protéger vos ressources et vos réseaux avec le pare-feu applicatif isa server 2006
DESCRIPTION
Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006. Qu’est ce que ?. Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable - PowerPoint PPT PresentationTRANSCRIPT
1
Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006
2
Qu’est ce que ?
• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des webcasts et e-démos accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
3
Logistique
Pause en milieu de session Vos questions sont les
bienvenues.N’hésitez pas !
Feuille d’évaluation à remettre remplie en fin de session
Commodités
Merci d’éteindre vos téléphones
4
Agenda
• Introduction• Présentation générale d’ISA Server• Sécuriser les applications Web publiées• Optimiser et sécuriser les réseaux d’agences• Faciliter les déploiements• Ressources utiles• Questions / Réponses
5
Quelques chiffres• Environ 70% de toutes les attaques Web se passent au niveau de la couche
Application (Source : Gartner Group)
• Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05)
• Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web– +59% entre le dernier semestre 2004 et le premier semestre 2005– +109% entre le premier semestre 2004 et le premier semestre 2005
• Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005)
– 2004 : 89% des interviewés déclarent 1 à 5 incidents– 2005 : 95% des interviewés déclarent plus de 10 incidents
• 90% des applications Web seraient vulnérables (source : étude WebCohort Application Defense Center's penetration testing effectuée de janvier
2000 à janvier 2004)
6
Vision utilisateur
Vision IT / Manager
Internet
Un accès Internet :à Adapté au métier / au posteà Facile d’utilisationà Ne nécessitant pas de réauthentification
Un accès Internet :à Authentifié et intégré à l’infrastructure existanteà Contrôlé / Sûrà Facile à administrerà Journalisé / Surveilléà Analysé
Réseau de l’entreprise
Organisation de la défense – Flux sortants de l’entreprise
Accèsmaitrisés
Proxy applicatif avec :• Authentification obligatoire• Filtrage des destinations• Analyse & filtrage du contenu• Reporting de l’activité
7
Organisation de la défense – Flux entrants dans l’entreprise
Vision utilisateur Vision IT / Manager
Internet
Un accès aux ressources depuis Internet :à Adapté au métier / au posteà Facile d’utilisation / Peu contraignantà Si possible utilisable via des protocoles et applications standards (navigateur Web)
Une ouverture des services sur Internet :à Contrôlée / Sûre Limité aux utilisateurs authentifiéà Garantissant une surface d’attaque minimale sur les applications exposéesà Offrant l’accès aux outils utilisés par les populations mobilesà Intégrée à l’infrastructure existanteà Facile à administrerà Journalisée / Surveillée
Ressources / Réseaux de l’entreprise
Périmètre de l’entreprise
Accèsmaitrisés
Pare-feu applicatif / VPN avec :• Authentification multi-facteurs• Single Sign On• Filtrage des destinations• Analyse & filtrage du contenu• Mise en quarantaine VPN• Support des fermes de serveurs
8
Application Layer Content
????????????????????????????????????????
