christophe dubos [email protected] architecte système microsoft france microsoft internet...
TRANSCRIPT
ChristopheChristophe Dubos Dubos
[email protected]@MICROSOFT.COM
Architecte SystèmeArchitecte SystèmeMicrosoft FranceMicrosoft France
Microsoft Internet Security & Microsoft Internet Security & Acceleration Server 2004Acceleration Server 2004Microsoft Internet Security & Microsoft Internet Security & Acceleration Server 2004Acceleration Server 2004
Agenda Agenda
IntroductionIntroduction
ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation
Pare-feu de périphériePare-feu de périphérie
Protection des applications et réseaux Protection des applications et réseaux internesinternes
Accès sécurisé à InternetAccès sécurisé à Internet
Réseaux multi sitesRéseaux multi sites
Questions & RéponsesQuestions & Réponses
Les fonctionnalités du produit à des Les fonctionnalités du produit à des besoins spécifiques via un SDK et une besoins spécifiques via un SDK et une offre de produits compagnons richeoffre de produits compagnons riche
Les temps d’accès à l’information et la Les temps d’accès à l’information et la bande passante utilisée via un cache bande passante utilisée via un cache haute performancehaute performance
L’accès à Internet et au ressources L’accès à Internet et au ressources interne via la mise en œuvre interne via la mise en œuvre centralisée de stratégiescentralisée de stratégies
Les ressources de l’entreprise des Les ressources de l’entreprise des attaques et intrusions attaques et intrusions via un pare-feuvia un pare-feu permettant le filtrage applicatifpermettant le filtrage applicatif
Microsoft ISA Server 2004Microsoft ISA Server 2004Protéger, Contrôler, Optimiser et EtendreProtéger, Contrôler, Optimiser et Etendre
ContrôlerContrôler
OptimiserOptimiser
ProtégerProtéger
EtendreEtendre
Scenarii de mise en oeuvreScenarii de mise en oeuvrePare feu de périphériePare feu de périphérie
Multi réseauxMulti réseauxDMZDMZ
Protection des applications et réseaux internesProtection des applications et réseaux internesPasserelle de filtrage applicatifPasserelle de filtrage applicatif
Serveurs WebServeurs WebServeurs de messagerieServeurs de messagerie
Protection des réseaux internesProtection des réseaux internes
Accès sécurisé et optimisé à InternetAccès sécurisé et optimisé à InternetStratégies d’accèsStratégies d’accèsCache WebCache Web
Réseaux multi sitesRéseaux multi sitesSécurisation sites distantsSécurisation sites distantsIntégration du VPNIntégration du VPNIPSec Tunnel ModeIPSec Tunnel Mode
Agenda Agenda
IntroductionIntroduction
ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation
Pare-feu de périphériePare-feu de périphérie
Protection des applications et réseaux Protection des applications et réseaux internesinternes
Accès sécurisé à InternetAccès sécurisé à Internet
Réseaux multi sitesRéseaux multi sites
Questions & RéponsesQuestions & Réponses
Tableau de bord de supervisionTableau de bord de supervision
Visualisation des journaux temps réelVisualisation des journaux temps réel
Assistant de définition des relations Assistant de définition des relations entre les différents réseauxentre les différents réseaux
Support de scénario complexesSupport de scénario complexes
Stratégie de sécurité Pare-feu/VPN Stratégie de sécurité Pare-feu/VPN unifiéeunifiée
Import-export de configuration (XML)Import-export de configuration (XML)
Nombre de réseaux illimitéNombre de réseaux illimité
Stratégie de filtrage et d’accès Stratégie de filtrage et d’accès (routage/translation)(routage/translation) définiedéfinie par réseaupar réseau
Topologies Topologies réseau typeréseau type
Editeur de Editeur de stratégiesstratégies
Architecture Architecture multi réseaumulti réseau
Outils de Outils de diagnostiquediagnostique
ISA Server 2004ISA Server 2004Facilité de mise en oeuvre et d’administrationFacilité de mise en oeuvre et d’administration
DMZ 1DMZ 1
Réseau ARéseau A
Le VPN comme réseau Le VPN comme réseau à part entièreà part entière
Modèle réseau ISA Server 2004Modèle réseau ISA Server 2004
DMZ 2DMZ 2Réseau BRéseau B
RéseauRéseauVPNVPN
Nombre de réseaux non limitéNombre de réseaux non limité
Type d’accès NAT/RoutageType d’accès NAT/Routagespécifique à chaque réseauspécifique à chaque réseau
Isolation de la machine Isolation de la machine pare feupare feu
Stratégie de filtrage par réseauStratégie de filtrage par réseau
Permet une mise en œuvre initiale plus simplePermet une mise en œuvre initiale plus simple
