Définitions des services ISA 2000

Définitions des services de ISA Server 2000
1 Services et clients :
Service Web Proxy :
- Il traite les demandes Web (http, ftp, https et Gopher).
- Il filtre du sens réseau privé vers les réseaux externes (le contraire : Proxy inverse).
- Les clients vont bénéficier du cache.
- Il prend la décision d’accepter ou de refuser l’acheminement de la requête vers Internet
en se basant sur des stratégies d’accès.
- Si l’accès est autorisé, alors le service Web Proxy fait appel au driver NAT (modifie IP
source par IP externe de ISA ainsi que n° de port source par un n° dynamique).
Service pare-feu :
- Il reçoit toutes les requêtes qui viennent des clients Firewall et SecureNat.
- Il s’appuie sur un ensemble de stratégies d’accès pour prendre la décision d’accepter ou
non la connexion vers Internet.
- Une fois les requêtes traitées par le service Firewall, elles sont transmises au service
Web Proxy à condition que le Filtre de redirection http soit activé (c’est le cas par défaut).
- Il peut analyser :-les paquets IP : IP source et destination, n° de protocole
-les segments TCP ou UDP : -port source (application source)
-port destination (application serveur)
- le protocole ICMP : champs types et code
Client web Proxy : ordinateur équipé d’un navigateur compatible CERN. Il envoie des
requêtes TCP au service Web Proxy sur le port d’écoute par défaut 8080.
Client pare-feu : Logiciel à télécharger sur ISA.
- Il envoie directement les requêtes au service Firewall.
- Il gère aussi le contrôle de la bande passante, le VPN, la publication de serveur et la
gestion des logs.
Protocoles Winsocks : Permet à des applications (TSE, NNTP, SMTP…) de pouvoir
accéder à Internet.
Client SecureNAT : Ordinateur sans logiciel client pare-feu installé. Les requêtes sont
d’abord interceptées par le driver NAT de ISA Server (et non par W2000) puis redirigées
vers le service Firewall.
- Le client SecureNAT est indispensable pour l’utilisation de protocoles de la pile IP qui ne
s’appuient pas sur TCP ni sur UDP (PPTP, ICMP…).
- L’authentification est impossible au niveau de l’utilisateur.
- Pour être client SecureNAT il faut une passerelle par défaut vers l’adresse IP de ISA (ou
IP du routeur)
- Il faut activer le routage IP sur ISA (dans les stratégies d’accès).
Activer le routage IP indique au serveur ISA de router sur les interfaces externes.
1
2 Les interfaces :
Interface Interne :
- Connectée au réseau privé.
- Par défaut, aucune communication directe avec le réseau public ne sera acceptée.
- Pas d’adresse de passerelle par défaut.
- Pour la configuration du DNS il faut inscrire celle du réseau privé.
-Si le réseau privé possède plusieurs sous réseaux alors un routage statique permanent
doit être entré pour chaque sous réseau. (route add….).
Interface externe :
- C’est l’interface du réseau Internet et si il y a, d’une DMZ publique.
- Elle est configurée avec l’adresse IP publique (si pas de routeur au dessus).
- Le DNS est celui fournit par le fournisseur d’accès à Internet.
3 Les Différentes règles:
Table d’adresses locales TAL :
- Elle permet de définir tout les sous réseaux présents sur votre réseau privé.
- Elle permet aussi à ISA de sélectionner la carte réseau connectée au réseau privé.
- La commande ‘route print’ dans l’invite de commande sert à vérifier la cohérence de la
TAL.
Table des domaines locaux TDL :
- Elle permet de renseigner les domaines DNS utilisés sur le réseau privé.
Règles de site et de contenu :
- Elles définissent les sites Web et le contenu http qui seront autorisés ou non pour un
ensemble d’utilisateurs, dans une période donnée (demandes http, https, ftp et Gopher).
- Par défaut, la règle « autoriser la règle » autorise tout le trafic IP vers toutes les
destinations pour toutes les demandes.
- Pour sortir sur Internet, une règle de site et de contenu ainsi qu’une règle de protocole
doit autoriser l’accès.
- On peut rediriger la demande vers un site.
Règles de protocole (ou filtres dynamiques):
- Elles Définissent les protocoles TCP et UDP que les utilisateurs pourront utiliser pour
sortir sur Internet (Sur l’interface externe de ISA).
- Par défaut, il est impossible de sortir sur le réseau externe.
2
Filtres de paquets IP:
- Ils se basent sur l’entête IP d’un paquet IP.
- Ils analysent les ports source/destination contenus dans un segment de transport UDP,
TCP ou ICMP.
- Un filtre autorisant un protocole laisse accessible un port sur l’interface externe (dans
l’invite de commande : « netstat –na » permet de visualiser les ports en écoute).
