feu par nom de domaine, adresse IP et masque de sous-réseau.

Le fichier WSPAD.DAT fournit les informations nécessaires au client Firewall pour utiliser le service ISA Server Firewall pour l’accès à Internet.

Les employés qui ont besoin du client Firewall le téléchargent à partir d’un site Web interne. Lorsque le client Firewall est installé sur le bureau, la case d’option par défaut active la configuration automatique. Cette option permet de gérer les requêtes du fichier WSPAD.DAT pour mettre à jour la configuration pare-feu/client.

Le client Firewall assure la prise en charge d’applications telles que MSN® Messenger, Windows Media Player, le client de messagerie et de travail en groupe Microsoft Outlook®, le service de messagerie sur le Web Hotmail®et plusieurs autres qui requiert Winsock pour l’accès à Internet. L’équipe chargée du déploiement n’a pas eu besoin de configurer de passerelle sur les applications Winsock parce que Winsock analyse le trafic réseau Winsock local et exécute des recherches sur la table LAT de façon transparente. Winsock détermine une route appropriée pour le trafic réseau basée sur les adresses comprises dans la Table LAT.

La table LAT que les membres de l’équipe chargée du déploiement ont définie lorsqu’ils ont exécuté la première installation d’ISA Server est stockée lors de chaque installation d’ISA Server et est envoyée au client Firewall à intervalles réguliers. Le client Firewall utilise la configuration contenue dans la LAT pour déterminer le trafic réseau client qui doit être redirigé sur le réseau Internet. Le client Firewall se désactive automatiquement lorsque l’ordinateur client se connecte directement à Internet. Cette fonctionnalité est utile pour les ordinateurs itinérants qui établissent périodiquement une connexion directe à Internet.

Gestion de l’environnement

L’équipe chargée du déploiement d’ISA Server a géré l’environnement en s’aidant principalement de l’outil d’administration inclus dans ISA Server 2000 Enterprise Edition. L’outil d’administration gère la visualisation et la modification des configurations de plusieurs ordinateurs ISA Server simultanément en les traitant comme une entité logique unique.

Capacités de génération de rapports complets

à l’issue de l’installation d’ISA Server, les membres de l’équipe (ainsi que d’autres administrateurs et le personnel chargé de la sécurité) se sont appuyés sur les fonctions de génération de rapports standard du produit pour la gestion de l’environnement. Ils ont, par exemple, obtenu des informations sur l’usage des protocoles sous la forme d’un résumé graphique et de rapports détaillés comprenant les informations présentées ci-dessous au format tableau.

  • Protocole
  • Port
  • Utilisateurs uniques
  • Demandes
  • Pourcentage du total des demandes
  • Octets entrés
  • Pourcentage du total d’octets entrés
  • Octets sortis
  • Pourcentage du total d’octets sortis
  • Total octets
  • Pourcentage du total d’octets

L’équipe s’est également appuyée sur un résumé graphique et des rapports détaillés émis par ISA Server sur les X utilisateurs générant le volume le plus élevé de trafic réseau. Le rapport standard d’ISA Server présente les informations ci-dessous triées par ordre croissant d’usage.

  • Utilisateur
  • Demandes
  • Pourcentage du total des demandes
  • Octets entrés
  • Pourcentage du total d’octets entrés
  • Octets sortis
  • Pourcentage du total d’octets sortis
  • Total octets
  • Pourcentage du total d’octets

à l’aide d’un autre rapport, les membres de l’équipe ont obtenu un résumé graphique et des informations détaillées sur les X premiers sites accédés par l’intermédiaire de la grappe proxy. Dans ce rapport, ISA Server fournit les rubriques suivantes :

  • Site
  • Utilisateurs uniques
  • Demandes

L’équipe a par ailleurs utilisé d’autres rapports standard concernant l’usage de la grappe, notamment des rapports résumés présentés au format graphique et un rapport détaillé au format tableau sur les rubriques suivantes :

  • Performance du cache
  • Résumé du trafic
  • Résumé du trafic quotidien

Forts de cette expérience, les membres de l’équipe ont estimé que les capacités de génération de rapports standard d’ISA Server étaient complètes et facilement accessibles puisque basées sur le Web. En quelques minutes seulement, les membres de l’équipe étaient en mesure d’obtenir des informations qui auparavant auraient nécessité des heures de recherche dans les fichiers journaux. Pour profiter de capacités de génération de rapports encore plus étendues, ISA Server peut être complété par des produits proposés par des sociétés tierces.