ISA Server 2004ISA Server 2004Interface utilisateur - Configuration réseauInterface utilisateur - Configuration réseau
• Autoriser• Interdire
• Réseau(x)• Adresse(s) IP• Machine(s)
• Réseau(x)• Adresse(s) IP• Site(s)
• Protocole IP• Port(s) TCP/UDP
• Serveur publié• Site Web publié• Planning• Filtre applicatif
actionaction sursur trafictrafic de de sourcesource versvers destinationdestination pourpour utilisateurutilisateur avecavec conditionsconditions
• Utilisateur(s)• Groupe(s)
Les stratégies ISA Server 2004Les stratégies ISA Server 2004
Un seul ensemble de règlesUn seul ensemble de règles
Définition de l’ordre d’évaluation des règlesDéfinition de l’ordre d’évaluation des règles
Support des configurations multi réseauSupport des configurations multi réseau
Intégration avec le filtrage applicatifIntégration avec le filtrage applicatifDéfinition au sein de chaque règleDéfinition au sein de chaque règle
Des règles système pour la configuration initialeDes règles système pour la configuration initialeMasquées par défautMasquées par défaut
Un ensemble de composants richeUn ensemble de composants richeMachines (groupes), Plages d’adresses IP, Sous Machines (groupes), Plages d’adresses IP, Sous réseaux, URL (groupes), Noms de domaines (groupes)réseaux, URL (groupes), Noms de domaines (groupes)Protocoles, Types de contenus (MIME)Protocoles, Types de contenus (MIME)PlanningsPlanningsUtilisateurs (groupes)Utilisateurs (groupes)
Les stratégies ISA Server 2004Les stratégies ISA Server 2004
Vision globale de la configurationVision globale de la configuration
ISA Server 2004ISA Server 2004Interface utilisateur - StratégiesInterface utilisateur - Stratégies
ISA Server 2004ISA Server 2004Interface utilisateur - Ergonomie et richesseInterface utilisateur - Ergonomie et richesse
Tableau de bordTableau de bord
Boite à outils et liste de taches contextuellesBoite à outils et liste de taches contextuelles
Modèles de configuration réseauModèles de configuration réseau
Création/édition des règles via Drag & DropCréation/édition des règles via Drag & Drop
AssistantsAssistants
Tableau de bord Tableau de bord StratégiesStratégies Boite à outilsBoite à outilsConfig réseauConfig réseau Liste de tachesListe de taches
Intégration de l’ensemble des fonctionnalités de Intégration de l’ensemble des fonctionnalités de supervisionsupervision
AlertesAlertes
SessionsSessions
Etat des servicesEtat des services
EtatsEtats
Test de connectivitéTest de connectivité
JournauxJournaux
PerformancesPerformances
ISA Server 2004ISA Server 2004Interface utilisateur - Tableau de bord/supervisionInterface utilisateur - Tableau de bord/supervision
Vision globale du fonctionnementVision globale du fonctionnement
ISA Server 2004ISA Server 2004Interface utilisateur - Tableau de bord/supervisionInterface utilisateur - Tableau de bord/supervision
Accès interactif aux journauxAccès interactif aux journaux
ISA Server 2004ISA Server 2004Interface utilisateur - Visualisation des journauxInterface utilisateur - Visualisation des journaux
Les erreurs de configuration sont la principale Les erreurs de configuration sont la principale cause de mise en défaut des pare-feuxcause de mise en défaut des pare-feux
L’utilisation d’assistants permet de réduire le L’utilisation d’assistants permet de réduire le risque d’erreurrisque d’erreur
L’utilisation du mécanisme d’Import/Export L’utilisation du mécanisme d’Import/Export permetpermet
Un passage simple et sans risque d’erreur des plates-Un passage simple et sans risque d’erreur des plates-formes de test aux plates-formes de productionformes de test aux plates-formes de production
Un retour rapide et sur à une configuration précédente Un retour rapide et sur à une configuration précédente en cas de problème en cas de problème
ISA Server 2004ISA Server 2004Interface utilisateur - Assistants et Import/ExportInterface utilisateur - Assistants et Import/Export
Agenda Agenda
IntroductionIntroduction
ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation
Pare-feu de périphériePare-feu de périphérie
Protection des applications et réseaux Protection des applications et réseaux internesinternes
Accès sécurisé à InternetAccès sécurisé à Internet
Réseaux multi sitesRéseaux multi sites
Questions & RéponsesQuestions & Réponses
RADIUS et RSA SecurIDRADIUS et RSA SecurID
Délégation d’authentificationDélégation d’authentification
Filtre applicatif RPC (MAPI et autres)Filtre applicatif RPC (MAPI et autres)
Sécurité Outlook Web Access accrueSécurité Outlook Web Access accrue
Méthodes: POST, HEAD...Méthodes: POST, HEAD...
