Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI...
-
Upload
eliane-paris -
Category
Documents
-
view
104 -
download
1
Transcript of Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI...
Protection du réseau périphérique avec ISA 2004
Rick ClausRick ClausConseillers professionnels en TIConseillers professionnels en TIMicrosoft CanadaMicrosoft Canada
• Présenter un aperçu de ISA Server 2004 et des scénarios d’utilisation les plus courants.
• Démontrer comment publier en toute sécurité des services réseau comme des sites Web.
• Examiner les façons d’utiliser ISA 2004 pour le réseautage VPN.
• Montrer l’importance de la surveillance et des rapports et leur utilisation.
• Méthodes éprouvées, outils et conseils.
Objectifs de la présentation
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
Protection du réseau périphérique : les défis
Internet
Bureau principal
Utilisateur à distance
Partenaire commercial
Succursale
Sans fil
Les défis :
Choix d’une topologie de pare-feu appropriée
Accès aux ressources pour les utilisateurs à distance
Surveillance et production de rapports efficaces
Besoin d’une inspection plus serrée des paquets
Conformité aux normes de sécurité
Les défis :
Choix d’une topologie de pare-feu appropriée
Accès aux ressources pour les utilisateurs à distance
Surveillance et production de rapports efficaces
Besoin d’une inspection plus serrée des paquets
Conformité aux normes de sécurité
Avantages de ISA 2004Caractéristiques :Caractéristiques :
Sécurisé par défaut
Modèles des topologies courantes
Assistants de configuration
Création de règles personnalisées
Intégration du service Active Directory pour l’authentification
Filtrage multicouche et inspection plus serrée des paquets
Mise en cache évoluée
Journalisation et surveillance en temps réel
Mécanismes d’importation, d’exportation, de sauvegarde et de restauration
Prise en charge des grappes par l’Édition entreprise
Sécurisé par défaut
Modèles des topologies courantes
Assistants de configuration
Création de règles personnalisées
Intégration du service Active Directory pour l’authentification
Filtrage multicouche et inspection plus serrée des paquets
Mise en cache évoluée
Journalisation et surveillance en temps réel
Mécanismes d’importation, d’exportation, de sauvegarde et de restauration
Prise en charge des grappes par l’Édition entreprise
Recommandations pour ISA 2004
Espace disque durEspace disque dur
150 Mo
Windows 2000 Server ouWindows Server 2003
Windows 2000 Server ouWindows Server 2003
Mémoire viveMémoire vive
512 Mo
UCTUCT
500 MHz
Format disque durFormat disque dur
NTFSCarte réseau
externeCarte réseau
externeCarte réseau
interneCarte réseau
interne
Paramètres d’installation par défaut
La configuration par défaut de ISA Server bloque tout le trafic entre les réseaux reliés à ISA ServerLa configuration par défaut de ISA Server bloque tout le trafic entre les réseaux reliés à ISA Server
Seuls les membres du groupe d’administrateurs locaux ont des autorisations administratives.
Des réseaux par défaut sont créés.
Les règles d’accès comprennent des règles de stratégie système et des règles d’accès par défaut.
Aucun serveur n’est publié.
La mise en cache est désactivée.
Le partage d’installation de client pare-feu est accessible s’il est installé.
Seuls les membres du groupe d’administrateurs locaux ont des autorisations administratives.
Des réseaux par défaut sont créés.
Les règles d’accès comprennent des règles de stratégie système et des règles d’accès par défaut.
Aucun serveur n’est publié.
La mise en cache est désactivée.
Le partage d’installation de client pare-feu est accessible s’il est installé.
Méthodes éprouvées de conceptionPour déployer ISA Server afin d’offrir l’accès à Internet :Pour déployer ISA Server afin d’offrir l’accès à Internet :
Choisissez la topologie qui répond le mieux à vos besoins.
Planifiez la résolution de noms DNS.
Créez les éléments des règles d’accès nécessaires et configurez les règles d’accès.
Planifiez l’ordre des règles d’accès.
Mettez en oeuvre les mécanismes d’authentification appropriées.
Testez les règles d’accès avant le déploiement.
Déployez le client pare-feu en vue d’une sécurité et d’une fonctionnalité maximales.
Utilisez la journalisation de ISA Server pour régler les problèmes de connectivité Internet.
Choisissez la topologie qui répond le mieux à vos besoins.
Planifiez la résolution de noms DNS.
Créez les éléments des règles d’accès nécessaires et configurez les règles d’accès.
Planifiez l’ordre des règles d’accès.
Mettez en oeuvre les mécanismes d’authentification appropriées.
Testez les règles d’accès avant le déploiement.
Déployez le client pare-feu en vue d’une sécurité et d’une fonctionnalité maximales.
Utilisez la journalisation de ISA Server pour régler les problèmes de connectivité Internet.