Différentes vues d’un paquet TCP/IP
• Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire”
• La décision de laisser passer est basée sur les numéros de ports
IP HeaderSource Address,Dest. Address,
TTL, Checksum
TCP HeaderSequence Number
Source Port,Destination Port,
Checksum
Application Layer Content<html><head><meta http-
quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"
IP HeaderSource Address,Dest. Address,
TTL, Checksum
TCP HeaderSequence Number
Source Port,Destination Port,
Checksum
Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP)
Les décisions de laisser passer sont basées sur le contenu
Pare feu “traditionnel”
Pare feu multicouches (3,4,7)
9
ISA Server en quelques mots
Proxy cache
Reverse proxy
Proxy applicatifPasserelle VPN- VPN nomades- VPN site à site
Pare-feu multicouches (3,4 et 7)
Filtrage extensible
www.vpnc.org
10
Les différentes versions d’ISA 2006
• Inclus toutes les fonctionnalités de :• Pare-feu (niveaux 3,4,7)• Passerelle VPN• Proxy cache
• sur un même serveur• 1 licence par processeur
physique (4 maximum)• Également disponible sous
la forme d’appliance
• Ajoute la haute disponibilité et la tolérance de panne
• Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes)
• Ajoute l’administration centralisée au niveau entreprise
11
Disponible en « appliance »• Network Engines NS Appliances
– http://www.networkengines.com/sol/nsapplianceseries.aspx
• Autres OEMs :
12
ISA Server : un produit extensible
Filtrage applicatif
Antivirus Authentification
Contrôle d’URLs
AccélérateursSSL
ReportingHaute
disponibilité
Plus de partenaires :http://www.microsoft.com/isaserver/partners/default.asp
Appliances
13
Les 3 piliers d’ISA Server 2006
Sécuriser les applications Web publiées
Optimiser et sécuriser les réseaux d’agence
Enrichir et faciliter les déploiements
• Fournir un accès fiable et sûr à tous les périphériques disposant d’un navigateur Web
• Forte intégration avec Exchange (5.5 -> 12) et Sharepoint / WSS
• Plus de standards supportés pour l’authentification
• Améliorer la sécurité des réseaux d’agences
• Optimiser la consommation de la bande passante
• Faciliter l’administration distante
• ISA Server 2006 Entreprise Edition disponible sous la forme d’appliance
• Déploiement automatisé via clé USB
• Assistant « Branch Office » lancé automatiquement
14
Démonstration
15
Sécuriser les applications Web publiées
SharePoint, Exchange et autres serveurs Web
16
Publications Web : OWA, SPS, WSS
• Publication assistée pour les applications classiques Microsoft :
– Sharepoint Server / Windows Sharepoint Services
– Exchange Server (5.5 à 2007)
• Intégration dans l’assistant de RPC/HTTP
• Support des fonctionnalités de proxy d’Exchange Server 2007
17
Publier des serveurs de courrier
• Web accès– Outlook Web Access– RPC sur HTTP– Outlook Mobile Access– Exchange ActiveSync
• Autres types d’accès– SMTP– MS-RPC– POP3– IMAP4– NNTP
18
Intégration avec Exchange Server• Sélection dans les assistants de configuration de la
version d’Exchange utilisée– Fonctionne également avec des fermes de serveurs
• Sélection des méthodes d’accès• Couplé à Exchange Server 2007, ISA Server 2006 permet
également un accès complet (pas uniquement en lecture) à :– Des librairies SharePoint– Des partages réseaux
• Utilise pour cela une interface OWA spécifique– Ce n’est pas celle disponible avec l’onglet “Document” d’Outlook
Web Access 2007 (cf. captures d’écrans suivantes)
19
OWA Exchange 2007
20
OWA 2007 au travers d’ISA 2006
21
Publier des serveurs SharePoint• Assistant de publication
spécifique à Sharepoint / WSS• Support des fermes de serveurs• Pré-authentification et
délégation d’authentification (dont NTLM…) auprès des serveurs Sharepoint
• Avertissement concernant les paramétrages complémentaires à effectué sur Sharepoint (AAM)
• Traduction de liens (réécriture d’URLs) automatique
22
Certificats et publications
23
Meilleure gestion des certificats• Plusieurs certificats possibles sur un même port d’écoute
(mais toujours un certificat par adresse IP)• Console des certificats avec vérification de leur validité, de
leur magasin… (cf. slides suivantes)
• Objectifs :– Limiter les problèmes d’installation des certificats SSL sur ISA – Aider le dépannage sur les certificats déjà installés sur ISA ou les
serveurs publiés
« Public Key Infrastructure (PKI) and especially SSL Certificates are the most commonly misunderstood
security features among our customers » - Microsoft PSS
24
Vue générale des certificats• 4 types de certificats utilisés en fonction de leur emplacement
– Front-End – Certificat sur la machine ISA. Utilisé pour établir une connexion SSL avec des clients distants
– Remote Client – Certificat sur le poste client utilisé pour authentifier pour authentifier ce client distant sur ISA Server (optionnel)
– Back-End – Certificat installé sur un le serveur à publier et utilisé pour établir une connexion SSL entre ce serveur et le serveur ISA
– ISA Client – Certificat sur ISA Server utilisé pour authentifié ISA sur le serveur publié (optionnel)
25
Configuration d’un certificat Front-endPour bien fonctionner ce certificat doit :
– Avoir pour rôle “Server Authentication”– Être installé dans le magasin local Ordinateur
• Sous branche Personnel– Avoir une clé privée associée– Être installé sur tous les membres d’un groupe (en cas d’utilisation
sur une édition Entreprise)• Avec ISA Server 2004 édition Entreprise, si un seul de ces
pré-requis n’est pas respecté, alors l’administrateur reçoit le message d’erreur suivant :
… ou alors le certificat n’est pas visible dans l’interface utilisateur.
