Internet Security and Acceleration Server _ISA Server_

Généralité sur la sécurité

I. Introduction



L'informatique et le réseau de télécommunication sont devenus des outils de travail

indispensables pour les tâches critiques de la vie professionnelle.



Nous devons en assurer le bon fonctionnement, si nous voulons garantir notre liberté de

communiquer. «Bon fonctionnement» signifie comme conditions (entre autres) :



1. la protection des systèmes et des données nominatives

2. fiabilité des logiciels et matériels,

3. performance et disponibilité du service. Rien de plus gênant et problématique que de

ne pas pouvoir utiliser un service quand il le faut bonne protection des informations

stockées et échangées,

o intégrité d'une part,

o confidentialité d'autre part,

4. bonne protection des accès aux systèmes,

o seules les personnes autorisées peuvent accéder,

5. réelle confiance dans l'identité des «correspondants» avec lesquels vous échanger des

informations:

o garantie d'authentification d'une part,

o et assurance de non «mascarade d'identité» d'autre part,



7. Surveillance des activités du réseau

- analyse des fichiers de traces etc.

- passage régulier d'outils de vérification d'intégrité des systèmes

- vérification régulière de la «solidité» des mots de passe,

- réflexion régulière sur la politique de sécurité



II. Les risques d’un réseau informatique d’entreprise

 destruction ou la corruption d'information

Ceci peut occasionner des pertes de temps considérables aux techniciens et ingénieurs

chargés de restaurer l'état initial des systèmes et bases de données.

De plus si les sauvegardes n'étaient pas régulièrement assurées, celà peut devenir

catastrophique.

 Deni de service (détérioration de la qualité du service).

L'informatique et du réseau sont devenus une pièce maîtresse pour le fonctionnement

de l'établissement, une qualité de service doit être garantie et maintenue. Ceci peut

entraîner une perte de confiance dans l'outil informatique et réseau.

 «vol» d'informations confidentielles.



Le travail scientifique doit être protégé, car l'espionnage industriel est bien une réalité.

Ceci peut nuire aux relations contractuelles entre équipes universitaires et le secteur

industriel, et ainsi, détériorer l'image de marque de l'établissement. Autre exemple ; on ne

peut pas imaginer la possibilité de falsifier des comptes financiers, ou d'avoir accès

librement à des fichiers de notes encore confidentiels.



 modifications de données d'importance capitale

Risque équivalent au premier ci-dessus, mais qu'il faut mentionner plus fortement car

il est plus pernicieux. Il concerne des modifications stratégiques mais non détectables

dans l'immédiat. Il y a une certaine gravité si ces modification ne sont découvertes que

trop tardivement (après plus d'une période de rotation des sauvegardes).

 «mascarade d'identité»

Cela peut porter un lourd préjudice à l'image de marque de votre établissement, quant

aux relations ultérieures avec vos partenaires

 Rebonds

Dans le cadre d'une attaque en règle, utilisation d'un système local à l'établissement

pour rebondir en cascade vers un autre site.

Vis à vis de ce dernier l'établissement est responsable, car le dernier dans la chaîne.

 Utilisation frauduleuse de ressources

Intrusion extérieure (ou intérieure) sur une machine sans autorisation et utilisation de

ressources réservées (calcul, espace disque, logiciels, ...).

Responsabilité de l'établissement en cas d'utilisation de logiciels piratés, de stockage

de contenus illicites, etc.



III. Les attaques d’un réseau local

Les attaques d’un réseau sont divers et variées.



 Les incidents matériel : les incendies, les coupures de courant électrique, les

surtensions, les mauvaises utilisations du matériel……. Peuvent endommager le

matériel ainsi que les informations stockées

 Mauvaise utilisation du matériel informatiques : changement des emplacements des

dossiers ou même leur suppression par d’autres utilisateurs ce qui perturbe le travail

 Accès physique : il s'agit d'un cas où l'attaquant à accès aux locaux, éventuellement

même aux machines :



- Ouverture du boîtier de l'ordinateur et vol de disque dur

- Ecoute du trafic sur le réseau

 Vole du mot de passe : tout utilisateur doit sécuriser son poste par un mot de passe

bien choisi difficile à deviner que se soit par les utilisateurs de son groupe qui utilisent

le même matériel) ou par les logiciels qui craquent les mots de passe, l’utilisateur doit

aussi changer son mot de passe de temps à autre, …



 Les virus, les vers d’Internet, les chevaux de Troie



Un virus est un morceau de programme informatique malicieux conçu et écrit pour qu’il

se reproduise. Cette capacité à se répliquer, peut toucher votre ordinateur, sans votre

permission et sans que vous le sachiez. En termes plus techniques, le virus classique

s’attachera à un des programmes exécutables et se copiera systématiquement sur tout autre

exécutable que vous lancez. Il n’y a pas de génération spontanée de virus informatiques. Ils

doivent avoir été écrits dans un but spécifique.



Un Cheval de Troie est un programme simulant de faire quelque chose, mais faisant tout

autre chose à la place. Leur nom vient du fameux Cheval de Troie de la Grêce antique, offert

en Cadeau, mais qui en fait avait pour but de causer la ruine et la destruction de la ville ayant

reçu ce cheval en bois. Un Cheval de Troie sur un ordinateur est un programme exécutable

indépendant, qui est présenté comme ayant une action précise. Néanmoins lorsque ce

programme est lancé, il va par exemple formater le disque dur, voler les mots de passe ou

envoyer des informations confidentielles au créateur via Internet.



Un Ver est un programme indépendant, qui se copie d’ordinateur en ordinateur. La

différence entre un ver et un virus est que le ver ne peut pas se greffer à un autre programme et

donc l’infecter, il va simplement se copier via un réseau ou Internet, d’ordinateur en ordinateur.

Ce type de réplication peut donc non seulement affecter un ordinateur, mais aussi dégrader les

performances du réseau dans une entreprise. Comme un virus ce ver peut contenir une

actionnuisible du type destruction de données ou envoi d’informations confidentielles









Schéma de quelques dangers pour un réseau informatique





IV. Une solution de sécurité

La solution de sécurité choisie doit donc être complète pour la zone d'équilibre choisie. La

sécurité doit être assurée vis à vis de l'extérieur de l'entreprise, mais également vis à Vis de

L’intérieur de l'entreprise. La majorité des problèmes trouvent leur origine à L’intérieur de

l'entreprise. Et même les attaques externes viennent des personnes qui sont de l’intérieur c'est-

à-dire ceux qui ont une relation avec l’entreprise.



Voici quelques propositions pour sécuriser un réseau informatique.



 cryptage, signature électronique et certificats

 Authentification, mots de passe et Autorisation



 Les copies de sauvegarde

 firewall,

 fichiers historiques

 réseaux privés virtuels (VPN)

1. cryptage, signature électronique et certificats

L'utilisation des techniques d'encryption, de signature électronique et des certificats sont la

base d'un commerce électronique sécurisé:

Cryptage: elle consiste à transformer les informations électroniques au moyen d'un

Algorithme mathématique afin de les rendre inintelligibles, sauf pour celui qui possède le

moyen (une clé) de les décoder. Le cryptage des informations qui transitent par le réseau est

utilisé pour assurer la confidentialité, l'intégrité et l'authenticité des transactions et du courrier

électronique. A titre d'exemple, le logiciel de cryptage gratuit Pretty Good Privacy (PGP) est

très largement employé pour protéger le courrier électronique;



La signature électronique: c'est un code digital (une réduction du document

électronique à envoyer) qui, associé aux techniques d'encryption, garantit l'identité de la

personne qui émet le message et assure la non répudiation et l'intégrité de l'envoi;



Le certificat: document électronique (carte d'identité) émis par une autorité de

Certification. Il valide l'identité des interlocuteurs d'une transaction électronique, associe une

identité à une clé publique d'encryption et fournit des informations de gestion

Complémentaires sur le certificat et le détenteur.



2. L'authentification, mot de passe et l'autorisation

Une personne peut être authentifiée par la combinaison d'une identification et d'un mot de

passe. Le mot de passe doit posséder certaines caractéristiques: non Trivial, difficile à

deviner, régulièrement modifié, secret, etc. Des outils logiciel ou hardware de Génération de

mots de passe existent.

L'authentification précède généralement l'autorisation. L'autorisation définit les ressources,

services et informations que la personne identifiée peut utiliser et dans quelle mesure (par

exemple consulter ou mettre à jour des données).

Les techniques d'encryption et de certificats utilisés conjointement à celle des mots de passe

ajoutent un très haut degré de sécurité dans le domaine de l'authentification des utilisateurs.



3. Le Firewall

Le Firewall est un ensemble informatique du réseau d'entreprise comprenant du matériel

hardware (un ou des routeurs, un ou des serveurs) et des logiciels (à paramétrer ou à

développer). Son objectif est de protéger le réseau interne contre les accès et actions non

autorisés en provenance de l'extérieur, en contrôlant le trafic entrant. Le firewall peut

également contrôler le trafic sortant. Le firewall est localisé entre le réseau externe et le

réseau interne. Pour être efficace, le firewall doit être le seul point d'entrée-sortie du réseau

interne (pas de modem sur un serveur ou pc pour accéder à l'extérieur sans passer par le

firewall) et surtout doit être



correctement configuré et géré en fonction des objectifs spécifiques de sécurité. Sans ces

précautions, un firewall ne remplit pas son rôle et est complètement inutile.

