protection du réseau périphérique avec isa 2004. rick claus conseillers professionnels en ti...
TRANSCRIPT
![Page 1: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/1.jpg)
Protection du réseau périphérique avec ISA 2004
Rick ClausRick ClausConseillers professionnels en TIConseillers professionnels en TIMicrosoft CanadaMicrosoft Canada
![Page 2: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/2.jpg)
• Présenter un aperçu de ISA Server 2004 et des scénarios d’utilisation les plus courants.
• Démontrer comment publier en toute sécurité des services réseau comme des sites Web.
• Examiner les façons d’utiliser ISA 2004 pour le réseautage VPN.
• Montrer l’importance de la surveillance et des rapports et leur utilisation.
• Méthodes éprouvées, outils et conseils.
Objectifs de la présentation
![Page 3: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/3.jpg)
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
![Page 4: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/4.jpg)
Protection du réseau périphérique : les défis
Internet
Bureau principal
Utilisateur à distance
Partenaire commercial
Succursale
Sans fil
Les défis :
Choix d’une topologie de pare-feu appropriée
Accès aux ressources pour les utilisateurs à distance
Surveillance et production de rapports efficaces
Besoin d’une inspection plus serrée des paquets
Conformité aux normes de sécurité
Les défis :
Choix d’une topologie de pare-feu appropriée
Accès aux ressources pour les utilisateurs à distance
Surveillance et production de rapports efficaces
Besoin d’une inspection plus serrée des paquets
Conformité aux normes de sécurité
![Page 5: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/5.jpg)
Avantages de ISA 2004Caractéristiques :Caractéristiques :
Sécurisé par défaut
Modèles des topologies courantes
Assistants de configuration
Création de règles personnalisées
Intégration du service Active Directory pour l’authentification
Filtrage multicouche et inspection plus serrée des paquets
Mise en cache évoluée
Journalisation et surveillance en temps réel
Mécanismes d’importation, d’exportation, de sauvegarde et de restauration
Prise en charge des grappes par l’Édition entreprise
Sécurisé par défaut
Modèles des topologies courantes
Assistants de configuration
Création de règles personnalisées
Intégration du service Active Directory pour l’authentification
Filtrage multicouche et inspection plus serrée des paquets
Mise en cache évoluée
Journalisation et surveillance en temps réel
Mécanismes d’importation, d’exportation, de sauvegarde et de restauration
Prise en charge des grappes par l’Édition entreprise
![Page 6: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/6.jpg)
Recommandations pour ISA 2004
Espace disque durEspace disque dur
150 Mo
Windows 2000 Server ouWindows Server 2003
Windows 2000 Server ouWindows Server 2003
Mémoire viveMémoire vive
512 Mo
UCTUCT
500 MHz
Format disque durFormat disque dur
NTFSCarte réseau
externeCarte réseau
externeCarte réseau
interneCarte réseau
interne
![Page 7: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/7.jpg)
Paramètres d’installation par défaut
La configuration par défaut de ISA Server bloque tout le trafic entre les réseaux reliés à ISA ServerLa configuration par défaut de ISA Server bloque tout le trafic entre les réseaux reliés à ISA Server
Seuls les membres du groupe d’administrateurs locaux ont des autorisations administratives.
Des réseaux par défaut sont créés.
Les règles d’accès comprennent des règles de stratégie système et des règles d’accès par défaut.
Aucun serveur n’est publié.
La mise en cache est désactivée.
Le partage d’installation de client pare-feu est accessible s’il est installé.
Seuls les membres du groupe d’administrateurs locaux ont des autorisations administratives.
Des réseaux par défaut sont créés.
Les règles d’accès comprennent des règles de stratégie système et des règles d’accès par défaut.
Aucun serveur n’est publié.
La mise en cache est désactivée.
Le partage d’installation de client pare-feu est accessible s’il est installé.
![Page 8: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/8.jpg)
Méthodes éprouvées de conceptionPour déployer ISA Server afin d’offrir l’accès à Internet :Pour déployer ISA Server afin d’offrir l’accès à Internet :
Choisissez la topologie qui répond le mieux à vos besoins.