L’équipe a configuré des rapports hebdomadaires à générer sur chaque serveur ISA Server pour déterminer comment les employés utilisaient l’environnement, et avec quelles difficultés le serveur ISA Server devait fonctionner en vue d’assurer l’accès rapide aux informations nécessaires à ces employés. La figure 8 illustre les capacités de génération de rapports sur le Web d’ISA Server.

Rapport basé sur le Web sur les premiers utilisateurs

Figure 8 Rapport basé sur le Web sur les premiers utilisateurs

Défaillance client et équilibrage de charge

Dans le cadre de leur tâche, les membres de l’équipe chargée du déploiement ont profité du fait que dans un environnement ISA Server, les capacités incorporées pour traiter une défaillance client autorisent les clients à utiliser un autre ordinateur ISA Server lorsque des opérations de maintenance sont nécessaires sur l’ordinateur principal.

ISA Server utilise, par exemple, le service d’équilibrage de charge réseau NLB (Network Load Balancing) de Windows 2000 Advanced Server afin de prendre en charge la tolérance des pannes, d’assurer une disponibilité, une efficacité et une performance élevées grâce à la gestion en clusters de multiples ordinateurs ISA Server. Le service NLB est particulièrement utile pour les configurations de déploiement incluant le pare-feu, le cache inversé (publication Web) et la publication serveur.

Les membres de l’équipe étaient en mesure de tirer profit du fait que tous les serveurs exécutant ISA Server dans une grappe conservent une référence des autres serveurs qui sont disponibles. Lorsqu’un serveur exécutant ISA Server est inaccessible, d’autres serveurs au sein de la grappe le détectent automatiquement comme tel et le fichier principal mspclnt.ini est mis à jour par une entrée reflétant cette situation. En cas d’indisponibilité d’un serveur, les clients ne sont pas dirigés vers lui tant qu’il n’a pas été remis en état de fonctionnement.

Sauvegarde d’ISA Server

Les produits d’éditeurs tiers constituaient deux composants intégraux de la stratégie de sauvegarde de l’équipe : Veritas Backup Executive Network Storage Executive pour la sauvegarde et la restitution des données, et Arcus Data Security pour stocker les bandes en toute sécurité hors du site.

Contrôle d’ISA Server

à l’issue du déploiement d’ISA Server dans l’environnement de production, les membres de l’équipe ont surveillé chaque serveur de très près afin de déterminer son bon fonctionnement dans les conditions normales du milieu professionnel. Le contrôle effectué a fourni à l’équipe des informations nécessaires à l’évaluation de l’environnement et à la détermination de sa capacité à évoluer. Il s’est principalement concentré sur les compteurs répertoriés ci-dessous.

  • Compteurs de la performance du matériel standard (dont le processeur, la mémoire, le disque physique, le fichier d’échange et l’interface réseau)
  • Compteurs des processus ISA Server
  • Compteurs des services ISA Server

Scénarios

Chaque exigence de l’entreprise identifiée nécessitait une configuration légèrement différente. La section suivante de ce livre blanc explique en détail les diverses configurations utilisées chez Microsoft.

Accès entreprise à Internet

Au moment de la rédaction de ce document, les membres de l’équipe avaient terminé le déploiement de l’accès entreprise à Internet au niveau du siège social de la société, et étaient sur le point d’achever le déploiement d’ISA Server dans d’autres régions au sein de la société. Pour établir l’accès entreprise à Internet, l’équipe a déployé vingt-deux grappes dans divers lieux de la société disposant de points accès à Internet. Ces grappes ont été déployées dans l’espace géographique pour répondre aux besoins des différents membres du personnel.