- Ils contrôlent le trafic entre les cartes externes (maîtrisent les requêtes provenant
d’Internet vers la DMZ publique).
- Ils contrôlent le trafic à destination du serveur ISA lui-même.
- Ils permettent aussi de filtrer les demandes sortantes en bloquant des protocoles (mais il
est préférable d’utiliser les règles de protocoles pour cela).
Activer le filtrage de paquets : Si le filtrage est désactivé, tous les ports ouverts sur ISA
seront accessibles sur l’interface externe (attaques possibles). Si le filtrage est activé, tous
les paquets à destination de ISA sont rejetés, sauf si des filtres autorisant l’accès sont
créés.
Activer le routage IP : Permet à ISA de router les paquets IP entre ses interfaces
externes (DMZ publique), ou entre ses interfaces privées. Ca permet aussi aux clients
SecureNAT d’accéder aux réseaux externes (ex : ping du privé vers le public).
Activer le filtrage des fragments IP : Supprime tout les paquets IP fragmentés reçus sur
une interface externe de ISA (pour contrer les attaques possibles).
Activer le filtrage des options IP : supprime tous les paquets IP pour lesquels le champ
Option IP de l’entête IP est renseignée.
En sortie : correspond au sens ISA vers Internet.
En configuration UDP :
- Envoyer et recevoir : ISA peut envoyer des paquets et recevoir des réponses.
- Recevoir et envoyer : ISA peut recevoir des paquets et envoyer des réponses.
Port local : C’est le port du serveur ISA.
Port distant : C’est le port utilisé par l’ordinateur distant.
Ordinateur local : ordinateur ISA ou sur la DMZ.
Ordinateur distant : réseau public.
Pour information 0.0.0.0 représente toutes les IP
DMZ public : Le port local et Ordinateur local correspondent aux serveurs sur la DMZ.
Règles de publication de serveur :
- Elles autorisent une communication entre les réseaux publics et privés (Il y a translation
d’adresses).
- Elles s’appuient sur le service Firewall et utilisent les définitions de protocole créées dans
les éléments de stratégie.
- Un filtrage sur l’adresse IP source ou sur un compte utilisateur peut être opéré.
- Dans le DNS public, l’adresse IP du serveur publié sera l’adresse IP externe du serveur
ISA.
- Les serveurs que l’on va publier doivent être configurés en tant que client SecureNAT.
3
Publication d’un serveur de messagerie :
- A créer seulement si le serveur de messagerie se situe sur le réseau privé.
- Il existe un assistant sur « Règles de publication de serveur ».
En SMTP sortant : Le serveur de messagerie peut émettre le trafic SMTP sur Internet,
- Il y a création d’une règle de protocole (SMTP.IP interne)
Les protocoles entrants : création de règles de publication de serveurs.
Microsoft Exchange/Outlook entrant : N’est pas très conseillé car les ports RPC et
netbios seront ouverts. Il est plutôt conseillé d’utiliser un VPN.
- Il faut spécifier l’IP externe de ISA, un enregistrement MX doit être défini sur le DNS
public.
- Si le serveur de messagerie effectue une résolution DNS afin d’envoyer les mails sortant,
une règle de protocole doit être crée autorisant les requêtes DNS en sortie (prot 53).
- Votre serveur de messagerie doit posséder une passerelle pour envoyer des requêtes
vers Internet.
Règles de publication Web :
- Elles sont seulement utilisées pour le http https et le ftp.
- Avantages par rapport aux Règles de publication de serveur : elles utilisent le cache, elles
permettent d’authentifier les requêtes entrantes, on a la possibilité de publier plusieurs sites
Web sur la même adresse IP externe de ISA, de rediriger les requêtes vers d’autres
protocoles, et permettent aussi de rediriger les requêtes entrantes vers d’autres ports.
Règles de routage et de chaînage :
- Elles servent à rediriger toutes les demandes de ses clients vers un autre serveur ISA (ou
autre serveur).
- Pour créer un routage on doit utiliser un client Proxy, tandis que pour le chaînage on
utilise les clients Firewall et SecureNAT.
- Un filtre de paquet IP doit obligatoirement être activé pour autoriser la sortie.
Eléments de stratégie :
- Ensemble de « briques » servant ensuite à former une règle de protocole ou une règle de
site et de contenu à insérer dans une règle.
Mise en cache Web : Permet d’accélérer la navigation Web.
Extensions : Filtres d’application :
Appliqué aux requêtes des clients afin de gérer le trafic à travers le serveur ISA.
Filtre de redirection : authentification perdue lors de la redirection des requêtes du
service Pare-feu vers le service Web Proxy.
Si le filtre est désactivé, alors les clients SecureNat et Firewall ne bénéficient pas du cache
Web.
4