Le firewall est un élément de la sécurité, il ne couvre pas tous les risques (par exemple

le firewall n'assure pas la confidentialité des informations, n'authentifie pas l'origine des

Informations, ne vérifie pas l'intégrité des informations, ne protège pas contre les attaques

internes).



Il existe plusieurs types de techniques de firewall:

• La technique de filtrage des paquets: chaque paquet d'information entrant ou sortant est

accepté ou rejeté selon des règles établies par l'utilisateur;

• La technique des serveurs proxy qui empêchent l'extérieur de connaître les adresses

internes du réseau d'entreprise;

• La technique des passerelles qui fournissent des systèmes de sécurité pour établir des

connexions TCP/IP entre l'extérieur et l'intérieur ou pour certains services comme FTP et

Telnet.



4. Les copies de sauvegarde

Les copies de sauvegarde (back up) créées régulièrement et stockées dans des endroits

sécurisés permettent de protéger les informations essentielles pour l'entreprise et permettent

également de redémarrer rapidement en cas de problème.



5. Réseau Privé Virtuel

Le VPN (Virtual Private Network) est un service disponible chez les fournisseurs de services

Internet (ISP) qui permet d'établir des connexions sécurisées privées (un réseau privé) sur un

réseau public comme l'Internet. Le VPN est réalisé avec les techniques d'encryption et

d'authentification, en assurant la qualité de services requise. Le VPN permet l'économie de

connexions directes coûteuses entre les différentes implantations de l'entreprise, l'accès

Internet lui servant à la fois pour la consultation classique de sites web et pour son réseau

privé.





IV - Quel est le coût de la sécurité

Il faut évaluer le risque d'un incident, c'est-à-dire les coûts tangibles des ressources utilisées

pour revenir à un état normal

(Par exemple reconstruire un fichier) ainsi que les coûts intangibles (par exemple la perte de

clientèle).

Se protéger de tout est impossible et exigerait un coût extrêmement élevé. Le coût d'une

Protection à 99% (100 % est impossible) dépasserait probablement le coût des éléments à

protéger.

Chaque entreprise doit donc définir les solutions à adopter en fonction:

• Des éléments à protéger et contre qui,

• De la valeur de ces éléments ou de leur reconstruction,

• De la probabilité d'occurrence,

• Des coûts de protection ou de non protection associés.

Schéma montrant l’équilibre entre un risque de sécurité et le coût





Les Firewalls

I - Définition du Firewall

Un firewall "pare-feu" est un ordinateur (matériel) et/ou un programme (logiciel) qui

filtre ce qui passe d'un réseau à un autre.



On s'en sert pour sécuriser les réseaux et les ordinateurs, c'est-à-dire contrôler les accès

et bloquer ce qui est interdit.



Souvent, on utilise un firewall pour protéger un réseau local du réseau Internet,Typiquement,

il va:



 autoriser les ordinateurs du réseau local à se connecter à internet.

 bloquer les tentatives de connexion d'Internet vers les ordinateurs du réseau local.









II - Fonctionnement du firewall

Contrôler toutes les données entrantes et sortantes de l'ordinateur : telle est la mission

principale d'un pare-feu. L'outil constitue une sorte de barrière-filtre entre le "monde

extérieur" (Internet, plus précisément) et les données provenant de l'ordinateur. Il surveille,

autorise ou bloque les données en fonction de leur nature, leurs destinataires/émetteurs ou leur

domaine d'application. Mais pourquoi avoir besoin d'un "surveillant" supplémentaire alors

qu'un antivirus effectue déjà des contrôles ? Tout simplement parce que les menaces Internet

ne se limitent pas aux virus, vers et logiciels espions : elles se présentent aussi sous la forme

de multiples tentatives d'intrusion comme l'exploitation des failles logicielles ou l'accès à des

services qui ne devraient normalement pas être partagés.

Rappelons qu'un ordinateur utilise des ports pour communiquer : par exemple, le port 80

est utilisé pour afficher des pages web,20 pour FTP…..En fait Il y a 65536 ports, soit autant

de portes d'entrée dans votre ordinateur qu'un firewall doit protéger !



Un pare-feu peut vous permettre de "fermer" les ports et de cette manière, vous rendre

invulnérable (ou presque). Il peut aussi restreindre le trafic sortant et applique des restrictions

au trafic entrant.



Protéger son ordinateur est nécessaire. En effet, les pirates cherchent non seulement à

dérober vos données, mais aussi à voler vos mots de passe, usurper votre identité et causer des

dommages à d'autres ordinateurs ou sites Web à partir de votre PC.



Le pirate peut également installer des logiciels pirates sur votre PC et en faire la distribution à ses

"confrères" qui viendront se servir chez vous, sur votre ordinateur.









III - Les types de Firewall

 Le pare-feu matériel : Il est destiné aux entreprises.



 Le pare-feu logiciel et personnel : il est simple d'utilisation. C'est un logiciel

qui contrôle les données entrantes et sortantes. Sachez que Windows XP

dispose d'un pare-feu. Nous verrons plus bas comment l'activer. Un firewall

logiciel coûte relativement peu cher.



1. Firewall matériel

On entend parfois parler de Firewalls matériels. Ils sont sous la forme de boîtiers compacts.

En réalité, se sont de simples ordinateurs possédant leur propre système d'exploitation et leur

propre logiciel firewall. Mais ils n'ont rien de différent d'un simple firewall installé sur un

ordinateur.

Le seul avantage des Firewalls "matériels" est qu'ils sont moins encombrants qu'un ordinateur.

Mais ils coûtent généralement cher.









Quelques Firewalls "matériels"



Avantage



pas d'installation sur le pc, ne prend pas d’espace , il est installé avant le pc, donc travaille

plus efficacement en amont..., souvent avec un routeur, il gère plusieurs PCs en même

temps....

remarque: aujourd'hui tous les routeurs sont équipés de pare feu !



Fabrication d’un Firewall matériel :



A partir d’un vieux PC, on peut très bien le transformer en firewall avec quelques

logiciels gratuit !Par exemple, il existe des disquettes ou CD comme CoyoteLinux ou

Smoothwall… qui transforment n'importe quel vieux PC en firewall digne de ce nom.C'est un

moyen de se faire un firewall fiable au meilleur prix.



2. Firewall personnels

Les Firewalls dits "personnels" Sont destinés aux particuliers qui n'ont pas les moyens

d'acheter un ordinateur séparé uniquement pour faire un firewall.Au lieu d'être une

machine séparée, le firewall personnel est un logiciel qui fonctionne directement sur

l'ordinateur à protéger.



Activation du pare-feu personnel sous Windows XP :

Pour activer et protéger votre connexion, faites ceci :





Cliquez sur démarrer, puis sur panneau de configuration. Double cliquez ensuite sur

connexions réseau. Cliquer sur modifier les paramètres du pare-feu Windows

Dans l’anglet générale cliquer sur : activer recommander



Complétez la configuration dans les deux anglets exception et avancé

Utilisez l'onglet Avancé pour désactiver le pare-feu Windows pour une ou plusieurs

connexions spécifiques, le Centre de sécurité Windows signalera que le pare-feu est désactivé,

bien qu'il soit

Toujours activé pour les autres connexions. En outre, sous l'onglet Général, le pare-feu

Windows sera toujours activé



. Fonctionnement du Firewall personnel

Le firewall personnel va se placer entre les logiciels et le réseau, et intercepter tout ce qui

passe, aussi bien en entrée qu'en sortie.









Exemple

Ainsi le firewall personnel va intercepter la tentative de connexion au logiciel de chat (port

2074). Si le firewall possède une règle qui interdit cela, la connexion sera rejetée, et le logiciel

de chat ne verra même pas la tentative de connexion.



En établissant vos propres règles, vous pourrez décider quels logiciels pourront se connecter

sur Internet ou recevoir des connexions, …



Ainsi, même si vous n'arrivez pas à fermer certains ports, vous pourrez établir des règles pour

interdire les connexions sur ces ports. Mais il vaut bien mieux fermer les logiciels qui ouvrent

ces ports. C'est plus sûr que de bloquer les connexions vers ces ports.

Et pour établir la liste de règles de votre firewall, il y a une règle à suivre: Tout est interdit,

sauf ce qui est strictement nécessaire.



La plupart des Firewalls personnels ont un mode "apprentissage" où ils vous affichent des

messages d'alerte et vous demandent quoi faire. Cela permet d'établir progressivement un

ensemble de règles pour vos logiciels courants. (Vous donnez des autorisations à vos logiciels

au cas par cas, et le firewall s'en souvient.) Quelques exemples:



Votre navigateur pourra se connecter où il veut sur les ports 80 (HTTP) et 443 (HTTPS).



Votre logiciel d'email ne doit se connecter que sur le serveur de mail de votre fournisseur

d'accès (par exemple: smtp.free.fr sur le port 25 et pop.free.fr sur le port 110). Tout le reste lui

est interdit.



Votre antivirus peut se connecter uniquement au site de l'éditeur pour se mettre à jour.