Planifiez la résolution de noms DNS.
Créez les éléments des règles d’accès nécessaires et configurez les règles d’accès.
Planifiez l’ordre des règles d’accès.
Mettez en oeuvre les mécanismes d’authentification appropriées.
Testez les règles d’accès avant le déploiement.
Déployez le client pare-feu en vue d’une sécurité et d’une fonctionnalité maximales.
Utilisez la journalisation de ISA Server pour régler les problèmes de connectivité Internet.
Choisissez la topologie qui répond le mieux à vos besoins.
Planifiez la résolution de noms DNS.
Créez les éléments des règles d’accès nécessaires et configurez les règles d’accès.
Planifiez l’ordre des règles d’accès.
Mettez en oeuvre les mécanismes d’authentification appropriées.
Testez les règles d’accès avant le déploiement.
Déployez le client pare-feu en vue d’une sécurité et d’une fonctionnalité maximales.
Utilisez la journalisation de ISA Server pour régler les problèmes de connectivité Internet.
![Page 9: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/9.jpg)
Topologies courantes et modèles de configuration de ISA 2004
Modèle de carte réseau unique seulement pour le serveur mandataire et la mise en cacheModèle de carte réseau unique seulement pour le serveur mandataire et la mise en cache
Configuration dos à dosConfiguration dos à dos
Hôte bastionHôte bastion Configuration en trois partiesConfiguration en trois parties
Serveur Web Serveur Web
Réseau interneRéseau interne
Réseau interneRéseau interne
Réseau interneRéseau interne
Réseaupériphérique
Réseau périphérique
Modèle de pare-feu de périmètre
Modèle de pare-feu de périmètre
Modèle de pare-feu
avant ou de pare-feu arrière
Modèle de pare-feu
avant ou de pare-feu arrière
Modèle de pare-feuen trois parties
Modèle de pare-feuen trois parties
InternetInternet
![Page 10: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/10.jpg)
Types d’éléments servant à créer les règles d’accès :ProtocolesUtilisateursTypes de contenusPlanificationsObjets de réseau
Types d’éléments servant à créer les règles d’accès :ProtocolesUtilisateursTypes de contenusPlanificationsObjets de réseau
Éléments des règles d’accès
action sur le trafic de l’utilisateur entre source et destination avec conditionsaction sur le trafic de l’utilisateur entre source et destination avec conditions
AutoriserRefuser
AutoriserRefuser
Réseau d’origineIP d’origineUtilisateur d’origine
Réseau d’origineIP d’origineUtilisateur d’origine
Réseau de destination IP de destinationSite de destination
Réseau de destination IP de destinationSite de destination
ProtocolePort IP / Type
ProtocolePort IP / Type
•Serveur publié•Site Web publié•Planification•Critères de filtrage
•Serveur publié•Site Web publié•Planification•Critères de filtrage
Tous les utilisateurs Utilisateurs authentifiés Utilisateur/groupe spécifique
Tous les utilisateurs Utilisateurs authentifiés Utilisateur/groupe spécifique
![Page 11: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/11.jpg)
Filtrage multicouche
Filtrage de paquets :Filtrage de paquets :Filtre les paquets selon le contenu des en-têtes des couches réseau et transport Inspecte rapidement les paquets, mais ne détecte pas les attaques de haut niveau
Filtre les paquets selon le contenu des en-têtes des couches réseau et transport Inspecte rapidement les paquets, mais ne détecte pas les attaques de haut niveau
Filtrage dynamique de paquets :Filtrage dynamique de paquets :
Filtre les paquets selon l’information de la session TCPAccepte uniquement les paquets qui font partie d’une session valide, mais ne peut pas inspecter les données d’application
Filtre les paquets selon l’information de la session TCPAccepte uniquement les paquets qui font partie d’une session valide, mais ne peut pas inspecter les données d’application
Filtrage d’application :Filtrage d’application :Filtre les paquets selon les données d’application qu’ils transportent Peut empêcher les attaques malveillantes et faire respecter les politiques de l’utilisateur
Filtre les paquets selon les données d’application qu’ils transportent Peut empêcher les attaques malveillantes et faire respecter les politiques de l’utilisateur