Topologies courantes et modèles de configuration de ISA 2004
Modèle de carte réseau unique seulement pour le serveur mandataire et la mise en cacheModèle de carte réseau unique seulement pour le serveur mandataire et la mise en cache
Configuration dos à dosConfiguration dos à dos
Hôte bastionHôte bastion Configuration en trois partiesConfiguration en trois parties
Serveur Web Serveur Web
Réseau interneRéseau interne
Réseau interneRéseau interne
Réseau interneRéseau interne
Réseaupériphérique
Réseau périphérique
Modèle de pare-feu de périmètre
Modèle de pare-feu de périmètre
Modèle de pare-feu
avant ou de pare-feu arrière
Modèle de pare-feu
avant ou de pare-feu arrière
Modèle de pare-feuen trois parties
Modèle de pare-feuen trois parties
InternetInternet
Types d’éléments servant à créer les règles d’accès :ProtocolesUtilisateursTypes de contenusPlanificationsObjets de réseau
Types d’éléments servant à créer les règles d’accès :ProtocolesUtilisateursTypes de contenusPlanificationsObjets de réseau
Éléments des règles d’accès
action sur le trafic de l’utilisateur entre source et destination avec conditionsaction sur le trafic de l’utilisateur entre source et destination avec conditions
AutoriserRefuser
AutoriserRefuser
Réseau d’origineIP d’origineUtilisateur d’origine
Réseau d’origineIP d’origineUtilisateur d’origine
Réseau de destination IP de destinationSite de destination
Réseau de destination IP de destinationSite de destination
ProtocolePort IP / Type
ProtocolePort IP / Type
•Serveur publié•Site Web publié•Planification•Critères de filtrage
•Serveur publié•Site Web publié•Planification•Critères de filtrage
Tous les utilisateurs Utilisateurs authentifiés Utilisateur/groupe spécifique
Tous les utilisateurs Utilisateurs authentifiés Utilisateur/groupe spécifique
Filtrage multicouche
Filtrage de paquets :Filtrage de paquets :Filtre les paquets selon le contenu des en-têtes des couches réseau et transport Inspecte rapidement les paquets, mais ne détecte pas les attaques de haut niveau
Filtre les paquets selon le contenu des en-têtes des couches réseau et transport Inspecte rapidement les paquets, mais ne détecte pas les attaques de haut niveau
Filtrage dynamique de paquets :Filtrage dynamique de paquets :
Filtre les paquets selon l’information de la session TCPAccepte uniquement les paquets qui font partie d’une session valide, mais ne peut pas inspecter les données d’application
Filtre les paquets selon l’information de la session TCPAccepte uniquement les paquets qui font partie d’une session valide, mais ne peut pas inspecter les données d’application
Filtrage d’application :Filtrage d’application :Filtre les paquets selon les données d’application qu’ils transportent Peut empêcher les attaques malveillantes et faire respecter les politiques de l’utilisateur
Filtre les paquets selon les données d’application qu’ils transportent Peut empêcher les attaques malveillantes et faire respecter les politiques de l’utilisateur
Interface de ISA Server et modèle Interface de ISA Server et modèle de réseaude réseau
L’interfaceL’interfaceUtilisation d’un modèle de réseau pour Utilisation d’un modèle de réseau pour configurer ISA Server 2004 en pare-feu à configurer ISA Server 2004 en pare-feu à trois partiestrois partiesRèglesRègles
démonstrationdémonstration
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
Règles de publication de ISA Server
ISA Server comporte trois types de règles de publication :ISA Server comporte trois types de règles de publication :
Règles de publication de sites Web utilisant HTTP
Règles de publication de serveurs Web sécurisés exigeant le chiffrement SSL
Règles de publication de serveurs qui n’utilisent ni HTTP ni HTTPS
Règles de publication de sites Web utilisant HTTP
Règles de publication de serveurs Web sécurisés exigeant le chiffrement SSL
Règles de publication de serveurs qui n’utilisent ni HTTP ni HTTPS
Configuration des règles de Configuration des règles de publication d’un serveur Web publication d’un serveur Web sécurisésécurisé
Scénarios de publication courantsScénarios de publication courantsFonction d’importation et d’exportation Fonction d’importation et d’exportation des règlesdes règles
démonstrationdémonstration
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
Réseautage VPN avec ISA Server
ISA Server autorise l’accès aux réseaux VPN :ISA Server autorise l’accès aux réseaux VPN :
En incluant la connexion de clients VPN à distance pour des clients individuels et la connexion VPN de site à site pour relier de multiples sites
En activant des réseaux VPN spécifiques, notamment :
Réseau de clients VPN
Réseau de clients VPN mis en quarantaine
Réseau à distance
En utilisant les règles de réseau et d’accès pour limiter le trafic entre les réseaux VPN et les autres réseaux dont les serveurs exécutent ISA Server
En étendant la fonctionnalité RRAS
En incluant la connexion de clients VPN à distance pour des clients individuels et la connexion VPN de site à site pour relier de multiples sites
En activant des réseaux VPN spécifiques, notamment :
Réseau de clients VPN
Réseau de clients VPN mis en quarantaine
Réseau à distance
En utilisant les règles de réseau et d’accès pour limiter le trafic entre les réseaux VPN et les autres réseaux dont les serveurs exécutent ISA Server
En étendant la fonctionnalité RRAS
Activation des connexions de clients VPN
Pour activer des connexions de clients VPN :Pour activer des connexions de clients VPN :
Choisissez un protocole de tunnellisation.