Votre logiciel de FTP peut se connecter où il veut, mais uniquement sur le port 21. Il peut

recevoir des connexions sur le port 20.



Comment savoir quels ports sont ouverts sur un ordinateur ?

Ouvrez une fenêtre MS-Dos (ou un terminal Unix) et tapez la commande: netstat –a



Vous verrez la liste des ports ouverts. Les ports ouverts en mode serveur (en écoute) sont

notés "LISTENING"

VI - Quelleques Précautions à prendre :

Le pare-feu ne dispense pas quelques règles simples :



- Si vous disposez d'une connexion haut débit, pensez à vous déconnecter dès que vous n'avez

plus besoin d'être connecté. Le temps de connexion long favorise les attaques.



- Vérifiez les éventuelles mises à jour logicielles de votre pare-feu (et de votre système

d'exploitation).



- de ne pas lancer n'importe quel logiciel sur votre ordinateur,



- de bien choisir quel logiciel utiliser pour une tâche donnée,



- de bien configurer ce logiciel,



- de fermer tous les logiciels dont vous n'avez pas besoin,



- Ne pensez pas que votre ordinateur est protégé à 100% parce que vous avez un firewall

fiable et bien configuré.



Certains chevaux de Troie sont capables de désactiver les Firewalls personnels, ou même se

faire passer pour votre navigateur pour aller sur Internet sans que le firewall ne s'en aperçoive.

Il est donc indispensable de multiplier les protections en installant un anti-virus efficace en

plus du Firewall.



Même avec un firewall "matériel", il est possible de tunneller du traffic TCP/IP chiffré dans

de simples requêtes HTTP. Pour parler plus simplement, ça permet de percer des trous

gigantesques dans le plus blindé des Firewalls.

Internet Security and Acceleration Server

(ISA Server)

I - Introduction

ISA signifie Internet and Security Acceleration. C'est un serveur développé par

Microsoft qui joue le rôle de pare-feu et de serveur de proxy. Il est disponible en plusieurs

versions.

• ISA Server 2006 Standard Edition

• ISA Server 2006 Enterprise Edition

• ISA Server 2004 Standard Edition

• ISA Server 2004 Enterprise Edition

• ISA Server 2000 Standard Edition

• ISA Server 2000 Enterprise Edition



II - ISA sevrer 2000

A - définition

Microsoft Internet Security and Acceleration Server (ISA Server) 2000 est un serveur

pare-feu d’entreprise et de cache extensible pour le Web, compatible avec le système

d’exploitation Microsoft Windows® 2000, offrant des fonctions de sécurité par stratégies,

d’accélération et de gestion des interconnexions de réseaux



Microsoft Internet Security and Acceleration Server (ISA Server) 2000 a été conçu

pour résoudre l’opposition entre la sécurité réseau et la vitesse d’accès. ISA Server intègre un

pare-feu d’entreprise multicouche pour fournir une sécurité à l’échelle planétaire et un cache

pour le Web très performant et évolutif pour accélérer la performance réseau. ISA Server

2000 est disponible en deux éditions :



ISA Server Standard Edition, est un serveur autonome pouvant prendre en charge

quatre processeurs au maximum.



ISA Server Entreprise Edition, est conçu pour les déploiements à large échelle,

prenant en charge des groupes de serveurs, des stratégies multi-niveaux et des ordinateurs

avec un nombre illimité de processeurs.



Déférences entre les deux éditions



Les caractéristiques de sécurité, de cache, de gestion et de performances sont

identiques pour les deux éditions. Ainsi que les capacités d’extension d’ISA server. L’édition

standard est cependant limitée à un serveur autonome. Une stratégie locale et quatre

processeurs au maximum. Alors que l’édition entreprise prend en charge les grappes de

serveur avec une gestion centralisée. les stratégies d’entreprise et de grappes et les matériel et

les matériels sans aucune limitation.









B - Rôles du serveur ISA 2000



Le pare-feu assure le filtrage au niveau des couches de paquets, de circuits et d’applications ;

l’examen des états pour examiner les données traversant le pare-feu ; le contrôle de la

stratégie

d’accès et le routage du trafic. Le cache améliore la performance du réseau et l’expérience de

l’utilisateur final en stockant le contenu du Web fréquemment demandé. Les services de pare-

feu et de cache peuvent être déployés séparément sur des serveurs dédiés ou intégrés sur un

même ordinateur.



Les outils de gestion sophistiqués simplifient la définition des stratégies, le routage du

trafic, la publication serveur et l’analyse. ISA Server s’appuie sur la sécurité, l’annuaire, la

connexion réseau privée virtuelle (VPN) et le contrôle de la bande passante de

Windows 2000. Qu’il soit déployé comme serveurs pare-feu et de cache séparés ou en mode

intégré, ISA Server est utilisé pour accroître la sécurité du réseau, mettre en œuvre une

stratégie cohérente pour l’utilisation d’Internet, accélérer l’accès à Internet et optimiser la

productivité des employés dans les entreprises de toutes tailles.



ISA comme tout pare-feu empêche des utilisateurs non autorisés d’accéder à votre

réseau interne en examinant les données entrantes et en bloquant le trafic qui n’est pas

explicitement approuvé. Ils contrôlent également l’accès des utilisateurs internes à Internet en

vous permettant de définir et de mettre en œuvre des stratégies d’utilisation.



C - Le Pare-feu ISA et la sécurité

En utilisant ISA Server comme pare-feu, il offre, entre autres, des fonctionnalités et des

technologies suivantes :



1 – sécurité d’un pare-feu multicouches.

2 - examen des états.

3 - prise en charge des étendues d’application.

4 - réseau privé virtuel intégré.

5 - détection d’intrusions.

6 - filtrage d’application POP et DNS.

7 - filtrage d’applications intelligentes.

8- authentification avancée.

9 - publication sécurisée.

10- filtrage du contenue de la messagerie électronique .



1) - Sécurité par un pare-feu multicouche

Le service de pare-feu ISA Server offre une communication Internet sécurisée en

empêchant les accès au réseau non autorisés. ISA Server fonctionne au niveau des couches de

paquets On peut facilement ajouter Sécurité par pare-feu multicouche Un pare-feu peut

accroître la sécurité par divers procédés, notamment les filtres de paquets, les filtres au niveau

des circuits et les filtres d’applications. Les pare-feu d’entreprise avancés, comme ceux qui

sont offerts par ISA Server, combinent ces trois types de filtre dans le but d’assurer une

protection aux niveaux des diverses couches réseau.







a - Filtres au niveau des circuits



Au niveau des circuits, le service ISA Server Firewall peut fonctionner avec toutes les

applications et tous les protocoles Internet, comme Telnet, mail, news, les technologies de

Microsoft Windows Media™ , RealAudio et Internet Relay Chat (IRC), ainsi que d’autres

applications client. Le service Firewall (Pare-feu) permet à ces applications de s’exécuter

comme si elles étaient directement connectées à Internet. Les filtres au niveau des circuits

sont proposés à la fois pour le pare-feu et les clients SecureNAT.

Les filtres au niveau des circuits assurent le support de pratiquement toutes les

applications Internet standard et personnalisées qui sont installées sur la plate-forme

Windows. Ces applications communiquent sur le réseau à l’aide de Winsock et peuvent être

prises en charge, sans modification, sur des machines client sur lesquelles est installé le

logiciel client Firewall.



b - Filtres de paquets

La fonction Filtres de paquets d’ISA Server permet à l’administrateur de contrôler le

flux des paquets IP (Internet Protocol) vers et depuis ISA Server. Lorsque la fonction Filtres

de paquets est activée, tous les paquets présents sur l’interface externe sont éliminés sauf s’ils

sont explicitement autorisés, soit statiquement par les filtres de paquets IP, soit

dynamiquement par la stratégie d’accès ou les règles de publication.

Les filtres de paquets IP interceptent et évaluent les paquets avant de les transmettre

aux niveaux supérieurs du moteur de pare-feu ou à un filtre d’application. Les filtres de

paquets IP peuvent être configurés de sorte que seuls les paquets spécifiés soient transmis via

ISA Server. Cette procédure procure au réseau un niveau de sécurité supérieur. Les filtres de

paquets IP peuvent bloquer des paquets émanant d’hôtes Internet spécifiques et peuvent

rejeter des paquets associés à de nombreuses attaques courantes. Ils peuvent également

bloquer des paquets destinés à un service d’un réseau interne, y compris le serveur Proxy

Internet, un serveur Web, un serveur SMTP et d’autres.



Les filtres de paquets IP étant statiques, la communication via un port donné est toujours soit

autorisée soit bloquée. Autoriser les filtres autorise la circulation, sans condition, vers le port

spécifié. Bloquer les filtres empêche toujours les paquets de passer par l’ordinateur ISA

Server.



ISA Server prend en charge les filtres de paquets dynamiques, n’ouvrant les ports

automatiquement que sous les conditions requises pour les communications, et ne les fermant

que lorsque la communication est terminée. Cette approche réduit le nombre de ports exposés

dans les deux sens de la communication et confère une sécurité de haut niveau à un réseau.