L’accès entreprise à Internet permet à plus de 55 000 employés de Microsoft et au personnel subordonné d’accéder à Internet depuis l’un quelconque des 130 000 ordinateurs de bureau dispersés dans l’ensemble de la société. L’accès entreprise à Internet fonctionne de la manière suivante : lorsqu’un ordinateur client émet une demande, ISA Server la traite depuis le cache local ou en la transmettant au réseau Internet. Lorsqu’un ordinateur sur le réseau Internet répond, ISA Server retourne la réponse à l’application client sur l’ordinateur qui a émis la demande et met le contenu en cache sur l’ordinateur ISA Server (le cas échéant). La figure 9 illustre un déploiement représentatif d’une grappe ISA Server configurée dans le but d’assurer un accès entreprise à Internet.

Configuration représentative d’un accès entreprise à Internet

Figure 9 Configuration représentative d’un accès entreprise à Internet

Chaînage (ou Mise en cache hiérarchique)

L’équipe chargée du déploiement a utilisé le chaînage, qui implique de relier de multiples grappes ISA Server dans une chaîne de priorités reflétant l’emplacement des bureaux des filiales, dans une filiale qui disposait d’une connectivité réseau étendu lente vers Internet (inférieure à 512 Kbps). Cette mise en oeuvre visait à déployer un second ordinateur ISA Server au niveau de la filiale et de le configurer afin d’obtenir le contenu URL depuis un ordinateur ISA Server situé au sein du réseau étendu. Cette approche était motivée par le fait que les vitesses du réseau local (LAN) au sein de la filiale acceptaient un accès réseau à 100 Mbps dans la région.

Les membres de l’équipe ont estimé que la mise en œuvre chaînée était mieux appropriée aux situations dans lesquelles le réseau existant entre le client et le point d’accès à Internet était restreint ou couvrait une importante distance. En effet, lorsqu’un client émet une demande, la grappe chaînée y répond en la traitant depuis le cache local ou la transmet à la grappe en amont où elle est soit satisfaite depuis son cache, soit récupérée depuis Internet (voir la figure 11). La grappe chaînée stocke le contenu récupéré à partir de la grappe en amont dans le cache local. La figure 10 illustre le déploiement d’une grappe ISA Server configurée en vue d’obtenir le contenu à partir d’une autre grappe.

Déploiement chaîné d’ISA Server

Figure 10 Déploiement chaîné d’ISA Server

SecureNAT

Afin d’accepter les clients UNIX et Macintosh basés sur IP, l’équipe chargée du déploiement devait mettre en œuvre le déploiement de SecureNAT. Ceci impliquait qu’ils remplacent un pare-feu Gauntlet 5.0 (déployé par un fournisseur tiers qui a été par la suite acquis par Microsoft) par un standard d’entreprise pour que le pare-feu reçoive un meilleur support interne.

Le déploiement de l’ancien pare-feu par l’équipe était composé des éléments ci-dessous.

  • Matériel : Sun Ultra Enterprise 2
  • Système d’exploitation : SunOS 5.6 (Solaris* 2.6 niveau de programme correctif du noyau 105181-16)
  • Logiciel : Gauntlet 5.0
  • Processeurs : 2 x SUNW, UltraSPARC-II à 296 MHz
  • RAM : 1 Go
  • Lecteur de disque : 2 disques SCSI Fast-Wide à 4,2 G
  • Réseau : 2 x SUNW, interface Ethernet hme à 10/100 Mbps

Pour mieux comprendre l’ancien environnement et développer une configuration de substitution, les membres de l’équipe ont examiné les protocoles entrants et sortants utilisés par l’ancien pare-feu, y compris la configuration des serveurs entrants SMTP et SSH. Ils ont également examiné la configuration du DNS et les capacités de génération de rapports de l’hôte UNIX.

