2. PARTIE THEORIQUE :
Introduction
Définition d’ISA Server
Configuration système requise
Fonctionnalité d'ISA Server
Paramètres d’installation par défaut
Versions d'ISA Server 2006
Avantages d'ISA Server
Modes d'ISA Server
Les 3 piliers d’ISA Server 2006
Authentification et ISA Server 2006
Combinaison des authentifications
Prévention des attaques par saturation
Clients ISA Server
Firewall
NAT (Network Translation Adress )
Fonctionnalités de cache
Scénario de déploiement
3. PARTIE PRATIQUE :
FAIRE UN SCHEMA DU RESEAU
INSTALLATION D ’I SA SERVER 2006
Renforcer la sécurité d’Isa Server 2006
PROCEDURE D ’ ACTIVATION DES PING
Exemple :configuration d’une passerelle NAT
LA PUBLICATION DE SERVICES DNS
MISE EN ŒUVRE DE PROXY SOUS ISA SERVER
2006
CONFIGURATION DES REGLES DE LA MISE EN
CACHE
ACTIVATION DU PROXY WEB
5. Les entreprises utilisent de plus
en plus l’informatique pour le
business
Elles ouvrent leurs
infrastructures internes à leurs
partenaires et clients
Nécessite une sécurité accrue
6. De nouveaux besoins
Protection du réseau interne
Administration et contrôle des accès web
QoS
De nouveaux risques
Exposition du réseau interne aux attaques
et virus
Compétitivité « web »
Gestion mutli-technologie
7. ISA Server 2006 est la passerelle de
haute sécurité qui protège un réseau
informatique contre les menaces en
provenance d’Internet, tout en
offrant aux utilisateurs un accès à
distance rapide et sécurisé aux
données et aux applications.
8. ISA signifie Internet Security &
Acceleration.
C’est un produit de la gamme serveur de
Microsoft cumulant plusieurs rôles :
Un pare feu multicouches qui peut filtrer
sur les couches 3, 4 et 7 du modèle OSI ;
Un routeur ;
Un serveur NAT ;
Un serveur VPN ;
Un Serveur de proxy ;
9. ISA Server 2006 Standard Edition ou
Enterprise Edition exige la configuration
système minimale suivante.
Processeur : PC équipé d’un processeur Pentium III à
500 MHz ou supérieur.
Système d’exploitation : Microsoft Windows Server
2003 avec Service Pack 1 ou Microsoft Windows
Server 2003 R2.
Mémoire : Mémoire vive d’au moins 512 Mo
recommandée.
Disque dur : Partition locale formatée NTFS avec 200
Mo d’espace libre sur disque dur ;
Carte réseau : Une carte réseau pour communiquer
avec le réseau interne, elle est requise pour la
communication interne à un groupe de postes pour
l’équilibre de charge intégré dans ISA Server 2006
Enterprise Edition.
10. Améliore la sécurité avec pare-feu
multicouche et détection d'intrusion
intégrée
Fournit la publication sécurisée.
Peut mettre en cache du contenu
Web, en réduisant potentiellement
vos besoins en matière de bande
passante externe.
11. La configuration par défaut de ISA Server
bloque tout le trafic entre les réseaux reliés à
ISA Server
Seuls les membres du groupe
d’administrateurs locaux ont des autorisations
administratives.
Les règles d’accès comprennent des règles de
stratégie système et des règles d’accès par
défaut.
Aucun serveur n’est publié.
Le partage d’installation de client pare-feu est
accessible s’il est installé.
12. Standard Edition
La sécurité par pare-feu et la mise en cache Web.
une sécurité fiable, un accès au Web rapide et des performances
adaptées aux environnements d'entreprise stratégiques.
Enterprise Edition:
Est conçue pour satisfaire les besoins d'environnements gérant un
trafic Internet volumineux et exigeant un niveau élevé de
performances.
Fournit une connectivité à Internet sécurisée, évolutive et rapide
pour des environnements stratégiques .
12
13. Performances sur le Web:
Fournit aux utilisateurs un accès au Web plus
rapide.
Réduit les coûts liés à la bande passante en
diminuant le trafic réseau en provenance
d'Internet.
Sécurité:
Protège les réseaux des accès non autorisés en
inspectant le trafic réseau au niveau de plusieurs
couches.
Gestion:
Contrôle l'accès de façon centralisée pour garantir
et appliquer les stratégies d'entreprise.
14. Mode cache
Améliore les performances du réseau et économise de la bande passante en
stockant les objets Web fréquemment utilisés sur l'ordinateur le plus proche
de l'utilisateur.
Route les demandes de clients vers un serveur de cache qui contient des
objets mis en cache.
Mode pare-feu
Sécurise le trafic réseau en configurant des règles qui contrôlent les
communications entre un réseau interne et Internet.
Vous permet de publier des serveurs internes et ainsi de partager des
données sur son réseau avec des partenaires ou des clients.
Mode intégré
Vous permet de combiner les services de pare-feu et de cache sur un seul
ordinateur hôte.