ISA Server prend en charge les filtres de paquets IP entrants et sortants. Le procédé de

filtres de paquets d’ISA Server permet aussi le blocage de fragments de paquets et la détection

d’attaques au niveau des paquets contre le pare-feu.

C - Filtres au niveau d’applications



Le niveau le plus sophistiqué de l’inspection du trafic procuré par le pare-feu d’ISA

Server concerne la sécurité au niveau de l’application. Les filtres d’applications

« intelligents » analysent un flux de données d’une application donnée et assurent le

traitement spécifique à l’application, à savoir l’inspection, le filtrage (screening) ou le

blocage, la redirection voire la modification des données lorsqu’elles traversent le pare-feu.

Ce mécanisme protège contre les







tentatives connues comme les commandes SMTP non sécurisées ou les attaques sur les

serveurs DNS internes (Domain Name System). Les outils des tierces parties pour le filtrage

de contenus, dont la détection de virus, l’analyse lexicale et la classification par catégorie de

sites, utilisent aussi des filtres Web et d’applications pour étendre la sécurité du pare-feu



D’autres protocoles en définissant simplement le port (et la plage de ports secondaires

dans certains cas), le type (TCP ou UDP) et la direction (entrant ou sortant). Pour des

protocoles plus complexes ou pour un traitement plus sophistiqué des informations des

couches d’applications, des filtres d’applications peuvent être ajoutés.



2) Examen des états

Au niveau des paquets, ISA Server inspecte la source et la destination du trafic

indiquées dans l’en-tête IP et le port dans l’en-tête TCP ou UDP permettant d’identifier le

service ou l’application du réseau utilisé.



Les filtres de paquets dynamiques autorisent l’ouverture d’un port uniquement en

réponse à la demande d’un utilisateur et uniquement pendant la durée nécessaire à la

satisfaction de cette requête, réduisant ainsi la vulnérabilité associée aux ports ouverts.

ISA Server peut déterminer dynamiquement les paquets qui peuvent traverser le circuit du

réseau interne et les services des couches d’applications. Grâce à cette fonctionnalité,

ISA Server peut déterminer l’état d’une session donnée. Vous pouvez configurer les règles de

la stratégie d’accès qui ouvrent automatiquement les ports uniquement sous les conditions

autorisées, puis les ferment lorsque la communication est terminée. Ce processus est

également appelé filtrage de paquets IP dynamique. Cette approche réduit le nombre de ports

exposés dans les deux sens de la communication et confère une sécurité sans problèmes et de

haut niveau à votre réseau. Pour de nombreux protocoles d’applications, tels que la diffusion

multimédia par flux, le filtrage de paquets IP dynamique constitue la méthode la plus sûre

pour traiter dynamiquement des ports alloués.



3) Prise en charge étendue d’applications

ISA Server fonctionne de manière transparente avec des dizaines d’applications

Internet majeures en utilisant des protocoles prédéfinis et des filtres d’applications.

ISA Server prédéfinit environ 100 protocoles d’applications et permet à l’administrateur de

définir des protocoles supplémentaires en fonction du numéro de port, du type (TCP ou UDP)

et de la direction. Les protocoles avec des connexions secondaires sont pris en charge par le

biais du logiciel client pare-feu. De plus, seul un filtre d’application correspondant prend en

charge les clients SecureNAT pour les protocoles avec des connexions multiples. ISA Server

inclut des filtres d’applications pour les protocoles d’applications les plus importants, y

compris HTTP, FTP, SMTP et la diffusion multimédia par flux.



4) Réseau privé virtuel intégré

ISA Server vous aide à configurer et à sécuriser un réseau privé virtuel (VPN) sécurisé

en intégrant la fonctionnalité VPN robuste et puissante de Windows 2000 Server. Un VPN est

une extension d’un réseau privé qui regroupe des liens de réseaux partagés ou publics comme

Internet. Un VPN vous permet d’envoyer des données entre deux ordinateurs sur un intranet

partagé ou public en émulant les propriétés d’un lien privé « point à point ». ISA Server peut

être







configuré comme un serveur VPN pour prendre en charge les communications de type

« passerelle vers passerelle » sécurisées ou les communications à accès distant de type « client

vers passerelle » sur Internet. Le VPN intégrant les normes de Windows 2000 prend en charge

les protocoles PPTP (Point-to-Point Tunneling Protocol) et L2TP/IPSec (Layer 2 Tunneling

Protocol/Internet Protocol Security).



5) Détection d’intrusion intégrée

ISA Server vous aide à identifier et à répondre à des attaques du réseau communes telles

que le balayage de ports, WinNuke et Ping of Death. Basé sur la technologie sous licence ISS

(Internet Security Systems), ISA Server comprend un mécanisme de détection d’intrusion

intégrée qui identifie les tentatives d’attaques contre votre réseau. L’administrateur du pare-

feu peut définir le déclenchement d’alarmes lorsqu’une intrusion est détectée. L’alarme

spécifie aussi l’action que le système doit entreprendre lorsque l’attaque est reconnue, telle

que l’envoi d’un message électronique ou d’une page à l’administrateur, l’arrêt du service de

pare-feu, la consignation dans le journal des événements du système ou l’exécution de

programmes ou de scripts.



ISA Server met en œuvre la détection d’intrusion à la fois au niveau des filtres de paquets

et au niveau des filtres d’applications. Dans le filtre de paquets, ISA Server reconnaît et

bloque les attaques suivantes :



 Windows out-of-band (WinNuke)

 Land

 Ping of Death

 IP half scan

 UDP bomb

 Port scan



6) Filtres d’applications POP et DNS



 ISA Server comprend également les filtres d’applications POP (Post Office Protocol)

et DNS (Domain Name Service) qui analysent le trafic entrant pour éviter toute intrusion

spécifique éventuelle dans les serveurs correspondants. Le filtre de détection

d’intrusion DNS intercepte et analyse le trafic DNS destiné au réseau interne. Le filtre de

détection d’intrusion POP intercepte et analyse le trafic POP destiné au réseau interne.

L’administrateur peut configurer les filtres pour vérifier les tentatives d’intrusion

suivantes :

 dépassement de capacité du nom de l’hôte DNS ;

 dépassement de capacité de la taille de DNS ;

 transfert de zone DNS de ports privilégiés (1-1 024) ;

 transfert de zone DNS de ports élevés (supérieurs à 1 024) ;

 dépassement de capacité de la mémoire tampon POP.

 L’administrateur du pare-feu peut définir le déclenchement d’alarmes lorsqu’une intrusion

est détectée. L’alarme spécifie aussi l’action que doit entreprendre le système lorsque

l’attaque est reconnue. Il peut s’agir de l’envoi d’un message électronique ou d’une page à

l’administrateur, de l’arrêt du service de pare-feu, de la consignation dans le journal des

événements du système ou de l’exécution de programmes ou de scripts.







7) Filtres d’applications intelligents

 ISA Server contient des filtres d’applications intelligents qui analysent et contrôlent le

trafic spécifique aux applications en inspectant les données actuelles. Le filtrage

intelligent intégré de nombreux types de données (y compris les protocoles HTTP, FTP,

messagerie électronique SMTP, conférence H.323, diffusion multimédia par flux, RPC,

etc.) constitue l’option la plus robuste qu’il soit.

 Les filtres d’applications ISA Server vont plus loin que les filtres de paquets de la plupart

des pare-feu. Tandis que les filtres de paquets examinent la source, la destination et le type

de trafic, les filtres d’applications apportent un niveau de sécurité plus sophistiqué en

inspectant le contenu actuel du trafic traversant le pare-feu. Un filtre d’application peut

analyser, bloquer, rediriger et même modifier le flux actuel des données, et ce en

connaissant les spécificités du protocole de l’application et des structures de données.

Cette fonctionnalité permet aux filtres d’applications de réaliser des tâches spécifiques à

des applications telles que l’accès transparent à des connexions secondaires, des

améliorations de sécurité telles que le blocage potentiel de commandes nuisibles ou des

tâches de contenu telles que la détection de virus.

 ISA Server comprend les filtres d’applications intégrés suivants :



 Filtre HTTP. Le filtre HTTP transfère les requêtes HTTP du pare-feu vers le service

proxy Web, permettant une mise en cache transparente pour les clients dont le

navigateur n’est pas configuré pour se diriger vers le proxy Web.



 Filtre FTP. Le filtre FTP intercepte et vérifie les données FTP (File Transfer

Protocol). Une Data Pump en mode Kernel permet un transfert de données très

performant pour le trafic approuvé. Le filtre permet également le filtrage en option de

requêtes d’écriture, offrant ainsi un accès FTP en lecture seule.



 Filtre SMTP. Le filtre SMTP intercepte et vérifie le trafic de messagerie

électronique SMTP, protégeant les serveurs de messagerie d’attaques et d’abus

éventuels. Le filtre reconnaît les commandes dangereuses et peut filtrer les courriers

électroniques en fonction de leur taille ou de leur contenu, refusant les courriers non

approuvés avant qu’ils n’atteignent le serveur de messagerie.

 Filtre SOCKS. Le filtre SOCKS prend en charge la norme SOCKS 4.3a et route de

manière transparente le trafic client des applications « SOCKSified » par le biais du

service de pare-feu.