Choisissez un protocole d’authentification.Utilisez MS-CHAP v2 ou EAP si possible
Activez la connexion de client VPN dans la console de gestion ISA Server.
Configurez les comptes d’utilisateur pour l’accès à distance.
Configurez les paramètres d’accès à distance.
Configurez les règles d’accès au pare-feu pour le réseau de clients VPN.
Choisissez un protocole de tunnellisation.
Choisissez un protocole d’authentification.Utilisez MS-CHAP v2 ou EAP si possible
Activez la connexion de client VPN dans la console de gestion ISA Server.
Configurez les comptes d’utilisateur pour l’accès à distance.
Configurez les paramètres d’accès à distance.
Configurez les règles d’accès au pare-feu pour le réseau de clients VPN.
Mise en oeuvre des connexions VPN de site à site
Pour activer les connexions VPN de site à site :Pour activer les connexions VPN de site à site :Choisissez un protocole de tunnellisation.
Configurez le réseau à distance.
Configurez les règles du réseau et les règles d’accès pour :
Ouvrir les communications entre les réseaux ouRégir les communications entre les réseaux
Configurez la passerelle VPN à distance.
Choisissez un protocole de tunnellisation.
Configurez le réseau à distance.
Configurez les règles du réseau et les règles d’accès pour :
Ouvrir les communications entre les réseaux ouRégir les communications entre les réseaux
Configurez la passerelle VPN à distance.
Mise en quarantaine d’un réseau
Serv. ISA
Serv. ISA
Serveur DNS
Serveur DNS
ServeurWeb
ServeurWeb
Contrôleurde domaineContrôleurde domaine
Serveur defichiers
Serveur defichiers
Script de mise en quarantaineScript de mise en quarantaine
Réseau clients VPN en quarantaine
Réseau de clients VPN
RQC.exeRQC.exe
Strat. d’accès à distance- réseaux
en quarantaine
Strat. d’accès à distance- réseaux
en quarantaine
Connectivité des réseaux VPNConnectivité des réseaux VPN
De site à siteDe site à siteUtilisateurs à distanceUtilisateurs à distanceMise en quarantaineMise en quarantaine
démonstrationdémonstration
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
Outils de surveillance de ISA 2004
• Tableau de bord – Vue centralisée récapitulative• Alertes – Tous les problèmes au même endroit• Sessions – Vue des sessions actives• Services – État des services ISA • Connectivité – Connectivité aux services réseau• Journalisation – Puissant outil de consultation des
journaux ISA• Rapports – Utilisateurs et sites les plus actifs, accès
à la mémoire cache…
Surveillance et production de Surveillance et production de rapportsrapports
Interfaces de production de rapportsInterfaces de production de rapportsSurveillance en temps réelSurveillance en temps réel
démonstrationdémonstration
Résumé
ISA Server 2004 est sécurisé par défaut, car il bloque tout le trafic — configurez les règles d’accès de façon à donner le moins possible de droits d’accès.
Utilisez le filtrage d’application pour répondre au contenu du trafic avant de l’acheminer à votre réseau.
Mettez en oeuvre des règles de publication ISA Server pour rendre les ressources internes accessibles grâce à la création de la règle InternetCustom.
Utilisez les règles d’accès pour limiter l’accès aux clients VPN à distance, aux clients VPN de site à site et aux clients de réseaux mis en quarantaine.
La surveillance et la production de rapports sont des éléments importants de tout réseau sécurisé.
ISA Server 2004 est sécurisé par défaut, car il bloque tout le trafic — configurez les règles d’accès de façon à donner le moins possible de droits d’accès.
Utilisez le filtrage d’application pour répondre au contenu du trafic avant de l’acheminer à votre réseau.
Mettez en oeuvre des règles de publication ISA Server pour rendre les ressources internes accessibles grâce à la création de la règle InternetCustom.
Utilisez les règles d’accès pour limiter l’accès aux clients VPN à distance, aux clients VPN de site à site et aux clients de réseaux mis en quarantaine.
La surveillance et la production de rapports sont des éléments importants de tout réseau sécurisé.
Pour plus d’information…
Microsoft TechNet
http://www.microsoft.ca/technet
Rick Claus
http://blogs.msdn.com/rclaus
Votre potentiel. Notre passion.MC