Cette analyse constituait une étape vitale qui a permis à l’équipe chargée du déploiement de préparer la migration depuis l’ancien pare-feu. Grâce à cette analyse, l’équipe a pu identifier les points ci-après.

  • Les exigences des clients à faible utilisation (y compris les ports autorisés)
  • L’origine des demandes client (y compris les adresses IP)
  • Les actions entreprises par les clients pour passer au travers de l’ancien pare-feu (y compris les exigences de l’entreprise)
  • Résultat prévu du côté Internet du pare-feu

Ensuite, l’équipe chargée du déploiement s’est appuyée sur les résultats de cette analyse pour effectuer un contrôle du concept. Le contrôle du concept consistait à déployer ISA Server dans un environnement de laboratoire de sorte que l’équipe puisse configurer ISA Server de façon systématique afin de gérer le trafic réseau qui était auparavant géré par l’ancien pare-feu. L’environnement de laboratoire autorisait l’équipe à développer en toute sécurité ses plans de déploiement de façon très contrôlée. à ce stade-là, l’équipe était en mesure de documenter la manière dont ISA Server devrait être configuré ultérieurement en production.

Sur la base de son analyse, l’équipe a remplacé l’ancien environnement par un Compaq ProLiant 5500R comprenant les composants matériels suivants :

  • Processeur Quad XEON PIII-550
  • Cache 512 Ko
  • 512 Mo de RAM
  • Disques durs LVD 7 à 9,1 Go

Pour remplacer l’ancien pare-feu par ISA Server, les membres de l’équipe ont configuré le matériel avec une grappe RAID 1 à 9,1 Go et une grappe RAID 5 à 45,5 Go. Ils ont installé Windows 2000 Advanced Server sur la grappe RAID 1 et l’ont configuré en y ajoutant les services SNMP, Terminal Services (en mode administration) et DNS. Ils ont également désactivé l’Explorateur d’ordinateurs, le Système de fichiers distribués DFS, le Service de suivi des liens distribués et le Coordinateur de transactions distribuées, DTC (Distributed Transaction Coordinator) parce que ces outils n’étaient pas requis par la configuration. Ils ont enfin configuré ISA Server pour mettre en cache, consigner dans les journaux et enregistrer les rapports sur la grappe RAID 5.

Ce scénario de déploiement impliquait que ISA Server utilise un serveur DNS de mise en cache, qui était configuré pour être en écoute de l’adresse IP interne de la société uniquement. ISA Server était en outre configuré comme cela est indiqué ci-dessous.

Tableau 9 Configuration d’ISA Server pour le remplacement de l’ancien pare-feu

ISA Server
Configuration
Mode Intégré
Cache 20 Go sur chaque serveur
Filtres IP DHCP désactivé. Tous les autres sont laissés à l’état par défaut
Détection d’intrusion Activée

L’équipe a activé la détection d’intrusion et a configuré les protocoles et ports sortants afin de refléter ceux de l’ancien pare-feu. Enfin, en configurant chaque carte d’interface réseau avec des adresses IP auparavant utilisées par l’ancien pare-feu, l’équipe a transféré ISA Server vers la production.

Le résultat direct est que la même équipe qui gère d’autres déploiements d’ISA Server au sein de Microsoft gère maintenant ce déploiement sans dépendre d’un petit groupe d’administrateurs possédant des compétences anciennes très spécialisées.

Leçons apprises

Dans les premiers stades de la planification, l’équipe ITG chargée de l’exécution du déploiement de la version bêta d’ISA Server Enterprise Edition a été confrontée à un certain nombre d’obstacles. L’équipe ITG partage ces « leçons apprises » dans l’espoir que les lecteurs les appliqueront à leurs propres environnements.

