Protection du réseau périphérique avec ISA 2004
Protection du réseau périphérique avec ISA 2004 Rick Claus Conseillers professionnels en TI Microsoft Canada
Objectifs de la présentation Présenter un aperçu de ISA Server 2004 et des scénarios d’utilisation les plus courants. Démontrer comment publier en toute sécurité des services réseau comme des sites Web. Examiner les façons d’utiliser ISA 2004 pour le réseautage VPN. Montrer l’importance de la surveillance et des rapports et leur utilisation. Méthodes éprouvées, outils et conseils.
Programme Présentation de ISA Server 2004 Publication de services réseau en toute sécurité Réseautage VPN avec ISA Server 2004 Surveillance et production de rapports
Protection du réseau périphérique : les défis Partenaire commercial Bureau principal Les défis : Choix d’une topologie de pare-feu appropriée Accès aux ressources pour les utilisateurs à distance Surveillance et production de rapports efficaces Besoin d’une inspection plus serrée des paquets Conformité aux normes de sécurité Internet Sans fil Utilisateur à distance Succursale
Avantages de ISA 2004 Caractéristiques : Sécurisé par défaut Modèles des topologies courantes Assistants de configuration Création de règles personnalisées Intégration du service Active Directory pour l’authentification Filtrage multicouche et inspection plus serrée des paquets Mise en cache évoluée Journalisation et surveillance en temps réel Mécanismes d’importation, d’exportation, de sauvegarde et de restauration Prise en charge des grappes par l’Édition entreprise
Recommandations pour ISA 2004 Mémoire vive UCT Windows 2000 Server ou Windows Server 2003 512 Mo 500 MHz Format disque dur Espace disque dur NTFS Carte réseau interne Carte réseau externe 150 Mo
Paramètres d’installation par défaut La configuration par défaut de ISA Server bloque tout le trafic entre les réseaux reliés à ISA Server Seuls les membres du groupe d’administrateurs locaux ont des autorisations administratives. Des réseaux par défaut sont créés. Les règles d’accès comprennent des règles de stratégie système et des règles d’accès par défaut. Aucun serveur n’est publié. La mise en cache est désactivée. Le partage d’installation de client pare-feu est accessible s’il est installé.
Méthodes éprouvées de conception Pour déployer ISA Server afin d’offrir l’accès à Internet : Choisissez la topologie qui répond le mieux à vos besoins. Planifiez la résolution de noms DNS. Créez les éléments des règles d’accès nécessaires et configurez les règles d’accès. Planifiez l’ordre des règles d’accès. Mettez en oeuvre les mécanismes d’authentification appropriées. Testez les règles d’accès avant le déploiement. Déployez le client pare-feu en vue d’une sécurité et d’une fonctionnalité maximales. Utilisez la journalisation de ISA Server pour régler les problèmes de connectivité Internet.
Topologies courantes et modèles de configuration de ISA 2004 Hôte bastion Configuration en trois parties Réseau interne Réseau interne Réseau périphérique Serveur Web Modèle de pare-feu en trois parties Modèle de pare-feu de périmètre Configuration dos à dos Réseau interne Modèle de pare-feu avant ou de pare-feu arrière Réseau périphérique Internet Modèle de carte réseau unique seulement pour le serveur mandataire et la mise en cache
Éléments des règles d’accès Types d’éléments servant à créer les règles d’accès : Protocoles Utilisateurs Types de contenus Planifications Objets de réseau Réseau de destination IP de destination Site de destination Tous les utilisateurs Utilisateurs authentifiés Utilisateur/groupe spécifique Autoriser Refuser action sur le trafic de l’utilisateur entre source et destination avec conditions Protocole Port IP / Type Réseau d’origine IP d’origine Utilisateur d’origine Serveur publié Site Web publié Planification Critères de filtrage
Filtrage multicouche Filtrage de paquets : Filtre les paquets selon le contenu des en-têtes des couches réseau et transport Inspecte rapidement les paquets, mais ne détecte pas les attaques de haut niveau Filtrage dynamique de paquets : Filtre les paquets selon l’information de la session TCP Accepte uniquement les paquets qui font partie d’une session valide, mais ne peut pas inspecter les données d’application Filtrage d’application : Filtre les paquets selon les données d’application qu’ils transportent Peut empêcher les attaques malveillantes et faire respecter les politiques de l’utilisateur
démonstration Interface de ISA Server et modèle de réseau L’interface Utilisation d’un modèle de réseau pour configurer ISA Server 2004 en pare-feu à trois parties Règles
Programme Présentation de ISA Server 2004 Publication de services réseau en toute sécurité Réseautage VPN avec ISA Server 2004 Surveillance et production de rapports