Signatures: mots clés ou chaînes de Signatures: mots clés ou chaînes de caractères dans URL, En-tête, Corpscaractères dans URL, En-tête, Corps
Filtres applicatifs HTTP et SMTPFiltres applicatifs HTTP et SMTP
Stratégies riches et flexiblesStratégies riches et flexibles
Protection des Protection des serveurs de serveurs de messageriemessagerie
Filtrage HTTP Filtrage HTTP évoluéévolué
Inspection de Inspection de contenu avancéecontenu avancée
Authentification Authentification flexibleflexible
ISA Server 2004ISA Server 2004Protection avancéeProtection avancée
Pare-feuPare-feuQuels problèmes ?Quels problèmes ?
De nombreux pare feu déployés aujourd’hui…De nombreux pare feu déployés aujourd’hui…Se concentrent sur le filtrage et l’inspection de paquets Se concentrent sur le filtrage et l’inspection de paquets en fonction du contexte (SPI) - couches OSI 3 et 4en fonction du contexte (SPI) - couches OSI 3 et 4
De nombreuses attaques rencontrées De nombreuses attaques rencontrées aujourd’hui…aujourd’hui…
Sont au niveau applicatif et déjouent ces mesures sans Sont au niveau applicatif et déjouent ces mesures sans problèmes - couche OSI 7problèmes - couche OSI 7
Les ports et protocoles ne peuvent plus être Les ports et protocoles ne peuvent plus être utilisés comme garants des intentionsutilisés comme garants des intentions
Certains ports sont «sur utilisés» et peuvent être Certains ports sont «sur utilisés» et peuvent être facilement exploités pour contourner le filtragefacilement exploités pour contourner le filtrage
Port TCP 80 HierPort TCP 80 Hier -- Web (HTTP) uniquementWeb (HTTP) uniquement
Port TCP 80 Aujourd’huiPort TCP 80 Aujourd’hui -- Browsing Web, Web mail, Browsing Web, Web mail, Web Services XML (SOAP), HTTP-Tunnel …Web Services XML (SOAP), HTTP-Tunnel …
Le filtrage et d
e paquets et le
SPI ne so
nt pas
Le filtrage et d
e paquets et le
SPI ne so
nt pas
suffisants pour a
ssurer u
ne protection co
ntre le
s
suffisants pour a
ssurer u
ne protection co
ntre le
s
attaques d
’aujourd’hui !
attaques d
’aujourd’hui !
