La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

ISA Server 2004 : SP2, appliances & ISA Server 2006 Pierre Chesné Ingénieur Système Stanislas Quastana, CISSP Architecte Infrastructure.

Présentations similaires


Présentation au sujet: "ISA Server 2004 : SP2, appliances & ISA Server 2006 Pierre Chesné Ingénieur Système Stanislas Quastana, CISSP Architecte Infrastructure."— Transcription de la présentation:

1 ISA Server 2004 : SP2, appliances & ISA Server 2006 Pierre Chesné Ingénieur Système Stanislas Quastana, CISSP Architecte Infrastructure

2 Agenda Appliances Service Pack 2 ISA Server 2004 ISA Server 2006 (Wolverine) Ressources utiles Questions / Réponses

3 Quest-ce quune Appliance ? Boîte noire qui intègre une ou plusieurs fonctionnalités précises comme un pare-feu ou autres. Solution clé en main (Matériel + Logiciels) : Windows Server 2003 SP1 Standard Edition ISA Server 2004 SP1 Standard Edition Matériel spécialisé Format rack Interface réseaux en façade Carte accélératrice SSL Alimentation redondante … Fonctionnalités supplémentaires : Produits tiers Filtres supplémentaires (ISA Server 2004)

4 Anatomie dune appliance Filtrage applicatif AntivirusAuthentification Contrôle dURLs AccélérateursSSL Reporting Haute disponibilité Plus de partenaires :

5 Pourquoi une Appliance ? Facilité de déploiement (moins derreurs) Le constructeur est responsable: (tests, intégration), et supporte lappliance (matériel & logiciel ) Le constructeur peut donner accès à des mises à jours fonctionnelles et des nouvelles versions testées et validées (ex: Network Engine) Solution souvent moins onéreuse – licences comprises (Windows, ISA et produits tiers) et absence de CALs.

6 Les constructeurs Celestix ( MSA Serie Appliance) Pyramid Computer (ValueServer) SecureGuard (Isa 110/760/1300) Wortmann (Terra Securum M 500/1000R/2000R) Corrent (SR 125/225/325) Whale (Intelli. Appli. Gateway-Isa) Hewlett-Packard (DL 320) Network Engines (NS6250/6300 /6400/8200/8400)

7 Lappliance de démonstration NS 6400 (Network Engines) Pentium IV 2.8 GHz 1 Go de RAM 60 Go de disque dur 6 interfaces réseaux en façade Dont une pour ladministration

8 Démonstration Prise en main de linterface NEWS (Network Engine Web Server)

9

10 Agenda Appliances Service Pack 2 ISA Server 2004 ISA Server 2006 (Wolverine) Ressources utiles Questions / Réponses

11 Objectifs du SP2 ISA Server 2004 Corriger des problèmes fonctionnels post SP1 Améliorer certaines fonctions Etablir une connectivité sécurisée pour les réseaux agences Optimiser lutilisation de la bande passante sur des lignes à bas débit

12 Déploiement Branch Office Agence Siège

13 Problématiques des architectures de type réseau dagence Faible bande passante (64 kbps -512 kbps). Augmentation du trafic Accroissement du pourcentage du contenu web sur ces liaisons Certains contenus Web sont dynamiques et ne sont pas toujours « cachables » avec des technologies de mise en cache Ex : BITS

14 Apports du SP2 dISA Server 2004 Intègre de 70 correctifs fonctionnels Permet la compatibilité dISA 2004 avec Windows 2003 R2 SQL Server 2005 Offre de nouvelles fonctionnalités : Compression HTTP BITS Caching Diffserv (Differentiated Services)

15 Utilisation de la compression HTTP Site central Jean Bouin Sept Deniers

16 La compression HTTP Documentée dans les RFC 1951 & 1952 Uniquement sur de lHTTP 1.1 Get AcceptEncoding = Accept-Encoding: gzip, deflate Get AcceptEncoding = Accept-Encoding: gzip, deflate Reponse ContentEncoding = Content-Encoding: gzip Reponse ContentEncoding = Content-Encoding: gzip Dans lentête HTTP de la requête du client Dans lentête HTTP de la réponse du serveur

17 La compression HTTP dans ISA Ajout de 2 nouveaux filtres Web Filtre de compression / décompression Filtre de cache et de contenu compressé Inspection du contenu compressé Le filtre de compression est le premier dans lordre de traitement Le cache supporte le contenu Http compressé grâce au second filtre Attention : lutilisation de la compression peut affecter les performances du serveur (CPU)

18 Contrôle de la compression HTTP Source ou Destination Réseau Groupe dordinateurs Contenu Documents html TexteImages… Attention le paramétrage de la compression HTTP se fait au niveau du serveur et non au niveau des règles Important : le trafic HTTPs nest pas compressé

19 Démonstration Paramétrage des options de compression dans ISA Server 2004 SP2

20

21 Gestion de priorité pour les flux HTTP Support de Differentiated Services (DiffServ) Documentée dans les RFC 2474, 2475 Utilise le champ TOS (Type Of Services) des paquets IPv4 Cf. slide suivante Il faut que linfrastructure le supporte (routeur) Paramétrable en fonction : URLDomaineRéseau Taille du contenu