14
15. Sécuriser les
applications Web
publiées
Optimiser et
sécuriser les
réseaux d’agence
Enrichir et
faciliter les
déploiements
• Fournir un accès
fiable et sûr à tous les
périphériques
disposant d’un
navigateur Web
• Forte intégration avec
Exchange (5.5 -> 12)
et Sharepoint / WSS
• Plus de standards
supportés pour
l’authentification
• Améliorer la sécurité
des réseaux d’agences
• Optimiser la
consommation de la
bande passante
• Cf. ISA 2004 SP2
• Faciliter l’administration
distante
• ISA Server 2006
Entreprise Edition
disponible sous la forme
d’appliance
• Déploiement automatisé
via clé USB
• Assistant « Branch
Office » lancé
automatiquement
16. ISA Server accepte les authentifications clientes suivantes:
Authentification par formulaire (Forms Based Authentication) : SecurID,
RADIUS, Active Directory, Active Directory LDAP, RADIUS OTP
Formulaire mot de passe (Active Directory et Radius)
Formulaire passcode (SecureID et Radius OTP)
Formulaire mot de passe et passcode
Certificat Client
Authentification HTTP
(reçue dans l’entête HTTP) :
• Basique
• Digest
• Intégrée Windows.
Pas d’authentification
17.
18. Floodresiliency
Objectif Protéger ISA Server contre :
Propagation de ver
Bombardement SYN
Déni de service (DoS)
Déni de service distribué (DDoS)
Bombardement HTTP
Dans certains cas, les ordinateurs derrière ISA
seront également protégés mais ce n’est pas
l’objectif principal de cette fonction
22. 1 – Attaques bloquées
• Propagation de vers
• Attaques SYN
• Déni de Service (DoS)
• Déni de Service distribué (DDoS)
• Déni de Service (DoS) par
bombardement HTTP
2 – Techniques de réduction
• Limiter les requêtes de connexion TCP par minute par IP
• Limiter le nombre de connexions TCP simultanées par IP
• Limiter le nombre de connexion TCP “half-open” par IP
• Limiter le nombre de requêtes HTTP par minute par IP
• Limiter les sessions simultanées non-TCP par IP
• Limiter les nouvelles sessions Non-TCP par minute et par règle
• Limiter les messages de refus TCP et non-TCP
3 – Contrôle des ressources
• Saturation des journaux
• Consommation mémoire
• Requêtes DNS en cours
4- Remédiation
• Déclenchement d’alertes avec information sur
l’attaque et instruction de remédiation
• Notification de l’administrateur avec les adresses IP
des clients infectés
23. Les types de clients ISA:
Client Secure NAT.
Client Pare-feu.
Client du proxy Web.
24. Proxy cache
Reverse proxy
Proxy applicatif
Passerelle VPN
- VPN nomades
- VPN site à site
Pare-feu
multicouches
(3,4 et 7)
Filtrage extensible
www.vpnc.org
25. Permet d’utiliser un plan d’adressage IP
privé en interne
Les adresses Internet on un coût
Partage d’adresses
Sécurité: pas d’exposition des adresses internes
Masquage d’adresses
26. 212.3.2.10
192.1.1.5 212.3.2.4
192.1.1.10
Src: 192.1.1.5:*
Dest: 212.3.2.4:80
Pass.: 192.1.1.10
Src: 212.3.2.10:*
Dest: 212.3.2.4:80
Client
Internet
Server
ISA
Passerelle par défaut des clients = adresse IP
interne de la machine ISA Server
Modification des en têtes IP si nécessaire
Pas de composant sur les clients
Identification des clients via leur adresse IP
28. • Autoriser
• Interdire
• Réseau(x)
• Adresse(s) IP
• Site(s)
action sur trafic de source vers destination pour utilisateur avec
conditions
• Utilisateur(s)
• Groupe(s)
• Protocole IP
• Port(s) TCP/UDP
•Site Web publié
•Filtre applicatif
• Réseau(x)
• Adresse(s) IP
• Machine(s)
28
29. Filtrage de paquets :
Filtre les paquets selon le contenu des en-têtes des
couches réseau et transport.
Inspecte rapidement les paquets.
Filtrage dynamique de paquets :
Filtre les paquets selon l’information de la session TCP.
N’accepte que les paquets qui font partie d’une session
valide.
Filtrage d’application :
Filtre les paquets selon les données d’application qu’ils
transportent.
Empêcher les attaques malveillantes et respecter les
politiques de l’utilisateur.
31. microsoft® Internet Security and Acceleration
(ISA) Server 2006 met en œuvre une
fonction de cache pour améliorer les
performances et les temps de réponse de
demandes Web. Vous configurez le cache de
sorte qu'il contienne des objets Web
fréquemment demandés par les utilisateurs.
Lorsqu'un utilisateur formule une demande,
le mécanisme de mise en cache fournit
l'objet demandé directement à partir du
cache plutôt que de le demander sur Internet.
33. ISA Server peut être déployé selon plusieurs
scénarios :
Pare feu de périmètre
Périmètre en trois parties
Pare feu avant / pare feu arrière
Single Network Card uniquement comme un
serveur proxy et reverse proxy.