Filtres applicatifs ISA Server 2004Filtres applicatifs ISA Server 2004
Analyse du contenuAnalyse du contenuBlocage / modification / redirectionBlocage / modification / redirection
Filtres applicatifs pourFiltres applicatifs pourInternet: HTTP, FTP, SMTP, POPInternet: HTTP, FTP, SMTP, POPStreaming: RTSP, MMS, PNM, H.323Streaming: RTSP, MMS, PNM, H.323DNS: Détection d’intrusionsDNS: Détection d’intrusionsRPC: Publication de serveursRPC: Publication de serveursPPTPPPTPSOCKS V4SOCKS V4
SMTP: VRFY *
ServeurServeur
DNS: Attaque de zone
HTTP: Encapsulation
HTTP: Site interdit
HTTP: Attaque/Vers
ClientClient
Des messages non désirés envahissent les Des messages non désirés envahissent les réseaux d’entrepriseréseaux d’entreprise
SPAM, pièces jointes non autoriséesSPAM, pièces jointes non autorisées
Vers et VirusVers et Virus
Fournir un accès externe à la messagerie Fournir un accès externe à la messagerie complique les stratégies d’accès et compromet complique les stratégies d’accès et compromet la sécuritéla sécurité
L’utilisation de clients de messagerie différents ou de L’utilisation de clients de messagerie différents ou de clients VPN en cas de mobilité accroît la complexité et clients VPN en cas de mobilité accroît la complexité et réduit la productivitéréduit la productivité
La configuration de la sécurité au niveau des La configuration de la sécurité au niveau des pare-feux pour la messagerie est trop complexepare-feux pour la messagerie est trop complexe
Serveurs de messagerieServeurs de messagerieProblématiques de sécuritéProblématiques de sécurité
Protection des serveurs SMTP Protection des serveurs SMTP
Filtre applicatif SMTPFiltre applicatif SMTPUtilise les capacités de filtrage applicatif de ISA Utilise les capacités de filtrage applicatif de ISA ServerServer
Filtrage des messages avec une fiabilité et une Filtrage des messages avec une fiabilité et une sécurité accrue en fonction de plusieurs attributssécurité accrue en fonction de plusieurs attributs
ExpéditeurExpéditeur
DomaineDomaine
Mots cléMots clé
Pièces jointes (extension, nom, taille)Pièces jointes (extension, nom, taille)
Commandes SMTP (y compris taille)Commandes SMTP (y compris taille)
ServiceService UUIDUUID PortPort
ExchangeExchange {12341234-1111…{12341234-1111… 44024402
Réplication ADRéplication AD {01020304-4444…{01020304-4444… 35443544
MMCMMC {19283746-7777…{19283746-7777… 92339233
Les services RPC obtiennent des port aléatoires (> 1024) Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une tablelors de leur démarrage, le serveur maintient une table
RPC RPC ConceptsConcepts
135/tcp135/tcp
1. Le client se connecte au portmapper 1. Le client se connecte au portmapper sur le serveur (port tcp 135)sur le serveur (port tcp 135)
Le client connait l’UUID du Le client connait l’UUID du service qu’il souhaite utiliserservice qu’il souhaite utiliser
{12341234-1111…}{12341234-1111…}
5. Le client accède à 5. Le client accède à l’application via le port reçul’application via le port reçu
2. Le client demande quel 2. Le client demande quel port est associé à l’UUID ?port est associé à l’UUID ?
3. Le serveur fait correspondre 3. Le serveur fait correspondre l’UUID avec le port courant…l’UUID avec le port courant…
44024402
4. Le portmapper répond avec le 4. Le portmapper répond avec le port et met fin à la connexionport et met fin à la connexion
4402/tcp4402/tcp
Serveur Serveur ExchangeExchangeISA ServerISA Server
Seul le port TCP 135 (portmapper) est ouvertSeul le port TCP 135 (portmapper) est ouvertLes ports > 1024 sont ouverts/fermés dynamiquement Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients Outlook en fonction des besoinspour les clients Outlook en fonction des besoins
Inspection du trafic vers le portmapper au niveau Inspection du trafic vers le portmapper au niveau applicatifapplicatif
Seuls les UUID définis sont autorisés à l’exception Seuls les UUID définis sont autorisés à l’exception de tout autrede tout autre
Filtre applicatif RPCFiltre applicatif RPCAccès distant Outlook sans mise en place de VPNAccès distant Outlook sans mise en place de VPN
Client Client OutlookOutlook
Reconnaissance ?Reconnaissance ?NETSTAT ne montre que 135/tcpNETSTAT ne montre que 135/tcp
RPCDump ne fonctionne pasRPCDump ne fonctionne pas
Déni de service contre le portmapper ?Déni de service contre le portmapper ?Les attaques connues échouentLes attaques connues échouent
Exchange est protégé des attaquesExchange est protégé des attaques
Attaques des services de Exchange ?Attaques des services de Exchange ?L’obtention d’information n’est plus possibleL’obtention d’information n’est plus possible
Les connexions entre ISA Server et Exchange vont Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client échouer tant que les connexions entre ISA et le client ne sont pas correctement formatéesne sont pas correctement formatées
Oui!Oui!