![Page 12: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/12.jpg)
Interface de ISA Server et modèle Interface de ISA Server et modèle de réseaude réseau
L’interfaceL’interfaceUtilisation d’un modèle de réseau pour Utilisation d’un modèle de réseau pour configurer ISA Server 2004 en pare-feu à configurer ISA Server 2004 en pare-feu à trois partiestrois partiesRèglesRègles
démonstrationdémonstration
![Page 13: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/13.jpg)
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
![Page 14: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/14.jpg)
Règles de publication de ISA Server
ISA Server comporte trois types de règles de publication :ISA Server comporte trois types de règles de publication :
Règles de publication de sites Web utilisant HTTP
Règles de publication de serveurs Web sécurisés exigeant le chiffrement SSL
Règles de publication de serveurs qui n’utilisent ni HTTP ni HTTPS
Règles de publication de sites Web utilisant HTTP
Règles de publication de serveurs Web sécurisés exigeant le chiffrement SSL
Règles de publication de serveurs qui n’utilisent ni HTTP ni HTTPS
![Page 15: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/15.jpg)
Configuration des règles de Configuration des règles de publication d’un serveur Web publication d’un serveur Web sécurisésécurisé
Scénarios de publication courantsScénarios de publication courantsFonction d’importation et d’exportation Fonction d’importation et d’exportation des règlesdes règles
démonstrationdémonstration
![Page 16: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/16.jpg)
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
![Page 17: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/17.jpg)
Réseautage VPN avec ISA Server
ISA Server autorise l’accès aux réseaux VPN :ISA Server autorise l’accès aux réseaux VPN :
En incluant la connexion de clients VPN à distance pour des clients individuels et la connexion VPN de site à site pour relier de multiples sites
En activant des réseaux VPN spécifiques, notamment :
Réseau de clients VPN
Réseau de clients VPN mis en quarantaine
Réseau à distance
En utilisant les règles de réseau et d’accès pour limiter le trafic entre les réseaux VPN et les autres réseaux dont les serveurs exécutent ISA Server
En étendant la fonctionnalité RRAS
En incluant la connexion de clients VPN à distance pour des clients individuels et la connexion VPN de site à site pour relier de multiples sites
En activant des réseaux VPN spécifiques, notamment :
Réseau de clients VPN
Réseau de clients VPN mis en quarantaine
Réseau à distance
En utilisant les règles de réseau et d’accès pour limiter le trafic entre les réseaux VPN et les autres réseaux dont les serveurs exécutent ISA Server
En étendant la fonctionnalité RRAS
![Page 18: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/18.jpg)
Activation des connexions de clients VPN
Pour activer des connexions de clients VPN :Pour activer des connexions de clients VPN :
Choisissez un protocole de tunnellisation.
Choisissez un protocole d’authentification.Utilisez MS-CHAP v2 ou EAP si possible
Activez la connexion de client VPN dans la console de gestion ISA Server.
Configurez les comptes d’utilisateur pour l’accès à distance.
Configurez les paramètres d’accès à distance.
Configurez les règles d’accès au pare-feu pour le réseau de clients VPN.
Choisissez un protocole de tunnellisation.
Choisissez un protocole d’authentification.Utilisez MS-CHAP v2 ou EAP si possible
Activez la connexion de client VPN dans la console de gestion ISA Server.
Configurez les comptes d’utilisateur pour l’accès à distance.
Configurez les paramètres d’accès à distance.
Configurez les règles d’accès au pare-feu pour le réseau de clients VPN.
![Page 19: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/19.jpg)
Mise en oeuvre des connexions VPN de site à site
Pour activer les connexions VPN de site à site :Pour activer les connexions VPN de site à site :Choisissez un protocole de tunnellisation.
Configurez le réseau à distance.