 Filtre RPC. Le filtre RPC permet un filtrage sophistiqué des requêtes RPC (Remote

Procedure Call) en fonction d’interfaces spécifiques. L’administrateur peut choisir les

interfaces RPC à exposer.



 Filtre H.323. Le filtre H.323 dirige les paquets H.323 utilisés dans les

communications multimédias et les téléconférences. Il permet de contrôler les appels,

y compris le traitement des appels entrants et la connexion vers un opérateur de

contrôle H.323 spécifique.



 Filtre de diffusion multimédia par flux. Le filtre de diffusion multimédia par

flux prend en charge les protocoles multimédias standard de l’industrie, y compris les







technologies Windows Media , RealAudio/RealVideo (PNM) et RTSP (utilisé par

RealNetworks et Apple QuickTime). Il offre également la possibilité de fractionner des

fluxWindows Media en direct pour les partager entre des clients en interne qui requièrent

le même flux, économisant ainsi la bande passante.



 Filtres de détection d’intrusion POP et DNS. Ces deux filtres reconnaissent et

bloquent les attaques contre les serveurs internes, y compris le dépassement de

capacité du nom de l’hôte DNS, le transfert de zone DNS et le dépassement de

capacité de la mémoire tampon POP.



8) Authentification avancée

Vous pouvez mettre en œuvre une forte stratégie d’authentification des utilisateurs

pour les clients pare-feu avec l’authentification Windows intégrée (Kerberos ou NTLM) en

utilisant le logiciel client pare-feu optionnel. Vous pouvez configurer la stratégie d’accès et

les règles de publication ISA Server pour autoriser ou refuser l’accès à des serveurs

spécifiques pour un ensemble d’ordinateurs (ensembles d’adresses de clients) ou un groupe

d’utilisateurs. Si la règle s’applique spécifiquement aux utilisateurs, ISA Server vérifie

ensuite les propriétés de la requête Web pour déterminer la manière dont l’utilisateur devrait

être authentifié.



Vous pouvez configurer ISA Server pour qu’il authentifie les utilisateurs. En d’autres

termes, vous pouvez configurer les paramètres des requêtes Web entrantes et sortantes de telle

sorte que les utilisateurs soient toujours authentifiés avant de traiter les règles. Cette méthode

garantit que les requêtes sont uniquement autorisées si l’utilisateur émetteur de la requête est

authentifié. Vous pouvez aussi choisir la méthode d’authentification à utiliser. Vous pouvez

configurer différentes méthodes d’authentification pour les requêtes Web entrantes et les

requêtes Web sortantes.



ISA Server prend en charge les méthodes d’authentification suivantes pour le service

proxy Web :

 Authentification de base (texte simple)



 Authentification abrégée (dans le domaine Windows 2000)



 Authentification Windows intégrée (NTLM et Kerberos)



 Certificats de clients (pour les requêtes entrantes) et certificats de serveurs (pour les

serveurs publiés)



 ISA Server prend en charge l’authentification relais NTLM, la possibilité de passer les

informations d’authentification d’un client au serveur de destination pour les requêtes

Web sortantes et entrantes.



9) Publication sécurisée

ISA Server vous permet de protéger les serveurs Web, les serveurs de messagerie

électronique et les applications de commerce électronique publiées derrière le pare-feu contre

les attaques externes en autorisant uniquement le trafic autorisé. Cela signifie que vous

pouvez publier des services sur Internet sans compromettre la sécurité de votre réseau interne.

Vous







pouvez également utiliser ISA Server pour publier des serveurs internes, en les mettant à

disposition de clients Internet sans menacer la sécurité de votre réseau.



Par exemple, vous pouvez placer votre serveur Microsoft Exchange derrière

l’ordinateur ISA Server et créer des règles de publication serveur qui autorisent la publication

du serveur de messagerie électronique sur Internet. Les courriers électroniques entrant au

niveau du serveur Exchange sont interceptés par l’ordinateur ISA Server qui a l’apparence

d’un serveur de messagerie électronique pour les clients. ISA Server peut filtrer le trafic et le

transférer vers le serveur Exchange. Votre serveur Exchange n’est donc jamais exposé

directement aux utilisateurs externes et repose dans un environnement sûr, maintenant l’accès

vers d’autres services réseau internes.









La figure illustre la manière dont vous pouvez utiliser ISA Server d’une façon

similaire pour publier en toute sécurité des serveurs Web. Lorsqu’un client sur Internet

requiert un objet d’un serveur Web, la requête est en fait envoyée vers une adresse IP sur

l’ordinateur ISA Server. Les règles de publication Web configurées sur l’ordinateur

ISA Server transfèrent la requête de manière appropriée vers le serveur Web interne.

Les services publiés ne requièrent aucune configuration spéciale ni aucune installation

logicielle. Cela est dû au fait que les serveurs bénéficient de la transparence SecureNAT de

ISA Server.



10) Filtrage du contenu de la messagerie électronique

ISA Server vous permet d’empêcher l’accès non autorisé aux serveurs de messagerie

et d’arrêter les courriers électroniques inacceptables au niveau de la passerelle. Cette

fonctionnalité puissante permet aux entreprises de délivrer les messages électroniques,

aujourd’hui essentiels à la communication d’entreprise, aux employés et à d’autres utilisateurs

sans menacer la sécurité de l’entreprise.



D - ISA Server pour la mise en cache Web

En utilisant ISA Server pour la mise en cache Web, on bénéficie, entre autres, des

fonctionnalités et des technologies suivantes :



1 - cache Web très performante

2 - évolutivité

3 - mise en cache distribué hiérarchisé

4 - routage du Proxy Web

5 - authentification chaînée



6 - mise en cache active

7 - téléchargement du contenu planifié

8 - prise en charge de la diffusion multimédia /flux

9 - contrôle du cache programmable

10- sécurité accrue grâce à la mise en cache



1) Cache pour le Web très performant

La mise en cache RAM rapide et la banque de cache disque optimisée de ISA Server

accélèrent l’accès au Web et économisent la bande passante réseau. Le service proxy Web de

ISA Server maintient un cache d’objets Web et tente de satisfaire aux requêtes du client à

partir du cache. Si la requête ne peut pas être satisfaite à partir du cache, l’ordinateur

ISA Server initie une nouvelle requête de la part du client. Une fois que le serveur Web

distant répond à l’ordinateur ISA Server, ce dernier met en cache la réponse à la requête du

client d’origine et envoie une réponse au client.



La mise en cache RAM de ISA Server garde les éléments « les plus fréquents » dans la

mémoire RAM. Elle optimise le temps de réponse en récupérant ces éléments de la mémoire

et non du disque. La banque de cache disque optimisée de ISA Server minimise l’accès au

disque pour les opérations de lecture et d’écriture. Ces techniques optimisent le temps de

réponse et la performance d’ensemble du système.



ISA Server prend en charge la mise en cache avant pour les requêtes sortantes vers

Internet. ISA Server prend également en charge la mise en cache inversée pour les requêtes

entrantes vers le serveur Web d’une entreprise. Les clients à la mise en cache avant et

inversée tirent profit de la gamme complète des fonctionnalités de mise en cache et de routage

de ISA Server.

ISA Server inclut un serveur directeur HTTP qui permet aux clients pare-feu et

SecureNAT de bénéficier des fonctionnalités de mise en cache sans aucune configuration

supplémentaire sur le navigateur Web client. Lorsque le directeur HTTP est activé, les

requêtes Web des clients pare-feu et SecureNAT peuvent être mises en cache



2) Évolutivité

Avec ISA Server Enterprise Edition, vous pouvez déployer votre cache de plusieurs

manières simples et efficaces. Vos ordinateurs ISA Server individuels peuvent être déployés

en ajoutant plus de processeurs (en utilisant SMP), plus de disques et plus de mémoire RAM



(ISA Server Standard Edition , peut évoluer en ajoutant plus de processeurs, quatre au

maximum ; cependant, la Standard Edition n’évolue pas en groupe).