Oui!Oui!
Oui!Oui!
Filtre applicatif RPCFiltre applicatif RPCProtection contre les attaquesProtection contre les attaques
Filtre Applicatif HTTPFiltre Applicatif HTTPProtection des serveurs WebProtection des serveurs Web
Filtre les requêtes en fonction d’un ensemble de Filtre les requêtes en fonction d’un ensemble de règlesrègles
Permet de se protéger contre les phases de Permet de se protéger contre les phases de reconnaissance ou attaquesreconnaissance ou attaques
Récupération de bannièreRécupération de bannière
Navigation dans les arborescencesNavigation dans les arborescences
Commandes HTTP spécifiquesCommandes HTTP spécifiques
Nombre important de caractères dans les en-tête ou le Nombre important de caractères dans les en-tête ou le corps des messagescorps des messages
Encodage spécifiqueEncodage spécifique
Peut être utilisé en conjonction avec l’inspection Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques sur SSLde SSL pour détecter les attaques sur SSL
Contrôler l’encapsulation HTTPContrôler l’encapsulation HTTP
P2PP2P
IMIM
……
ISA Server 2004ISA Server 2004
Il n’y a pas si longtemps, les applicationsIl n’y a pas si longtemps, les applications
utilisaient des ports fixesutilisaient des ports fixes
Et votre pare-feu pouvait bloquer ses portsEt votre pare-feu pouvait bloquer ses ports
Et tout allait pour le mieux...Et tout allait pour le mieux...
Puis les applications ont utiliséPuis les applications ont utilisé
l’encapsulation dans HTTPl’encapsulation dans HTTP
Pare-feu couches Pare-feu couches 3 et 43 et 4
Et votre pare-feu ne peut plus les bloquerEt votre pare-feu ne peut plus les bloquer
ISA Server 2004 perm
et de contrô
ler et d
e filtre
r les
ISA Server 2004 perm
et de contrô
ler et d
e filtre
r les
applications utili
sant l’encapsulatio
n HTTP
applications utili
sant l’encapsulatio
n HTTP
Le protocole HTTPLe protocole HTTPFiltrage en fonction du contenu de l’en-têteFiltrage en fonction du contenu de l’en-tête
POST http://64.4.1.18/gtw/gtw.dll?SessID=1POST http://64.4.1.18/gtw/gtw.dll?SessID=1HTTP/1.1HTTP/1.1Accept: */*Accept: */*Accept-Language: en-usAccept-Language: en-usAccept-Encoding: gzip, deflateAccept-Encoding: gzip, deflateUser-Agent: User-Agent: MSMSGSMSMSGSHost: 64.4.1.18Host: 64.4.1.18Proxy-Connection: Keep-AliveProxy-Connection: Keep-AliveConnection: Keep-AliveConnection: Keep-AlivePragma: no-cachePragma: no-cacheContent-Type: Content-Type: application/x-msn-messengerapplication/x-msn-messengerContent-Length: 7Content-Length: 7
Il faut être capable d’aller au delà des Il faut être capable d’aller au delà des informations disponibles au sein des en-têtesinformations disponibles au sein des en-têtes
Ex: Yahoo IM utilise l’en-tête User Agent: Mozilla 4.01Ex: Yahoo IM utilise l’en-tête User Agent: Mozilla 4.01
ISA permet de définir des signatures basées sur ISA permet de définir des signatures basées sur le contenu des en-têtes HTTP et le corps des le contenu des en-têtes HTTP et le corps des messagesmessages
Le protocole HTTPLe protocole HTTPFiltrage en fonction de contenu du corps Filtrage en fonction de contenu du corps
isa.internal.microsoft.com
www.internal.microsoft.com
Permet la consolidation de multiples sites Permet la consolidation de multiples sites derrière une identité communederrière une identité commune
Permet de protéger les sites publiésPermet de protéger les sites publiésSeule l’URL (FQDN & répertoire) publiée est accessibleSeule l’URL (FQDN & répertoire) publiée est accessible
Filtrage applicatif HTTPFiltrage applicatif HTTP
La redirection du host header permet de co-héberger La redirection du host header permet de co-héberger des sitesdes sites
/isaserver//isaserver/
//
Publication de sites WebPublication de sites WebReverse ProxyReverse Proxy
www.microsoft.com/isaserver/
www.microsoft.com/
ISA ServerISA Server
http://http://