26
Configuration d’un certificat avec ISA Server 2006
• Le gestionnaire de certificats d’ISA Server 2006 offre les améliorations suivantes :– Affiche les certificats mal installés
• Certificat installé dans le magasin de l’utilisateur (et non dans le magasin Ordinateur)
• Certificats sans clé privée– Affiche l’état des certificats sur chaque membre d’un
groupe de serveurs– Affiche les certificats expirés avec un message
d’avertissement– Préviens quand le nom d’un certificat ne correspond pas
au nom public utilisé dans la publication
27
ISA 2006
Certificat correctement installé
28
Certificat pas installé sur tous les membres d’un groupe
29
Certificat dans le mauvais magasin
30
Certificat sans clé privée
31
Certificat expiré
32
Certificats sur le Back-End• Les problèmes de certificats sur les serveurs à publier
(Back-end) sont difficiles à dépanner– Message HTTP 500 – Internal Server Error
• ISA Server utilise les alertes pour les problèmes de configuration de ces certificats
• Les certificats sur les serveurs publiés :– Doivent être approuvés (trusted) par ISA Server (ISA 2006)– Ne doivent pas être expirées (ISA 2006)– Avoir un nom correspondant au nom utilisé par ISA pour se
connecter sur le serveur Back-End (ISA 2006)
33
Certificats sur le Back-End, améliorations apportées par ISA 2006• ISA Server 2006 ajoute des
alertes concernant les certificats sur les serveurs publiés:– Certificat ayant moins de 45 jours avant la date d’expiration
• Valable également pour les certificats installés sur la machine ISA (Front-End) !
– Certificat dont le nom ne correspond pas à l’adresse publique utilisée pour la publication
• Support des certificats de type wildcard (*) sur les Back-End
34
Authentification et ISA Server 2006
35
Définition de l’authentication
Quel type de crédentiels l’utilisateur doit posséder ?
Comment l’utilisateur présente ses crédentiels?
Comment et vers qui ISA Server valide ces informations de sécurités
(crédentiels)?Comment ISA Server fourni les crédentiels au serveur publié ?
36
One Time Password
(OTP)
Les différentes combinaisons en terme d’authentification
Password Certificate
HTML Forms (FBA)
HTTP(Basic, Digest,
Integrated)Mutual SSL/TLS
Active Directory (LDAP)
Active Directory
(Windows)RSA SecurIDRADIUS RADIUS OTP
HTTP (Basic)Kerberos
Constrained Delegation
RSA SecureID
HTTP (Integrated)
37
Processus d’authentification
Requête cliente sur un site web
Authentificationsur le port d’écoute?
Demande des crédentiels
Trouve la règle de publication
correspondante
la règle est pour “tous les utilisateurs” ?
Demande des crédentiels
AuthN nécessaireSur le backend?
Demande des crédentiels
Affiche le contenu publié
Oui
Non
Non
Oui
Oui
Non
38
Authentification et ISA 2006 • ISA Server accepte les authentifications clientes
suivantes:– Authentification HTTP (reçue dans l’entête HTTP) :
• Basique• Digest • Intégrée Windows.