De plus, l’utilisation du protocole CARP (Cache Array Routing Protocol) permet aux

ordinateurs ISA Server Enterprise Edition, d’être réunis en groupes qui sont affichés et gérés

comme un cache logique partitionné. Un groupe peut être utilisé pour offrir des services de

tolérance aux pannes, d’équilibrage de charge et de mise en cache distribuée. Les groupes

permettent non seulement à un groupe d’ordinateurs ISA Server d’être traité et géré comme

une entité logique et unique, mais aussi d’améliorer la performance et d’économiser la bande

passante. Les groupes permettent aux requêtes des clients d’être distribuées entre plusieurs

ordinateurs ISA Server, ce qui améliore le temps de réponses des clients. De plus, la charge

étant







distribuée entre tous les serveurs dans le groupe, vous pouvez obtenir un bon niveau de

performance même avec un matériel modeste.D’autres fonctionnalités permettent d’améliorer

l’évolutivité de ISA Server, parmi lesquelles :



 Multi-traitement symétrique : ISA Server a été conçu pour être plus performant

avec plusieurs processeurs en optimisant la technologie de multi-traitement symétrique

(SMP, Symmetrical Multiprocessing) de Windows 2000. Contrairement à de

nombreux autres produits, ISA Server utilise la puissance de traitement

supplémentaire pour accroître la performance ;



 Équilibrage de la charge réseau : ISA Server utilise le service d’équilibrage de

charge réseau (NLB, Network Load Balancing) de Windows 2000 Advanced Server

afin de prendre en charge la tolérance aux pannes et d’assurer une disponibilité, une

efficacité et une performance élevées grâce au clustering de plusieurs ordinateurs

ISA Server. Le service NLB est particulièrement utile pour les configurations de

déploiement incluant le pare-feu, le cache inversé (publication Web) et la publication

serveur ;



 CARP : pour le cache avant, ISA Server Enterprise Edition, utilise le protocole CARP

(Cache Array Routing Protocol) pour permettre une évolution transparente et une

efficacité extrême lors de l’utilisation d’un groupe d’ordinateurs ISA Server. Le

protocole CARP utilise un routage basé sur le hachage afin d’assurer un « chemin

pour la résolution de requêtes » prévisible au travers d’un groupe. Le chemin pour la

résolution de requêtes, basé sur un hachage des identités et des URL des membres du

groupe, signifie que pour une requête d’URL donnée, l’explorateur ou le serveur

proxy en aval connaît l’emplacement exact du stockage de l’information dans le

groupe, et ce, qu’elle ait été déjà mise en cache à partir d’une requête précédente ou

qu’elle soit livrée et mise en cache sur Internet pour la première fois. CARP élimine le

contenu en double qui se produit autrement sur un groupe de serveurs cache, en offrant

une distribution uniforme de la charge et une évolution positive. Il s’ajuste

automatiquement pour ajouter ou supprimer des serveurs dans le groupe. Le routage

basé sur le hachage signifie que lorsqu’un serveur est mis hors ligne ou ajouté, seul

une réallocation minimale des emplacements cache des URL est requise.



3) Mise en cache distribuée et hiérarchique

Vous pouvez configurer votre réseau pour placer des caches le plus près possible des

utilisateurs ou dans des configurations chaînées avec des routes multiples et secondaires. Ce

scénario est très efficace dans un modèle de filiales interconnectées hiérarchiquement.



Avec ISA Server Enterprise Edition, la mise en cache du contenu est distribuée dans

un groupe d’ordinateurs ISA Server Enterprise Edition. En distribuant la charge des objets

mis en cache, ISA Server améliore la performance de la mise en cache et tolère les pannes au

cas où un ordinateur ISA Server deviendrait indisponible.



ISA Server prend également en charge la mise en cache chaînée (ou hiérarchique). Le

terme chaînage réfère à une connexion hiérarchique entre des ordinateurs ISA Server

individuels ou des groupes d’ordinateurs ISA Server Enterprise Edition. Les requêtes des

clients sont envoyées en amont par le biais de la chaîne de serveurs cache jusqu’à ce que

l’objet requis soit trouvé. Le chaînage est un moyen efficace pour répartir la charge des

serveurs et la tolérance aux pannes.







Vous pouvez organiser des ordinateurs ISA Server dans une hiérarchie pour une utilisation

par des filiales ou des départements. Les requêtes des clients sont envoyées en amont par le

biais de la hiérarchie jusqu’à ce que l’objet requis soit trouvé. Lorsque l’objet est situé sur un

serveur en amont, il est mis en cache à chaque cache du serveur jusqu’à ce qu’il soit retourné

au client.

La figure illustre le fonctionnement du chaînage. Elle présente un client d’une filiale

requérant un objet Internet. La requête est envoyée à l’ordinateur ISA Server de la filiale, puis

au siège social (régional ou global) avant d’être envoyée vers Internet. Après avoir récupéré

l’objet à partir d’Internet, l’ordinateur ISA Server du siège social met en cache l’objet requis

et le renvoie à l’ordinateur ISA Server de la filiale. À la filiale, l’ordinateur ISA Server met en

cache l’objet puis le renvoie au client. La mise en cache hiérarchique est utile dans ce scénario

au fur et à mesure que les objets sont initialement routés par le biais du siège social vers

Internet tandis que les requêtes suivantes pour le même objet sont traitées directement à partir

des groupes d’ordinateurs ISA Server de la filiale.



La mise en cache chaînée est très importante car elle permet à la mise en cache de

prendre place plus près des utilisateurs. Par exemple, au sein d’une entreprise, la mise en

cache peut se déplacer d’un emplacement central et unique à la périphérie du réseau d’une

organisation vers les niveaux de la filiale et du groupe de travail. Avec un fournisseur d’accès

Internet (FAI), la mise en cache peut se déplacer vers un point de présence régional par

opposition à un point de présence central. De plus, la mise en cache chaînée offre un service

de tolérance aux pannes en ce sens qu’elle offre une route secondaire lorsque la route primaire

ne fonctionne pas.



4) Routage du proxy Web



Les règles de routage du proxy Web poussent le concept de chaînage un peu plus loin

en vous permettant de router conditionnellement des requêtes en fonction de la destination.

Par exemple, une organisation avec une filiale au Royaume-Uni peut installer un ordinateur

ISA Server à la filiale. Le groupe de la filiale peut être connecté à un FAI au Royaume-Uni.

Une règle de routage sur l’ordinateur ISA Server de la filiale pourrait diriger les requêtes pour

les hôtes Internet au Royaume-Uni vers le FAI local, tandis que toutes les autres requêtes

seraient dirigées vers le groupe ISA Server au siège social. De cette manière, l’ordinateur

ISA Server en aval, à la filiale au Royaume-Uni, bénéficie du cache ISA Server au siège

social. De plus, la mise en cache supplémentaire d’objets locaux (récupérés du FAI local) sur

l’ordinateur ISA Server de la filiale local accroît cet avantage.







La figure ci-dessous illustre la manière dont les requêtes du proxy Web peuvent être

routées sur différents serveurs en fonction de la destination requise. Ici, l’ordinateur

ISA Server de la filiale route les requêtes des clients pour tous les sites domestiques vers

Internet. Les requêtes des clients pour tous les autres sites sont routées vers l’ordinateur

ISA Server en amont au siège social

5) Authentification chaînée



ISA Server prend en charge l’authentification chaînée lors du routage de requêtes vers

un serveur en amont. Les requêtes sont chaînées vers un serveur en amont lorsque les règles

de routage ISA Server sont configurées de la sorte. Avant que la requête ne soit routée,

l’ordinateur ISA Server en aval peut demander à ce que le client s’authentifie. De plus,

lorsque la requête est routée, le serveur en amont peut aussi demander une authentification.

Dans ce cas, l’ordinateur ISA Server en aval passe les informations d’authentification du

client au serveur en amont.



De temps en temps, il est possible que le serveur en amont ne puisse pas identifier les

clients qui requièrent l’objet. Dans ce cas, l’ordinateur ISA Server en aval peut passer ses

propres informations, principalement en se faisant passer pour le client faisant la requête, au

serveur en amont. Lorsque vous configurez les paramètres du serveur en aval, vous spécifiez

le compte à utiliser lors du passage de requêtes de clients vers un serveur en amont. De plus,

le serveur en amont peut déléguer l’authentification du client au proxy en aval. Dans ce cas, le

serveur en amont authentifie seulement le serveur en aval qui, à son tour, s’occupe de

l’authentification du client actuel.



6) Mise en cache active

La mise en cache active vous aide à optimiser l’utilisation de la bande passante grâce à

l’actualisation proactive du contenu fréquemment consulté. ISA Server peut être configuré

pour mettre à jour automatiquement les objets dans un cache. Grâce à la mise en cache active,

les objets qui sont consultés fréquemment sont automatiquement mis à jour avant leur

expiration lors de périodes de trafic réseau faible.



La mise en cache active constitue un moyen de maintenir les objets dans le cache

actualisés en les comparant au serveur Web d’origine avant que l’objet n’arrive à expiration et

qu’un client n’y accède. L’objectif est d’accélérer les accès clients qui nécessitent

normalement un aller-retour au serveur d’origine afin de revalider les données. Étant donné la

dépense associée à cette fonctionnalité (au niveau du traitement du proxy et de la bande

passante réseau), l’objectif est d’actualiser uniquement les objets qui sont susceptibles d’être

consultés à l’avenir par un client. La popularité au plus pur ne constitue pas un guide valable

car de nombreuses







pages populaires n’expirent jamais en raison de l’actualisation manuelle des pages par les

clients pour maintenir les données actualisées. De plus, un objet peut être populaire pour une

courte période de temps. Le code de mise en cache active tente d’identifier les objets

correspondant précisément au schéma du contenu consulté, qui pourraient bénéficier de

l’actualisation active, à savoir les objets qui expirent et qui sont ensuite sollicités par un client.



Durée de vie d’un objet mis en cache activement.



1. Un objet est demandé par un client (peut-être pour la première fois), puis téléchargé.



2. Il arrive à expiration.

3. Si un client accède à cet objet en un temps inférieur à « N » de ses périodes de durée

de vie (TTL, Time To Live), il est ajouté à la liste de cache actif.



4. Tant que l’on y accède au moins une fois au cours des « n » périodes TTL après avoir

été actualisé, il reste dans la liste de cache actif.