Configurez les règles du réseau et les règles d’accès pour :
Ouvrir les communications entre les réseaux ouRégir les communications entre les réseaux
Configurez la passerelle VPN à distance.
Choisissez un protocole de tunnellisation.
Configurez le réseau à distance.
Configurez les règles du réseau et les règles d’accès pour :
Ouvrir les communications entre les réseaux ouRégir les communications entre les réseaux
Configurez la passerelle VPN à distance.
![Page 20: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/20.jpg)
Mise en quarantaine d’un réseau
Serv. ISA
Serv. ISA
Serveur DNS
Serveur DNS
ServeurWeb
ServeurWeb
Contrôleurde domaineContrôleurde domaine
Serveur defichiers
Serveur defichiers
Script de mise en quarantaineScript de mise en quarantaine
Réseau clients VPN en quarantaine
Réseau de clients VPN
RQC.exeRQC.exe
Strat. d’accès à distance- réseaux
en quarantaine
Strat. d’accès à distance- réseaux
en quarantaine
![Page 21: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/21.jpg)
Connectivité des réseaux VPNConnectivité des réseaux VPN
De site à siteDe site à siteUtilisateurs à distanceUtilisateurs à distanceMise en quarantaineMise en quarantaine
démonstrationdémonstration
![Page 22: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/22.jpg)
• Présentation de ISA Server 2004• Publication de services réseau en toute sécurité• Réseautage VPN avec ISA Server 2004• Surveillance et production de rapports
Programme
![Page 23: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/23.jpg)
Outils de surveillance de ISA 2004
• Tableau de bord – Vue centralisée récapitulative• Alertes – Tous les problèmes au même endroit• Sessions – Vue des sessions actives• Services – État des services ISA • Connectivité – Connectivité aux services réseau• Journalisation – Puissant outil de consultation des
journaux ISA• Rapports – Utilisateurs et sites les plus actifs, accès
à la mémoire cache…
![Page 24: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/24.jpg)
Surveillance et production de Surveillance et production de rapportsrapports
Interfaces de production de rapportsInterfaces de production de rapportsSurveillance en temps réelSurveillance en temps réel
démonstrationdémonstration
![Page 25: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/25.jpg)
Résumé
ISA Server 2004 est sécurisé par défaut, car il bloque tout le trafic — configurez les règles d’accès de façon à donner le moins possible de droits d’accès.
Utilisez le filtrage d’application pour répondre au contenu du trafic avant de l’acheminer à votre réseau.
Mettez en oeuvre des règles de publication ISA Server pour rendre les ressources internes accessibles grâce à la création de la règle InternetCustom.
Utilisez les règles d’accès pour limiter l’accès aux clients VPN à distance, aux clients VPN de site à site et aux clients de réseaux mis en quarantaine.
La surveillance et la production de rapports sont des éléments importants de tout réseau sécurisé.
ISA Server 2004 est sécurisé par défaut, car il bloque tout le trafic — configurez les règles d’accès de façon à donner le moins possible de droits d’accès.
Utilisez le filtrage d’application pour répondre au contenu du trafic avant de l’acheminer à votre réseau.
Mettez en oeuvre des règles de publication ISA Server pour rendre les ressources internes accessibles grâce à la création de la règle InternetCustom.
Utilisez les règles d’accès pour limiter l’accès aux clients VPN à distance, aux clients VPN de site à site et aux clients de réseaux mis en quarantaine.
La surveillance et la production de rapports sont des éléments importants de tout réseau sécurisé.
![Page 26: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/26.jpg)
Pour plus d’information…
Microsoft TechNet
http://www.microsoft.ca/technet
Rick Claus
http://blogs.msdn.com/rclaus
![Page 27: Protection du réseau périphérique avec ISA 2004. Rick Claus Conseillers professionnels en TI Microsoft Canada](https://reader035.vdocuments.pub/reader035/viewer/2022081602/551d9d80497959293b8b8b8d/html5/thumbnails/27.jpg)
Votre potentiel. Notre passion.MC