– Authentification par formulaire (Forms Based Authentication) : SecurID, RADIUS, Active Directory, Active Directory LDAP, RADIUS OTP
– Certificat Client
– Pas d’authentification
39
Type d’authentification sur ISA (Front-End)Front-end(ISA)
HTTP Basic
Digest
Negotiate
Client SSL Ignore
Accept Demande de certificat; bascule sur demande
d’authentification (login password) si aucun fourniRequire Demande de certificat; échec de la règle si aucun n’est fourni Obtient une authentification à 2 facteurs en combinant avec
une demande de crédentiels sur l’authentification au niveau du port d’écoute
Formulaire HTML
Par port d’écoute ou par règleUsername + passwordUsername + passcodeUsername + password + passcodeNavigateurs uniquement. Les applications qui ne sont
pas des navigateurs doivent utiliser l’authentification HTTP basic
40
Type d’authentification et serveurs back-end (publiés)Back-end None Bloquer
Laisser traverserHTTP Basic
Négociéessaie Kerberos, puis se rabat sur NTLM
Kerberos Supports S4U2Proxy delegationDomaines Windows 2003 uniquement
Exploring S4U Kerberos Extensions in Windows Server 2003
http://msdn.microsoft.com/msdnmag/issues/03/04/SecurityBriefs/
41
Authentification LDAP• L’authentification LDAP permet à ISA Server 2006 de valider
les informations de sécurité (crédentiels) d’un utilisateur sur un contrôleur de domaine Active Directory sans nécessiter son appartenance au domaine.
• Peut utiliser (DC) or Global Catalog (GC)• Plus intéressant que RADIUS:
– Peut fonctionner directement avec un contrôleur de domaine AD sans nécessiter l’installation d’un serveur IAS (Internet Authentication Server = Radius sous Windows 2000 / 2003)
– Supporte la vérification d’accès basée sur les groupes de sécurité AD
– Supporte les connexions sécurisées (LDAPS). Avec Radius, nécessité d’utiliser IPSec
42
Authentification RADIUS One Time Password (OTP)• Nécessite un produit tiers qui inclus
– Périphérique / logiciel utilisé par l’utilisateur pour générer les passcodes– Un serveur Radius (ou IAS) qui va vérifier les passcodes
• A la place du couple username+password, le formulaire d’ISA form collecte username+passcode
• ISA transmet le couple username+passcode au serveur Radius. Le Passcode remplace ici le mot de passe
• A la différence d’une authentification standard, ISA ne vérifie pas le passcode chaque fois (one-time !). Donc une fois que le serveur Radius autorise l’utilisateur, ISA remplace le cookie par un qui dit “l’utilisateur est authentifié”
• ISA Server peut aussi collecter le mot de passe (password). Celui-ci est utilisé pour la délégation auprès des serveurs publiés et jamais par le serveur Radius
43
GET /Cookie: encrypted username, "passcode was OK!"
GET /
HTTP/1.1 302 redirectLocation: .../CookieAuth.dll?Logon?...
GET /CookieAuth.dll?Logon?...
HTTP/1.1 200 OK<logon form with asks for passcode...>
POST /CookieAuth.dll?Logon?...<body includes username+passcode>HTTP/1.1 302 redirectLocation: http://ISA/Set-Cookie: encrypted username+passcodeGET /Cookie: encrypted username+passcode
(verifies credentials
- username+passcod
e)
GET /
RADIUS One Time Passcode
ISA Server
Serveur publié
RADIUS, ACE/Server
Web server (Sharepoint, OWA, etc)
www-authenticate: <username+password>
also password
HTTP/1.1 200 OKSet-Cookie: encrypted username, "passcode was OK!"
also password
also password
also password
also password
also password
44
Authentification par formulaireForms-based Authentication (FBA)
• Quand le client accède à ISA Server, il est redirigé sur un formulaire d’authentification
• Le client saisi ses crédentiels et les POSTe sur ISA
• ISA vérifie les crédentiels et redirige le client vers le site publié. La redirection 302 incluse la mise en œuvre d’un cookie chiffré qui contient les crédentiels.
• Le client requête le site (url publiée) cette fois-ci avec le cookie
• ISA récupère le cookie, comprend les crédentiels et les utilise pour l’autorisation, la délégation et la journalisation
45
GET /
HTTP/1.1 302 redirectLocation: .../CookieAuth.dll?Logon?...GET /CookieAuth.dll?Logon?...