  • La planification détaillée porte ses fruits. La planification détaillée nécessite du temps, mais s’est avérée être un élément essentiel de la stratégie de déploiement de l’équipe ITG. La planification a permis à l’équipe ITG d’examiner minutieusement les exigences de l’entreprise et d’identifier les employés des technologies de l’information (IT) qui possédaient les compétences nécessaires pour satisfaire à ces exigences pendant le déploiement d’ISA Server. La planification détaillée a, par ailleurs, permis aux membres de l’équipe ITG de maintenir la sécurité de l’environnement informatique interne de Microsoft grâce à l’acquisition d’une compréhension approfondie du positionnement, de la configuration et du déploiement conformes d’ISA Server. Aujourd’hui, les exigences de l’entreprise sont satisfaites, les employés disposent d’un accès sécurisé et rapide aux informations, et la position de Microsoft n’a jamais été aussi bonne pour le commerce sur Internet.

  • La performance dépend de nombreux facteurs. Le temps de réponse Web-client dépend de facteurs tels que la performance du matériel sur le serveur frontal et les serveurs principaux, la configuration du système d’exploitation réseau et d’ISA Server, la performance réseau et la proximité du serveur principal par rapport au client Web. Le placement adéquat du serveur a nécessité plusieurs années de travail chez Microsoft pour des raisons de sécurité, de capacité de gestion et de disponibilité dans l’espace géographique de la connectivité Internet ultra-rapide. Les membres de l’équipe déployant ISA Server ont dû résoudre toutes ces questions avant de pouvoir satisfaire à l’exigence de l’entreprise consistant à offrir aux employés un accès rapide aux informations sur Internet.

  • La modification du schéma d’Active Directory doit être effectuée en prenant les plus grandes précautions. Les objets enregistrés dans Active Directory sont répliqués sur l’ensemble de l’infrastructure Active Directory. Il est possible de désenregistrer les objets, mais le conteneur objets ne peut pas être supprimé, la réplication des objets désenregistrés se poursuivra par conséquent sur l’ensemble de l’infrastructure Active Directory. Les modifications apportées au schéma doivent donc être effectuées correctement lors de la première tentative de façon à éviter la réplication des objets désenregistrés. De même, il convient d’user de précautions particulières dès le départ pour éviter de devoir désenregistrer les objets Active Directory.

    Les équipements informatiques existants étaient bien appropriés au serveur ISA Server. L’équipe ITG a utilisé le matériel informatique qui était auparavant utilisé par Proxy Server 2.0 parce qu’il était également bien approprié au serveur ISA Server. Bien qu’ISA Server offre des capacités de sécurité supérieure, de gestion améliorée et de génération de rapports complets, ISA Server a si bien fonctionné sur l’ancien matériel qu’aucun matériel supplémentaire n’a été requis.

  • Il convient de limiter le nombre d’administrateurs autorisés à modifier la stratégie Enterprise. La gestion unifiée de l’environnement par l’application d’une stratégie cohérente constitue l’une des fonctions de gestion les plus performantes d’ISA Server. Une seule modification, rapide et simple, à la stratégie Enterprise peut engendrer une modification de la configuration sur des douzaines d’ordinateurs ISA Server. La stratégie Enterprise offre aux administrateurs la possibilité de verrouiller ou d’ouvrir l’environnement rapidement. C’est parce que la stratégie Enterprise est si puissante que l’équipe ITG a limité le nombre d’administrateurs disposant de l’autorisation à sa modification. L’équipe ITG a aussi établi des règles à respecter pour demander des modifications de protocole et pour justifier les modifications demandées.

Avantages

Les avantages principaux résultant du déploiement de la version bêta d’ISA Server chez Microsoft concernent la sécurité, la configuration et la résolution des problèmes.

  • Niveau accru de sécurité. La sécurisation de la propriété intellectuelle constitue une tâche extrêmement importante, les informations illustrant l’utilisation en cours de l’environnement sont, par conséquent, indispensables pour mener à bien cette tâche. Les capacités de génération de rapports complets offertes par ISA Server permettent à l’équipe ITG d’obtenir ces informations beaucoup plus rapidement qu’auparavant, procurant ainsi à l’équipe ITG une vision plus claire de l’utilisation en cours de l’environnement et la capacité à répondre plus rapidement aux questions concernant les technologies de l’information (IT) qui affectent la société.