Link translatorLink translatorFacilite la publication des sites intranetFacilite la publication des sites intranetTraduction des hyperlinks au sein des réponses Traduction des hyperlinks au sein des réponses
Noms des ordinateurs Intranet vers ceux des Noms des ordinateurs Intranet vers ceux des ordinateurs disponibles sur Internetordinateurs disponibles sur Internet
HTTPHTTP HTTPS; SharePoint Portal ServerHTTPS; SharePoint Portal Server
ISA ServerISA ServerServeur WebServeur Web
(www.example.com)(www.example.com)
Server WEBServer WEB (int-mktg)(int-mktg)http://
http://int-mktg/http://int-mktg/sales.htmlsales.htmlint-mktg/int-mktg/mktg.example.com/mktg.example.com/LINK TRANSLATORLINK TRANSLATOR
http://http://mktg.example.com/http://mktg.example.com/sales.htmlsales.html
ClientClient
Requête cliente Requête cliente www.example.com/index.htmlwww.example.com/index.html
1.1. Le paquet arrive sur l’interface externeLe paquet arrive sur l’interface externeSource ADR = IP clientSource ADR = IP client
2.2. Le contenu est extraitLe contenu est extrait
4.4. Le nouveau paquet est créé sur l’interface interneLe nouveau paquet est créé sur l’interface internenuméro de séquence différentnuméro de séquence différent
5.5. Un nouvel en-tête IP est ajouté. Le paquet est envoyéUn nouvel en-tête IP est ajouté. Le paquet est envoyéSADR = adresse IP interne d’ISA Server ou IP SourceSADR = adresse IP interne d’ISA Server ou IP Source
ISA ServerISA Server Serveur WebServeur Web
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayldURLURL
Publication de serveurs webPublication de serveurs web
3.3. L’URL est examinée pour déterminer la destination. Le L’URL est examinée pour déterminer la destination. Le contenu est analysécontenu est analysé
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
Le contenu reste chiffréLe contenu reste chiffréAucune analyse ne peut être réaliséeAucune analyse ne peut être réalisée
Peut être utilisé si la politique favorise la Peut être utilisé si la politique favorise la confidentialité par rapport à l’inspectionconfidentialité par rapport à l’inspection
Tunneling SSLTunneling SSLPassthroughPassthrough
BrowserBrowser ISA ServerISA Server ServeurServeur
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
Bridging SSLBridging SSLTerminaisonTerminaison
Le contenu est déchiffréLe contenu est déchiffréL’analyse peut être réaliséeL’analyse peut être réalisée
Peut être utilisé si la politique favorise l’inspection Peut être utilisé si la politique favorise l’inspection par rapport à la confidentialitépar rapport à la confidentialité
Le contenu n’est pas re-chiffréLe contenu n’est pas re-chiffréLes données ne sont pas chiffrées dans le réseau interneLes données ne sont pas chiffrées dans le réseau interne
BrowserBrowser ISA ServerISA Server ServeurServeur
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
Le contenu est déchiffréLe contenu est déchiffréL’analyse peut être réaliséeL’analyse peut être réalisée
Peut être utilisé si la politique favorise l’inspection par Peut être utilisé si la politique favorise l’inspection par rapport à la confidentialitérapport à la confidentialité
Le contenu est re-chiffréLe contenu est re-chiffréLes données sont chiffrées dans le réseau interneLes données sont chiffrées dans le réseau interne
Bridging SSLBridging SSLRégénérationRégénération
BrowserBrowser ISA ServerISA Server ServeurServeur
Agenda Agenda
IntroductionIntroduction
ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation
Pare-feu de périphériePare-feu de périphérie
Protection des applications et réseaux Protection des applications et réseaux internesinternes
Accès sécurisé à InternetAccès sécurisé à Internet
Réseaux multi sitesRéseaux multi sites
Questions & RéponsesQuestions & Réponses
Délégation d’administrationDélégation d’administration
Listes de tâches contextuellesListes de tâches contextuelles