5. Lorsqu’il est dans la liste de cache actif, l’objet est actualisé avant qu’il n’arrive à

expiration. L’heure exacte à laquelle il est actualisé dépend du niveau d’activité du

proxy. Si le proxy est relativement inoccupé, l’objet est actualisé lorsqu’il arrive

environ à moitié de son délai d’expiration. Si le proxy est très occupé, il n’est pas

actualisé avant son expiration. D’autres valeurs intermédiaires du niveau d’activité du

proxy entraînent des actualisations intermédiaires.



6. Si l’objet n’est pas consulté au cours de cette période, il est supprimé de la liste et doit

satisfaire au critère d’origine pour retrouver sa place dans la liste.



7) Téléchargement de contenu planifié

ISA Server étend plus encore la performance de la mise en cache grâce à une

fonctionnalité de téléchargement de cache personnalisable. Vous pouvez utiliser la

fonctionnalité de téléchargement de contenu planifié de ISA Server pour télécharger le

contenu HTTP directement dans le cache de l’ordinateur ISA Server, sur demande ou

conformément au plan. Cela vous permet de mettre à jour le cache de l’ordinateur ISA Server

avec le contenu HTTP dont vous pensez qu’il sera demandé par les clients de votre

organisation. Ce contenu peut être atteint directement à partir du cache de l’ordinateur

ISA Server au lieu de l’être à partir d’Internet.



Vous pouvez télécharger une URL unique, plusieurs URL ou un site Web entier.

Lorsque vous créez un travail de téléchargement de contenu dans le cache planifié, vous

pouvez limiter le contenu à télécharger. Par exemple, vous pouvez limiter le téléchargement à

un domaine unique. De manière similaire, vous pouvez limiter le nombre de liens à suivre.

Vous pouvez aussi limiter le téléchargement à du contenu texte. Lorsque vous planifiez un

téléchargement de contenu, vous pouvez configurer la mise en cache de contenu dynamique

en configurant le cache ISA Server pour stocker les objets, même si les en-têtes de contrôle de

cache HTTP indiquent qu’il n’est pas nécessaire qu’ils soient mis en cache. Le

téléchargement est effectué conformément à un calendrier préconfiguré et au besoin

périodique.









Vous pouvez configurer les travaux de téléchargement de contenu planifiés pour des

requêtes Web sortantes et entrantes. Pour les requêtes Web sortantes, vous déterminez les

objets qui sont le plus souvent demandés par les utilisateurs Internet. Vous pouvez planifier

des travaux qui récupèrent les objets à partir d’Internet et les charger dans le cache. Pour les

requêtes Web entrantes, vous pouvez planifier des travaux de téléchargement de contenu qui

récupèrent le contenu de vos serveurs Web internes et qui maintiennent le contenu dans le

cache de l’ordinateur ISA Server.

8) Prise en charge de la diffusion multimédia par flux



Microsoft ISA Server offre un filtre de diffusion multimédia par flux qui permet de

prendre en charge de manière transparente les formats multimédias populaires. De plus, le

fractionnement de flux multimédias en direct sur la passerelle peut économiser la bande

passante. Les clients pare-feu et SecureNAT peuvent désormais avoir accès aux protocoles de

diffusion multimédia par flux pour accéder à des serveurs de diffusion multimédia par flux

tels que Microsoft WMT (Windows Media Technology) Server. Ces protocoles sont :



 le protocole MMS (Microsoft Windows Media), qui permet l’accès client et la

publication serveur sur Windows Media Player ;



 le protocole PNN (Progressive Networks), qui permet l’accès client et la publication

serveur sur RealPlayer ;



 le protocole RSTP (Real Time Streaming Protocol), qui permet l’accès client et la

publication serveur sur RealPlayer G2 et QuickTime 4.



9) Contrôle du cache programmable

Microsoft ISA Server inclut des fonctionnalités de contrôle de cache. Celles-ci permettent

aux objets mis en cache d’être chargés ou supprimés de manière programmée à l’aide de

l’API de mise en cache. Vous pouvez spécifier si certains types d’objets HTTP doivent être

mis en cache par ISA Server :



 les objets dont la taille est supérieure à une taille spécifiée ;



 les objets dont la dernière date de modification n’est pas spécifiée ;



 les objets qui n’ont pas une réponse de 200 ;



 les objets avec des points d’interrogation dans leur URL.



Dans un scénario de pontage SSL, ISA Server peut mettre en cache des objets HTTP et SSL.

Vous pouvez aussi utiliser l’objet COM FPCWebRequestConfiguration pour décider si les

objets SSL doivent être mis en cache.



10) Sécurité accrue grâce à la mise en cache



ISA Server accroît la sécurité même lorsqu’il est utilisé uniquement en mode de mise

en cache car il vous permet d’utiliser une stratégie d’accès pour restreindre l’accès aux

données. Par exemple, les règles de sites et de contenus peuvent empêcher des utilisateurs

particuliers







d’accéder à des sites, même si vous n’utilisez pas le mode de pare-feu. ISA Server autorise la

mise en cache à la fois du contenu interne et du contenu externe, de sorte que les

organisations peuvent bénéficier de la vitesse et de l’efficacité accrues de la mise en cache

tout en contrôlant l’accès des employés et d’autres personnes à des sites Internet restreints par

une stratégies ou à des données propriétaires à l’intérieur de l’entreprise.



E - Installation de ISA Server

Lorsque vous installez ISA Server, il vous sera demandé les informations suivantes.

 Code CD-ROM. Il s'agit du numéro à 10 chiffres situé au dos du boîtier du CD-ROM

ISA Server

 Options d'installation. Vous avez le choix entre une installation standard, complète ou

personnalisée.

 Mode. Vous pouvez installer ISA Server en mode pare-feu, cache ou intégré

 Configuration du cache. Si vous installez ISA Server en mode intégré ou cache, vous

devez configurer les lecteurs de cache que vous souhaitez utiliser ainsi que la taille du

cache

Configuration de la Table d'adresses locales. Si vous installez ISA Server en mode intégré ou

pare-feu, vous devez configurer les plages d'adresses à inclure dans la Table d'adresses

locales.

Pour installer le logiciel serveur

1 - Insérez le CD-ROM ISA Server dans le lecteur ou exécutez ISA autorun.exe à partir du

dossier réseau partagé.

2 - Dans le programme d'installation de Microsoft ISA Server, cliquez sur Installer ISA

Server.

3 - Si vous acceptez les termes et conditions du contrat de licence logicielle de l'utilisateur

final, cliquez sur Continuer

4 - Entrez le numéro d'identification du produit situé sur la boîte.

5 - Lisez le contrat de licence logicielle de l'utilisateur final et si vous en acceptez les termes

et conditions, cliquez sur J'accepte

6 - Cliquez sur Installation standard, Installation complète ou Installation personnalisée.

Si vous cliquez sur Installation personnalisée, activez les cases à cocher qui

correspondent aux composants ISA Server que vous souhaitez installer. Les choix suivants

sont possibles

 Services ISA

 Services complémentaires

 Utilitaires d'administration

7 - Cliquez sur le mode ISA Server à installer.

8 - Lorsque le programme d'installation vous avertit qu'il va arrêter IIS (Internet Information

Service), si vous avez choisi d'installer ISA Server en mode cache ou intégré, configurez les

lecteurs de cache.

9 - Si vous installez ISA Server en mode pare-feu ou intégré, configurez la table des adresses

locales

10 - Si vous souhaitez lancer l'Assistant Mise en route lorsque vous appelez ISA Server,

cochez la case Assistant Mise en route de l'administrateur ISA.





1- Installation de ISA Server en tant que pare-feu

Pour installer ISA Server en tant que pare-feu :



1 - Cliquez sur Démarrer, sur Exécuter, puis tapez cmd dans la zone Ouvrir et cliquez sur OK.

2 - À une invite de commande, tapez Chemin \ISA\i386\Msisaent.exe (où Chemin est le

chemin vers les fichiers d'installation de ISA Server).

3 - Notez que le chemin peut être le dossier racine du CD-ROM ISA Server ou un dossier

partagé sur votre réseau contenant les fichiers ISA Server.

4 - Cliquez sur Continuer dans la boîte de dialogue Installation de Microsoft ISA Server.

5 - Lisez le contrat de licence de l'utilisateur final (CLUF), puis cliquez sur J'accepte.

6 - Selon vos besoins, cliquez sur l'une des options d'installation.

7 - Cliquez sur Mode pare-feu , puis sur Continuer.

8 - Vous êtes invité à autoriser le programme à arrêter les services IIS (Internet Information

Service), cliquez sur OK.

9 - Pour créer automatiquement une adresse IP (Internet Protocol), cliquez sur Construire la

table, cliquez sur la carte réseau associée à votre serveur, puis cliquez sur OK.

10 - Cliquez sur OK pour démarrer l'Assistant Configuration





2- Configuration d'une protection de pare-feu

Pour configurer la protection de pare-feu :



1 - Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur

Gestion ISA.



2 - Dans l'arborescence de la console, développez nom_serveur\Stratégie d'accès (où

nom_serveur est le nom du serveur), cliquez avec le bouton droit Filtres de paquets IP,

pointez sur Nouveau, puis cliquez sur Filtre.