Règles de publication de ISA Server ISA Server comporte trois types de règles de publication : Règles de publication de sites Web utilisant HTTP Règles de publication de serveurs Web sécurisés exigeant le chiffrement SSL Règles de publication de serveurs qui n’utilisent ni HTTP ni HTTPS
démonstration Configuration des règles de publication d’un serveur Web sécurisé Scénarios de publication courants Fonction d’importation et d’exportation des règles
Programme Présentation de ISA Server 2004 Publication de services réseau en toute sécurité Réseautage VPN avec ISA Server 2004 Surveillance et production de rapports
Réseautage VPN avec ISA Server ISA Server autorise l’accès aux réseaux VPN : En incluant la connexion de clients VPN à distance pour des clients individuels et la connexion VPN de site à site pour relier de multiples sites En activant des réseaux VPN spécifiques, notamment : Réseau de clients VPN Réseau de clients VPN mis en quarantaine Réseau à distance En utilisant les règles de réseau et d’accès pour limiter le trafic entre les réseaux VPN et les autres réseaux dont les serveurs exécutent ISA Server En étendant la fonctionnalité RRAS
Activation des connexions de clients VPN Pour activer des connexions de clients VPN : Choisissez un protocole de tunnellisation. Choisissez un protocole d’authentification. Utilisez MS-CHAP v2 ou EAP si possible Activez la connexion de client VPN dans la console de gestion ISA Server. Configurez les comptes d’utilisateur pour l’accès à distance. Configurez les paramètres d’accès à distance. Configurez les règles d’accès au pare-feu pour le réseau de clients VPN.
Mise en oeuvre des connexions VPN de site à site Pour activer les connexions VPN de site à site : Choisissez un protocole de tunnellisation. Configurez le réseau à distance. Configurez les règles du réseau et les règles d’accès pour : Ouvrir les communications entre les réseaux ou Régir les communications entre les réseaux Configurez la passerelle VPN à distance.
Mise en quarantaine d’un réseau Réseau de clients VPN Contrôleur de domaine Serveur Web Script de mise en quarantaine Strat. d’accès à distance- réseaux en quarantaine RQC.exe Serv. ISA Serveur DNS Serveur de fichiers Réseau clients VPN en quarantaine
démonstration Connectivité des réseaux VPN De site à site Utilisateurs à distance Mise en quarantaine
Programme Présentation de ISA Server 2004 Publication de services réseau en toute sécurité Réseautage VPN avec ISA Server 2004 Surveillance et production de rapports
Outils de surveillance de ISA 2004 Tableau de bord – Vue centralisée récapitulative Alertes – Tous les problèmes au même endroit Sessions – Vue des sessions actives Services – État des services ISA Connectivité – Connectivité aux services réseau Journalisation – Puissant outil de consultation des journaux ISA Rapports – Utilisateurs et sites les plus actifs, accès à la mémoire cache…
Surveillance et alertes Tableau de bord
Surveillance et alertes Alertes
Surveillance et alertes Sessions
Surveillance et alertes Services
Surveillance et alertes Rapports
Surveillance et alertes Connectivité
Surveillance et alertes Journalisation
démonstration Surveillance et production de rapports Interfaces de production de rapports Surveillance en temps réel
Résumé ISA Server 2004 est sécurisé par défaut, car il bloque tout le trafic — configurez les règles d’accès de façon à donner le moins possible de droits d’accès. Utilisez le filtrage d’application pour répondre au contenu du trafic avant de l’acheminer à votre réseau. Mettez en oeuvre des règles de publication ISA Server pour rendre les ressources internes accessibles grâce à la création de la règle InternetCustom. Utilisez les règles d’accès pour limiter l’accès aux clients VPN à distance, aux clients VPN de site à site et aux clients de réseaux mis en quarantaine. La surveillance et la production de rapports sont des éléments importants de tout réseau sécurisé.
Pour en savoir plus… Site Web principal de TechNet www.microsoft.ca/technet Renseignements supplémentaires sur la sécurité de ISA Server http://www.microsoft.com/technet/security/prodtech/isa/default.mspx Autres événements de formation sur la sécurité http://www.microsoft.com/seminar/events/security.mspx Abonnez-vous aux communications sur la sécurité http://www.microsoft.com/technet/security/signup/default.mspx
Pour plus d’information… Microsoft TechNet http://www.microsoft.ca/technet Rick Claus http://blogs.msdn.com/rclaus
Votre potentiel. Notre passion.MC
Où trouver TechNet? Visitez TechNet en ligne à www.microsoft.ca/technet Abonnez-vous à TechNet Flash /technet/abouttn/subscriptions/flash_register.mspx Joignez-vous au forum TechNet en ligne www.microsoft.ca/technet/community Devenez membre de TechNet www.microsoft.ca/technet/abouttn/Subscriptions Assistez à davantage d’événements TechNet ou voyez-les en ligne www.microsoft.ca/technet/community/events