Flexibilité accrue des règles (filtrage Flexibilité accrue des règles (filtrage HTTP sur toutes les règles)HTTP sur toutes les règles)
Exécutables: blocage téléchargementExécutables: blocage téléchargement
En fonction de la destination, du type En fonction de la destination, du type de contenu et du type de protocole de contenu et du type de protocole HTTP/HTTPSHTTP/HTTPS
Intégration des moteurs de Pare-feu et Intégration des moteurs de Pare-feu et de Proxy HTTPde Proxy HTTP
Performances accruesPerformances accrues
Contrôle d’accès Contrôle d’accès plus richeplus riche
Contrôle de la Contrôle de la mise en cache mise en cache
plus fineplus fine
Optimisation de Optimisation de l’architecturel’architecture
AdministrationAdministration
ISA Server 2004ISA Server 2004Fonctionnalité de Proxy et de Cache intégréesFonctionnalité de Proxy et de Cache intégrées
Contrôler l’accès à InternetContrôler l’accès à InternetObjectifsObjectifs
Définition de stratégies d’accès permettantDéfinition de stratégies d’accès permettantDe limiter les usages abusifsDe limiter les usages abusifs
De protéger d’un point de vue légal et sécuritéDe protéger d’un point de vue légal et sécurité
Contrôler l’accès aux services via Contrôler l’accès aux services via authentification authentification
Contrôler l’accès à InternetContrôler l’accès à InternetFonctionnalitésFonctionnalités
Filtrage évolué, permettant de définir une Filtrage évolué, permettant de définir une stratégie d’accès en fonctionstratégie d’accès en fonction
Du type de protocole: FTP, HTTP, HTTPSDu type de protocole: FTP, HTTP, HTTPS
De la destination: liste des domaines, URLs, adresses De la destination: liste des domaines, URLs, adresses IPIP
Du type de contenu: MIME, extensionsDu type de contenu: MIME, extensions
Des personnes: utilisateurs, groupesDes personnes: utilisateurs, groupes
Intégration avec le module de reportingIntégration avec le module de reporting
Optimisation des accès à InternetOptimisation des accès à InternetRéduction des temps d’accèsRéduction des temps d’accès
Réduction de la bande passante consomméeRéduction de la bande passante consommée
Optimiser l’accès à InternetOptimiser l’accès à InternetObjectifsObjectifs
Cache évoluéCache évoluéCache en RAM: contenu le plus utilisé stocké en RAMCache en RAM: contenu le plus utilisé stocké en RAM
Téléchargement pro actif de contenu avant expirationTéléchargement pro actif de contenu avant expiration
Gestion de la mise en cache en fonction de la Gestion de la mise en cache en fonction de la destinationdestination
Téléchargement de contenu planifiableTéléchargement de contenu planifiable
Cache distribuéCache distribuéCache Array Routing Protocol (CARP)Cache Array Routing Protocol (CARP)
Cache hiérarchique et routageCache hiérarchique et routage
Optimiser l’accès à InternetOptimiser l’accès à InternetFonctionnalitésFonctionnalités
HTTPHTTP etet misemise enen cachecache desdes objetsobjets
En têtes utilisés pour En têtes utilisés pour contrôler la mise en cachecontrôler la mise en cache
Cache-Control: no-cache, Cache-Control: no-cache, public, private, must-revalidate, public, private, must-revalidate, proxy-revalidateproxy-revalidatePragma: nocache, www-Pragma: nocache, www-authenticate ou set cookieauthenticate ou set cookie
En têtes utilisés pour En têtes utilisés pour contrôler la durée de vie des contrôler la durée de vie des objetsobjets
age:age:max-age et s-maxage:max-age et s-maxage:date:date:expires:expires:
Response CodeResponse CodeHTTP/1.1 200 OKHTTP/1.1 200 OK
HeadersHeadersServer: …Server: …Date: …Date: …
ContenuContenu
Agenda Agenda
IntroductionIntroduction
ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation
Pare-feu de périphériePare-feu de périphérie
Protection des applications et réseaux Protection des applications et réseaux internesinternes
Accès sécurisé à InternetAccès sécurisé à Internet