HTTP/1.1 200 OK<logon form...>
POST /CookieAuth.dll?Logon?...<body includes username+password>HTTP/1.1 302 redirectLocation: http://ISA/Set-Cookie: cadata...="encrypted username+password"GET /Cookie: cadata...="encrypted username+password "
(verifie crédentiels)
GET /www-authenticate: ...(Basic / NTLM / Kerberos)
Authentification par formulairePrincipe de fonctionnement
NavigateurWeb
Serveur publiéISA Server
Serveur d’authentification (Active Directory, LDAP, RADIUS, RSA ACE/Server)
Serveur Web (Sharepoint, OWA, etc)
46
Authentification par formulaireForms-based Authentication (FBA)• Fonctionne pour tous les sites web publiés sur ISA
– Premium: navigateurs avec fonctions avancés (=IE)– Basic: autres navigateurs– Mobile: navigateurs avec une faible résolution
• 3 formulaires pour chaque classe :– Logon– Logoff– SecurID
• Langages– 26 langues disponibles– Choisi en fonction des paramètres de langue du navigateur– Modifiable
47
Formats des formulaires• Username et password• Username et passcode• Combinaison (nécessite les 2)
– ID+passcode: pour SecurID ou RADIUS OTP• Validé par ISA Server
– ID+password: pour la délégation• Validé par le back-end
• Les clients qui ne sont pas des navigateurs reçoivent une demande d’authentification basique– Office, RPC sur HTTP, Exchange ActiveSync, Acrobat, …– Basé sur les chaînes user-agent– Configurable via COM - FPCUserAgentMappings
48
Formulaires prédéfinis Générique ISA Server Exchange
49
Authentification par formulaireOption de configuration
50
Gestion des sessions• Paramétrages distincts pour les machines privées ou
publiques– Cookie persistants : oui ou non?
• Les cookies persistants sont stockés sur le disque du client et peuvent être lus par tous les processus de la machine
• Un cookie de session (=non-persistant) est local au processus en cours du navigateur. Si l’utilisateur démarre un nouveau navigateur (= nouveau processus) alors il devra se ré-authentifier
– Timeout – combien de temps?– Implémenté au niveau du cookie ET dans ISA
• ISA Server gère la durée des sessions– Durée maximale d’inactivité (idle time)– Durée maximale d’une session
• Une URL de déconnexion pour chaque application Web– La session expire quand le client envoie une requête à l’URL
de déconnexion
51
Single Sign On sur les applications Web• L’utilisateur ne se signe qu’une
fois par session
• Via un même port d’écoute et un suffixe DNS commun
• ISA gère les time outs et la durée maximale des sessions
• Exemple : pour mail.mycompany.com, sps.mycompany.com et www.mycompany.com, le domaine SSO est .mycompany.com
52
Comment fonctionne le SSO ?
1. Le client se connecte sur mail.mycompany.com, s’authentifie avec le formulaire ISA
2. Une fois redirigé vers le site, ISA pose un cookie de domaine– Set-Cookie: ...; domain=.mycompany.com;...
3. Chaque fois que le client va sur un site dans *.mycompany.com, il présente le cookie– Cookie: ...
4. ISA voit le cookie et comprend qui est l’utilisateur
53
www.domain.com
Processus Single Sign On
eng
dev
mktg
sup
mycompany.com
www.domain.com
dev.example.com
Identification ?ID+pass
sup.example.com Déjà
vueng.example.com
Identification ?