34. Pare feu de périmètre : Dans ce scénario,
Isa Server dispose de deux cartes réseaux. Il
peut servir pour faire du filtrage (sur les
niveaux 3, 4 et 7 de lacouche OSI), de serveur
proxy (proxy / reverse proxy), d’IDS / IPS et
de serveur VPN.
35. Pare feu avant / pare feu arrière : ce mode
consiste à déployer deux pare feu (de
préférence deux modèles différents) entre le
réseau interne et le réseau externe. Ce mode
de déploiement permet de créer un réseau de
périmètre (ou DMZ) entre les deux pare feu.
La Best Practice consiste alors à déployer
tous les serveurs à publier sur Internet au
niveau de la DMZ.
36. Périmètre en trois parties: Le serveur ISA
possède trois interfaces chacune connectée à un
sous réseau ou à un réseau différent :
- la première est connectée au réseau interne de
l’entreprise
- la seconde à un réseau périphérique encore
appelé zone démilitarisée ou DMZ (DeMilitarized
Zone)
- la dernière à un réseau public comme Internet.
37. Le client pare feu : il s’agit d’un logiciel à déployer
sur toutes les stations de travail Windows. Ce
dernier est disponible sur le CD d’installation
dans le dossier client ou sur Internet. Ce type de
client permet de filtrer les accès à tous les
protocoles et d’utiliser le filtrage sur les
ensembles d’utilisateurs. Il fonctionne sur le
même réseau que le réseau interne et ne peut
faire ni routage, ni serveur VPN, ni pare-feu.
43. Cliquer sur l’icône entouré en rouge pour voir
toutes les règles et notamment la règles
d’activation de Ping effectuée
Ici On peut voir que la règle de Ping est bien activée.
44.
45.
46.
47.
48.
49.
50. ISA Server offre une solution intégrée pour adresser les deux
problèmes majeurs auxquels sont confrontés aujourd'hui les
administrateurs réseau : fournir un accès Internet sécurisé avec une
technologie de pare-feu et maximiser la performance au moyen de la
mise en cache.
ISA Server offre des options de sécurité telles que le filtrage de
paquets, le déclenchement d’alarmes suite à des événements.
ISA Server stocke les sites Internet fréquemment requis dans le
cache, de sorte que les clients peuvent directement accéder aux objets
à partir de ISA Server et non à partir d’internet.
50
51. Plan
Protocol utiliser
Type de serveur exchange
Installation d’exchange 2003
Creation d’un compte de messagerie
Limitation de stocage
Configuration d’un client outlook
Déplacer une boite aux lettres
Sauvegarde et restauration d’un groupe de
stockage
Différent méthode connexion avec exchange
52.
53. Les serveurs dorsaux exécutent
Exchange 2003 et contiennent les
boîtes aux lettres ou une banque
d'informations publiques.
Il est possible de configurer le
système DNS ou l'équilibrage de
charge Windows 2003 pour n'avoir
qu'un seul nom pour tous les
serveurs frontaux
54. Les serveurs frontaux exécutent
Exchange 2003 mais n'hébergent
ni les boîtes aux lettres ni les
banques d'informations de dossiers
publics. Ces serveurs transmettent
les requêtes au service d'annuaire,
via LDAP, afin de déterminer le
serveur dorsal qui contient la boîte
aux lettres de l'utilisateur.
55.
56.
57. Une fois le serveur installé, vous pouvez accéder
à la console d'administration via le menu
démarrertous les programmesMicrosoft
ExchangeGestionnaire système
58.
59.
60.
61.
62.
63.
64.
65.
66. 66
Soutenance du projet de Fin d’études
Installation et configuration d'un
serveur RIS
Réaliser par : Ilyass Ouchnan
69. •carte réseau compatible PXE ou être référencer dans la liste
des cartes bootables avec la disquette de démarrages RIS.
•un service DHCP actif,
•un serveur DNS
•un service d’annuaire Active Directory.
Serveur.
Client
1.2. Composants pré requis
69
71. le composant «service d'installation à distance»
Exécutez ensuite risetup.exe
BINLSVC « Couche de négociation des informations de démarrage »
5.1. Les services
SIS (Single Instance Store)
TFTP (Trivial File Transfer Protocol Daemon)
.
.
.
.
.
71
75. 1.4.Configuration requise pour utiliser les
images RIPrep
L'image ne prend en compte qu'une seule partition
les fichiers cryptés
Ces images ne peuvent êtres créées qu'à destination de serveur RIS
75
76. Tester la configuration du système et des applications
copier le profil administrateur local dans le profil
utilisateur par défaut
3.4. Création de l'image RIPrep
"nom_serveur_risreminstadmini386riprep.exe"
76
78. • niveau matériel
la HAL (Hardware Abstraction Layer)
• les mettre à jour (98 vers XP par exemple)
• Lors de l’installation par RIS, une seule partition est
créée sur l’ensemble du disque dur
• RIS ne supporte pas les images faites par des utilitaires
d'image comme Ghost
• une carte réseau compatible au boot PXE (Pre-boot
Execution Environnement) ou être référencer dans la liste des
cartes bootables avec la disquette de démarrages RIS.
78