3 - Dans la zone Nom du filtre de paquets IP, tapez le nom du paquet à filtrer, puis cliquez

sur Suivant



4 - Cliquez soit sur Autoriser, soit sur Bloquer pour autoriser ou bloquer le paquet, puis

cliquez sur Suivant.



5 - Cliquez sur l'option Prédéfini, puis sur Suivant.



6 -Cliquez sur l'option correspondant à la manière dont vous souhaiter appliquer le filtre de

paquets, puis cliquez sur Suivant.



7 - Cliquez sur l'ordinateur distant, puis cliquez sur Suivant.



8 - Cliquez sur Terminer



3 - Administration d’ISA Server

En utilisant un contrôle d’accès par stratégies, ISA Server offre une stratégie flexible

basée sur les utilisateurs et les groupes, les protocoles clients, les calendriers, les sites, les

groupes et les protocoles de contenus. Avec ISA Server Enterprise Edition, vous pouvez

exploiter le service Active Directory™ et les stratégies à l’échelle de l’entreprise. Les

administrateurs peuvent aussi créer et mettre en place une seule fois des stratégies et les

distribuer globalement sur de nombreux serveurs. ISA Server comprend une interface

utilisateur

graphique basée sur MMC (Microsoft Management Console), avec des blocs de tâches

graphiques et des assistants pour les activités les plus courantes. La consignation détaillée

d’événements dans des journaux, la mise en place d’alarmes, l’analyse et la création de

rapports aident les administrateurs à comprendre l’état, l’utilisation et la performance du

serveur.



4 - Fonctionnement du pare-feu ISA



Internet Security and Acceleration Server 2000 maintient à la disposition des clients un cache

centralisé des objets Internet fréquemment demandés. Cela permet d’améliorer la performance

du navigateur client, de diminuer le temps de réponse de l’utilisateur et de réduire la

consommation de la bande passante des connexions Internet.



Lorsqu’un utilisateur requiert un site Web, le navigateur analyse l’URL. Si le nom contient

des « points », tel qu’un nom de domaine complet (FQDN, Fully Qualified Domain Name) ou

une adresse IP, le navigateur considère la destination comme étant distante et envoie la

requête HTTP à l’ordinateur ISA Server pour être traitée.



ISA Server Enterprise Edition, autorise également la mise en cache distribuée en utilisant

plusieurs ordinateurs ISA Server Enterprise Edition. La distribution de la charge de cache

permet une évolutivité supérieure à ce que peut fournir un serveur unique, équilibrant la

charge et tolérant les pannes si un serveur cache n’est pas disponible. La mise en cache

distribuée peut être implémentée avec des groupes, des chaînes ou une combinaison des deux.

ISA Server Entreprise Edition, utilise le protocole CARP (Cache Array Routing Protocol),

une architecture évolutive, efficace et flexible, qui permet à plusieurs serveurs d’agir en tant

que cache unique sans duplication de contenu.



F - Installation des logiciels client du pare-feu ISA

Le client pare-feu est disponible depuis l’ordinateur ISA Server une fois celui-ci

installé. Donc pour toutes les méthodes d’installation, vous devez installer le logiciel client

pare-feu depuis le point d’installation sur l’ordinateur ISA Server afin que l’ordinateur

reçoive toutes les informations nécessaires relatives à la configuration. Ce client peut être

exécuté en environnement 32 et 64 bits Systèmes d'exploitation pris en charge : Windows

2000; Windows NT; Windows Server 2003; Windows Vista; Windows XP



A- Les modes d’installation

1 - Installation à partir d’un dossier partagé :



Lors de l’installation d’ISA Server, il crée automatiquement un dossier Programmes

Files\Microsoft ISA Server\Clients, copie les fichiers d’installation à cet emplacement, puis

partage ce dossier en tant que MSPClient.

Pour installer le client, il faut utiliser l’explorateur Windows pour se connecter à



\\isa_serveur\MPSClnt (ou isa_serveur représente l’ordinateur ISA Server) puis exécuter le

Setup.exe.

2 - Installation à partir d’un emplacement Web :



L’ordinateur ISA Server fourni un fichier .htm (Default.htm) et un fichier

d’installation .bat (Setup.bat). Il suffit simplement de déplacer ces 2 fichiers contenus dans le

dossier Programmes Files\Microsoft ISA Server\Clients\WEBINST vers un serveur Web

disponible sur le réseau. Finalement, le client doit utiliser un navigateur Web pour se

connecter au serveur Web, puis afficher Default.htm et suivre les indications.



3 - Installation à l’aide d’une stratégie de groupe :



Pour installer le client pare-feu à l’aide d’une stratégie de groupe, attribuez le package

Windows Installer MS_FWC.msi dans le dossier partagé \\isa_server\MSPClnt des

utilisateurs nécessitant le client pare-feu.



B - Fonctionnement du client ISA



Le client de pare-feu pour ISA Server offre une sécurité renforcée, une prise en charge des

applications et le contrôle d'accès aux ordinateurs clients. Il fournit une authentification aux

applications Winsock qui utilisent TCP et UDP, prend en charge les protocoles secondaires

complexes et offre des informations sur les utilisateurs et les applications aux journaux d'ISA

Server.



Lorsqu'un ordinateur client exécutant le client de pare-feu pour ISA Server lance une requête,

la destination est évaluée par le logiciel Client de pare-feu et les requêtes externes sont

dirigées vers l'ordinateur ISA Server pour être traitées. Aucune infrastructure de routage

spécifique n'est requise. Le client de pare-feu envoie des informations sur les utilisateurs de

manière transparente avec chaque requête, vous permettant ainsi de créer une stratégie de

pare-feu sur l'ordinateur ISA Server avec des règles qui utilisent les données d'authentification

présentées par le client. ISA Server vous permet de configurer la détection automatique

d'ordinateurs de client de pare-feu, en recourant à une entrée WPAD dans DNS ou DHCP afin

d'obtenir les paramètres proxy Web corrects pour les clients, en fonction de leur emplacement



G - Prise en charge des clients

ISA Server prend en charge trois types de clients :



 les clients pare-feu ;



 les clients Secure NAT ;



 et les clients proxy Web.



1 - Clients pare-feu



Les clients pare-feu ISA sont des ordinateurs sur lesquels le logiciel client pare-feu est

installé. Les requêtes des clients pare-feu sont dirigées vers le service de pare-feu sur

l’ordinateur ISA Server pour déterminer si l’accès est autorisé. Ensuite, les requêtes peuvent

être filtrées par des filtres d’applications et d’autres filtres complémentaires. Si le client pare-

feu requiert un objet HTTP, le filtre HTTP redirige alors la requête vers le service proxy Web.

Le service proxy Web peut aussi mettre en cache l’objet requis ou servir l’objet à partir du

cache ISA Server.







Le service de pare-feu prend en charge les applications Windows Sockets version 1.1.

Avant qu’une application Windows Sockets ne puisse gagner l’accès à Internet par le biais de

ISA Server, le serveur doit être configuré pour permettre à l’utilisateur d’accéder au protocole

requis sur les ports de service requis.



Vous pouvez installer le logiciel client pare-feu ISA sur des ordinateurs clients exécutant

Microsoft Windows 95, Windows 98, Windows NT® 4.0 ou Windows 2000. Lorsque vous

installez ISA Server, vous configurez le groupe sur laquelle les clients pare-feu doivent se

connecter lorsqu’ils envoient des requêtes sur Internet. Vous pouvez spécifier le groupe par

nom DNS ou par adresse IP.



2 - Clients Secure NAT



Comme il en était fait état précédemment, les clients Secure NAT sont des ordinateurs

sur lesquels le logiciel client pare-feu n’est pas installé. Les requêtes des clients Secure NAT

sont dirigées vers la couche Secure NAT. La requête du client est inspectée par le service de

pare-feu pour déterminer si l’accès est autorisé. S’il l’est, la requête est ensuite traitée par le

moteur Secure NAT, qui substitue une adresse IP globale valide sur Internet par une

adresse IP interne du client Secure NAT. Finalement, les filtres d’applications et d’autres

filtres complémentaires peuvent filtrer la requête. Si le client Secure NAT requiert un objet

HTTP, le filtre HTTP redirige alors la requête vers le service proxy Web. Le service proxy

Web peut aussi mettre en cache l’objet requis ou servir l’objet à partir du cache ISA Server.



3 - Clients Proxy Web



Les clients proxy Web correspondent à toute application pour navigateur compatible

avec la norme CERN. Les requêtes des clients proxy Web sont dirigées vers le service proxy

Web sur l’ordinateur ISA Server pour déterminer si l’accès est autorisé. Le service proxy Web

peut aussi mettre en cache l’objet requis ou servir l’objet à partir du cache ISA Server.



Vous pouvez configurer le client du navigateur Web après avoir installé le logiciel client

ISA Server. Chaque navigateur Web est configuré par le biais de sa propre interface

utilisateur, généralement des éléments de menus tels que Options, Préférences ou Paramètres.



Lorsque vous installez le logiciel client pare-feu ISA, les paramètres du navigateur Web sur le

poste de travail client pare-feu peuvent être configurés automatiquement. Ensuite, vous

pouvez reconfigurer les clients du navigateur Web.