Même si les ports d’écoutes partage le même type d’authentification et si le SSO est activé
54
Délégation de l’authentification• ISA Server s’authentifie auprès du serveur web
publié à la place de l’utilisateur• Différents paramètres pour chaque règle de
publication– HTTP (Basic, NTLM, Négocié)– SecurID– Kerberos Constrained Delegation
• Implémenté sous la forme d’un nouveau filtre “Authentication Delegation" filter - authdflt.dll
55
Délégation et méthodes d’authentificationDélégation avancée
Front-endInterface Provider
Back-enddelegation Commentaires
Formulaire HTML
HTTP basic
WinLogonLDAPRADIUS
Aucune (passthrough)Aucune (block)HTTP basicKerberos S4U2ProxyNegotiate
Supporte SSO Peut nécessiter un certificat
pour un authentification à 2 facteurs
DigestIntégré
WinLogon None (passthrough)None (block)
Formulaire avec passcode
SecurID None (passthrough)None (block)SecurID
Supports SSO
Formulaire avec passcode et mot de passe
SecurID None (passthrough)None (block)HTTP basicKerberos S4U2ProxyNegotiateSecurID
Supports SSO
Client SSL WinLogon N/A Combiné avec SecureID pour une authentification à 2 facteurs
56
Démonstration
57
Traduction (réécriture) de liens
58
Publication Web sécuriséeReverse proxy - principes
Kiosk
HomeComputer
Laptop
SharePointHttp://portal
Web server1http://hrweb
Exchange
Internalclient
Internalclient
Internalclient
ISA 2006 Array
http://portalhttp://hrweb
OWA\Outlookhttps://portal.public.microsoft.com
https://hrweb.public.microsoft.com
https://mail.public.microsoft.com
59
Réécriture de liens : principes
http://www.example.com
<HREF=http://teams/eng>
?
60
Réécriture de liens : principes
http://www.example.com
<HREF=http://teams/eng>
<HREF=http://teams.example.com/eng
61
Réécriture de lienstraduction de liens
• Bénéfices– Permet de ne pas divulguer
des noms internes (urls, nom NetBios de serveur…)
– Permet à des utilisateurs externes d’utiliser des liens sans pour autant avoir à réécrire les applications Web (économies)
• Nouveautés ISA 2006– Activée automatiquement– Moteur de réécriture plus
rapide– Multi-langues
62
Réécriture de liens dans des groupes de serveurs ISA (arrays)
• Réécriture de liens même si le contenu web est sur un autre groupe
• Permet d’augmenter la disponibilité– En cas de panne d’un
groupe dans une région, le dictionnaire de récriture reste disponible sur les autres groupe
63
Dictionnaire global - Entreprise
Array 1
Réécriture de liens inter-groupes
From To
Calculated Enterprise Dictionary
http://portal
http://hrwebhttp://owa
https://portal.public.microsoft.com
https://hrweb.public.microsoft.comhttps://mail.public.microsoft.com
Array 2
From To
Global Dictionary
http://portal
http://hrweb
https://portal.public.microsoft.com
https://hrweb.public.microsoft.com
From To
Global Dictionary
http://owa https://mail.public.microsoft.com
64
Démonstration
65
Publication de batteries (fermes) de serveurs Web
66
Meilleur support des environnements à équilibrage de charge• Intégration dans les assistants de publication d’ISA• Utilise des objets de type « batterie de serveurs »• Affinité des sessions par adresse IP ou cookies• Préservation du contexte des applications
– Simple affinité uniquement• Ne nécessite pas l’utilisation de NLB sur les serveurs publiés
– Élimine les problèmes de NAT et autres routages– Ne se base plus sur les adresses IP d’ISA, permettant ainsi une meilleure
répartition sur les serveurs publiés• 2 types de répartition
– Basée sur des cookies (ex : OWA par défaut)– Basé sur l’adresse IP Source (ex: RPC/HTTP par défaut)
67
WPLB par adresse IP du client vs. Cookie • WPLB : Web Publishing Load Balancing = Publication Web avec répartition de charge• WPLB basé sur l’adresse IP du client
– La même adresse IP du client obtient toujours le même serveur– Fonctionne même si le client ne supporte pas les cookies (ou si il
les bloque)• WPLB basé sur les cookie (affinité de session)
– Plusieurs clients sont répartis sur plusieurs serveurs, même si ils sont derrière un NAT ou un proxy
– L’affinité est maintenue même si le client est derrière un proxy utilisant CARP (il n’est pas nécessaire de créer des exceptions CARP)
68
Exemple de cookie pour le WPLB
69
Batteries de serveurs• Définie comme un objet réseau• Utilisable dans les règles de
publication