Réseaux multi sitesRéseaux multi sites
Questions & RéponsesQuestions & Réponses
Service de QuarantaineService de Quarantaine
IPsec Tunnel ModeIPsec Tunnel Mode
L2TP/IPSecL2TP/IPSec
Définies de manière centralisée dans Définies de manière centralisée dans Active DirectoryActive Directory
Filtrage Pare-feu et VPN unifiéFiltrage Pare-feu et VPN unifié
VPN site à siteVPN site à site
Intégration avec Intégration avec les stratégies les stratégies
d’accèsd’accès
Intégration Intégration complète du VPNcomplète du VPN
Contrôle de la Contrôle de la configuration configuration
des clientsdes clients
ISA Server 2004ISA Server 2004Intégration du VPNIntégration du VPN
Architectures VPNArchitectures VPNSéparation FW - VPNSéparation FW - VPN
Intégration FW - VPNIntégration FW - VPN
Passerelle VPNPasserelle VPNCe qu’il n
e faut p
as faire
Ce qu’il ne fa
ut pas fa
ire
Ce qu’il faut fa
ire
Ce qu’il faut fa
ire
ISA Server 2004ISA Server 2004Intégration FW - VPNIntégration FW - VPNPublication des serveurs VPNPublication des serveurs VPN
PPTPPPTP
NAT-T L2TP/IPSecNAT-T L2TP/IPSec
Gestion dynamique des réseauxGestion dynamique des réseauxClients VPN Clients VPN
Clients VPN en quarantaineClients VPN en quarantaine
Stratégies d’accès applicables à ces Stratégies d’accès applicables à ces réseaux « virtuels »réseaux « virtuels »
Mise en quarantaineMise en quarantaineAccès VPN pour des clients sûrs (AV, patch…)Accès VPN pour des clients sûrs (AV, patch…)
Sinon, comment les sécuriser !Sinon, comment les sécuriser !
Support de IPSec tunnel modeSupport de IPSec tunnel mode
Support du service de quarantaineSupport du service de quarantaine
ISA Server 2004ISA Server 2004Intégration du VPNIntégration du VPN
ISA Server 2004ISA Server 2004Service de quarantaineService de quarantaine
Réseaux Internes
Clients VPN
DMZ
Clients VPN en Quarantaine
Lors de la connexion Lors de la connexion initiale, les clients initiale, les clients VPN sont VPN sont automatiquement automatiquement placés sur le réseau placés sur le réseau « Clients VPN en « Clients VPN en quarantaine »quarantaine »
Une fois la Une fois la vérification vérification d’intégrité passée, d’intégrité passée, les clients VPN sont les clients VPN sont alors placés sur le alors placés sur le réseau « Clients réseau « Clients VPN »VPN »
Client :Connexion
Serveur: Ajouté au réseau de Quarantaine
Client :Lance les scripts de vérification de la sécurité
Client: Sécurisé?
Client :Envoi “Clear Quarantine” au serveur
Serveur: déplace le client vers le réseau “VPN clients”
Client : Notifie l’utilisateur qu’une correction doit être effectuée
Yes No
ISA Server 2004ISA Server 2004Algorithme de quarantaineAlgorithme de quarantaine
Un pare-feu plus richeUn pare-feu plus richeSupport d’un grand nombre de scénariiSupport d’un grand nombre de scénariiPare-feu VPN, Proxy & CachePare-feu VPN, Proxy & Cache
Un pare-feu plus simple à mettre en oeuvreUn pare-feu plus simple à mettre en oeuvreInstallation et configuration via assistantsInstallation et configuration via assistantsConfiguration intuitive des stratégiesConfiguration intuitive des stratégiesRéduction du risque d’erreurs de configurationRéduction du risque d’erreurs de configuration
Un pare-feu offrant une protection au Un pare-feu offrant une protection au niveau applicatifniveau applicatif
Filtres applicatifsFiltres applicatifsDéfense en profondeurDéfense en profondeur
En résumé…En résumé…Microsoft ISA Server 2004 - BénéficesMicrosoft ISA Server 2004 - Bénéfices
Agenda Agenda
IntroductionIntroduction
ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation
Pare-feu de périphériePare-feu de périphérie
Protection des applications et réseaux Protection des applications et réseaux internesinternes
Accès sécurisé à InternetAccès sécurisé à Internet
Réseaux multi sitesRéseaux multi sites
Questions & RéponsesQuestions & Réponses