22 Differentiated Services Protocol IP Options Destination Address Source Address TTLHeader Cheksum IdentificationFlagsFrag Offset Ver4IHLTOSTotal Length Differentiated Services Codepoint (DSCP)

23 Differentiated Services Differentiated Services Codepoint (DSCP) Bits de 0 à 2 : Class Selector Bits de 3 à 5 : Priorité dans les classes Bits 6 et 7 : Pas utilisés Classe 1 Classe 2Classe 3 Classe 4 Garantie dacheminement croissante Taux de rejet croissant

24 Démonstration Paramétrage de la gestion de priorité http dans ISA Server 2004 SP2

25 Démonstration DiffServ Agence Siège

26 Mise en cache BITS (Scénario branch office) La mise en cache BITS est supportée avec : Windows Update / Microsoft Update Windows Server Update Services (WSUS) ISA Server agence ISA Server Site Central WAN Faible débit

27 BITS Caching Background Intelligent Transfer Service Documenté dans la RFC 2616 Utilisé avec : Automatique update Windows update Microsoft update Vérifie Range: request header Content-range: response header A paramétrer sur les postes clients

28

29 Démonstration Configuration de la mise en cache de BITS dans ISAServer 2004 SP2

30 Agenda Appliances Service Pack 2 ISA Server 2004 ISA Server 2006 (Wolverine) Questions / Réponses

31 Les 3 piliers dISA Server 2006 Sécuriser les applications Web publiées Optimiser et sécuriser les réseaux dagence Enrichir et faciliter les déploiements Fournir un accès fiable et sûr à tous les périphériques disposant dun navigateur Web Forte intégration avec Exchange (5.5 -> 12) et Sharepoint / WSS Plus de standards supportés pour lauthentification Améliorer la sécurité des réseaux dagences Optimiser la consommation de la bande passante Cf. ISA 2004 SP2 Faciliter ladministration distante ISA Server 2006 Entreprise Edition disponible sous la forme dappliance Déploiement automatisé via clé USB Assistant « Branch Office » lancé automatiquement

32 La plateforme de démonstration

33 Authentification et ISA Server 2006 ISA Server accepte les authentifications clientes suivantes: Authentification par formulaire (Forms Based Authentication) : SecurID, RADIUS, Active Directory, Active Directory LDAP, RADIUS OTP Formulaire mot de passe (Active Directory et Radius) Formulaire passcode (SecureID et Radius OTP) Formulaire mot de passe et passcode Certificat Client Authentification HTTP (reçue dans lentête HTTP) : (reçue dans lentête HTTP) :BasiqueDigest Intégrée Windows. Pas dauthentification

34 Combinaison des authentifications Password CertificateOTP HTML Forms (FBA) HTTP (Basic, Digest, Integrated) Mutual SSL/TLS Active Directory (LDAP) Active Directory (Windows) RSA SecurIDRADIUSRADIUS OTP

35 Nouveautés – Publications Web (1/2) Publication assistée pour les applications classiques Microsoft : Sharepoint Server / Windows Sharepoint Services Exchange Server (5.5 à E12) Intégration dans lassistant de RPC/HTTP Support des fonctionnalités de proxy dExchange 12 Meilleure gestion des certificats Plusieurs certificats possibles sur un même port découte (mais toujours un certificat par adresse IP) Console des certificats avec vérification de leur validité, de leur magasin… Meilleur support des environnements « Load Balancés » Affinité des sessions par IP ou cookies Intégration dans les assistants

36 Nouveautés – Publications Web (2/2) Single Sign On sur les applications Web Lutilisateur ne se signe quune fois par session Via un même port découte et un suffixe DNS commun ISA gère les time outs et la durée maximale des sessions Exemple : pour mail.mycompany.com, sps.mycompany.com et le domaine SSO est.mycompany.com Formulaire dauthentification (FBA) personnalisable et disponible en 26 langues

37 Fonctions de Flood Mitigation dISA – Attaques bloquées Propagation de vers Attaques SYN Déni de Service (DoS) Déni de Service distribué (DDoS) Déni de Service (DoS) par bombardement HTTP 2 – Techniques de réduction Limiter les requêtes de connexion TCP par minute par IP Limiter le nombre de connexions TCP simultanées par IP Limiter le nombre de connexion TCP half-open par IP Limiter le nombre de requêtes HTTP par minute par IP Limiter les sessions simultanées non-TCP par IP Limiter les nouvelles sessions Non-TCP par minute et par règle Limiter les messages de refus TCP et non-TCP 3 – Contrôle des ressources Saturation des journaux Consommation mémoire Requêtes DNS en cours 4- Remédiation Déclenchement dalertes avec information sur lattaque et instruction de remédiation Notification de ladministrateur avec les adresses IP des clients infectés

38 Ressources utiles Site Web Microsoft Webcasts et séminaires TechNet (Gratuits) Sites externes Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement BlogsBlogs.technet.com/stanislas Kits dévaluation Version dévaluation (120 jours) CD (livres blancs et guide déploiement)

39 Questions / Réponses

40 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "ISA Server 2004 : SP2, appliances & ISA Server 2006 Pierre Chesné Ingénieur Système Stanislas Quastana, CISSP Architecte Infrastructure."

Présentations similaires


Annonces Google