  • Configuration simplifiée. La stratégie Enterprise d’ISA Server a permis à l’équipe ITG de déployer un jeu cohérent de protocoles au sein de Microsoft avec une activité administrative bien moindre que celle qui a été nécessaire pour l’ancien environnement. La stratégie Enterprise a facilité l’autorisation ou le refus du même ensemble de protocoles sur chaque ordinateur ISA Server au sein de la société.

    En revanche, l’ancien environnement chez Microsoft a nécessité la configuration manuelle de chaque grappe. En effet, le déploiement d’applications telles que MSN Messenger impliquait que l’équipe ITG autorise manuellement le protocole utilisé par l’application sur chaque grappe au sein de la société avant que les employés de tous les secteurs ne puissent l’utiliser. Aujourd’hui, en utilisant ISA Server, les administrateurs peuvent appliquer une seule modification à la stratégie Enterprise pour autoriser ou refuser un protocole donné sur de nombreuses grappes.

  • Approche plus subtile de la résolution des problèmes. Les résolutions de l’ancien environnement chez Microsoft étaient difficiles parce que l’équipe ITG a souvent dû déterminer manuellement les différences de configuration entre une grappe et une autre. En revanche, à l’aide d’ISA Server et de la stratégie Enterprise, la réplication multimaître d’Active Directory garantit virtuellement que la configuration a automatiquement été appliquée sur toutes les grappes avec cohérence. La gestion unifiée de l’environnement grâce à la stratégie Enterprise a abouti à la configuration cohérente qui a permis de réduire le nombre d’étapes obligatoires nécessaires au diagnostic des problèmes.

Conclusion

En raison du nombre croissant d’entreprises qui adoptent le modèle de commerce sur Internet, l’exigence de sécurité et de performance devient plus cruciale que jamais. Les entreprises créées sur le Web offrant des biens et services sur le marché mondial en constante évolution recherchent des technologies plus affinées afin de fournir ces biens et services plus rapidement et avec un niveau de sécurité qui n’a jamais été atteint jusqu’ici.

Le succès du déploiement d’ISA Server chez Microsoft (associé à d’autres serveurs .NET Enterprise) a fourni tous les éléments permettant à Microsoft de mieux sécuriser et gérer son environnement de données informatisées. L’environnement sécurisé, les capacités de performance plus rapide et de génération de rapports complets d’ISA Server 2000 Enterprise Edition, associés à la facilité du déploiement chez Microsoft, permettent aujourd’hui à l’équipe ITG de réponde plus rapidement et efficacement aux questions relatives à la sécurité et aux autres exigences technologiques au sein de la société.

Les informations contenues dans ce document représentent l’opinion actuelle de Microsoft Corporation sur les points cités à la date de publication. Microsoft s’adapte aux travaux de développement en cours et aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toutes les informations présentées après la date de publication. Ce document a été rédigé uniquement à titre d’information. MICROSOFT N’OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT. L’utilisateur est tenu d’observer la réglementation relative aux droits d’auteur applicables dans son pays. Sans restriction des droits dérivés des droits d’auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de consultation ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent être couverts par des brevets, des dépôts de brevets en cours, des marques, des droits d’auteur ou d’autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf indication expresse figurant dans un contrat de licence écrit émanant de Microsoft, la fourniture de ce document ne vous concède aucune licence sur ces brevets, marques, droits d’auteur ou autres droits de propriété intellectuelle. Microsoft, Active Directory, Hotmail, le logo de Microsoft Internet Explorer, MSN, NetMeeting, Outlook, le logo de Windows, Windows Media, Windows et Windows NT sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux états-Unis d’Amérique et/ou dans d’autres pays. Les noms de sociétés et de produits mentionnés sont des marques de leurs propriétaires respectifs.

<< 1 2 3 >>

Dernière mise à jour le mardi 27 février 2001

Pour en savoir plus

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.