70
Configuration1. Création d’un objet ‘ferme de serveur”
– Liste des serveurs– Vérificateurs de connectivité
2. Créer une règle de publication Web en faisant référence à la ferme
3. La règle a également un "Internal site name"– Nom utilisé par les clients et serveurs internes pour la ferme
• Doit permettre la résolution vers un des serveurs
4. ISA va l’utiliser comme nom d’entête d’hôte lors du transfert des requêtes vers la ferme de serveurs (à moins que l’option “Forward original host header” soit cochée)
5. ISA va réécrire les liens contenant ce nom avec le nom publique
71
Surveillance - Vérificateurs de connectivité• ISA surveille la santé (status) d’une ferme de serveurs web avec les
vérificateurs de connectivité
• Quand le serveur cible n’est pas joignable, les requêtes sont relayées vers un autre serveur– Les clients avec une session en cours sur le serveurs qui est “tombé”
perdent leur session en cours
• Les vérificateurs sont créés implicitement pour la ferme
• Les mêmes options que les vérificateurs créés manuellement sont disponibles : ping, TCP, HTTP, HTTPS
• Le vérificateur doit correspondre au type de serveur publié – exemple: en cas de pontage SSL, utilisé le vérificateur HTTPS pour vérifier
les erreurs relatives à ce type de connexion (expiration de certificats…)
72
Surveillance - test de connectivité
73
Management - Purge
• Si vous voulez mettre hors service un serveur pour des raisons de maintenance, il faut au préalable le purger (drain) :– Aucune nouvelle requête ne doit être relayée vers un serveur
purgé– Note : ISA ne peut pas savoir combien de sessions sont encore en
cours sur le serveur web (elles peuvent être conservées dans un cookie du navigateur). L’administrateur doit vérifier l’activité du serveur et décider quand l’arrêter.
• Une fois que le serveur est “remonté”, il faut le reprendre (resume)
74
Purger / Reprendre un serveur
75
Surveillance de l’état des serveurs
• Actif
• Purgé
• Supprimé
• Hors service
76
Surveillance de l’état des serveurs
Active Etat normal quand un serveur est ajouté à une ferme. Va accepter les requêtes entrantes
Draining Termine les requêtes en cours de traitement. Ne va pas accepter les nouvelles requêtes
Out of service
Changement automatique d’état si le serveur ISA détecte que le serveur ne répond plus
Removed Suppression de la ferme et dans l’interface utilisateur. N’accepte pas de requêtes.
• Quand un serveur en panne (arrêté) revient en ligne, il accepte de nouvelles requêtes. Les requêtes précédentes restent sur le serveur qui avait repris la main
77
Surveillance• ISA n’a pas en standard l’outil permettant de surveiller la
distribution de la charge entre les membres d’une ferme
– Il est cependant possible de vérifier les journaux pour voir combien de sessions vont vers un serveur
– La lecture des journaux et des compteurs de performances des serveurs Web sont également une bonne source d’information
78
Démonstration
79
Optimiser et sécuriser les réseaux d’agences
80
Utilisation de la compression HTTP
Site central
Jean BouinSept Deniers
81
La compression HTTP
• Documentée dans les RFC 1951 & 1952• Uniquement sur de l’HTTP 1.1 Get “AcceptEncoding = Accept-Encoding: gzip, deflate” Reponse “ContentEncoding = Content-Encoding: gzip”
Dans l’entête HTTP de la requête du clientDans l’entête HTTP de la réponse du serveur
82
La compression HTTP dans ISA• 2 filtres Web
– Filtre de compression / décompression– Filtre de cache et de contenu compressé
• Inspection du contenu compressé – Le filtre de compression est le premier dans l’ordre de traitement
• Le cache supporte le contenu Http compressé grâce au second filtre
• Attention : l’utilisation de la compression peut affecter les performances du serveur (CPU)
83
Contrôle de la compression HTTP• Source ou Destination
– Réseau– Groupe d’ordinateurs
• Contenu– Documents html– Texte– Images– …
• Le paramétrage se fait au niveau du port d’écoute (nouveauté ISA Server 2006) ou pour la globalité du serveur– Le paramétrage n’est pas possible au niveau des règles
• Important : le trafic HTTPs n’est pas compressé
84
Compression HTTP côté client
• Les clients HTTP 1.1 demandent automatiquement la compression
• Paramètre à activer sur le navigateur
85
Démonstration
86
Gestion de priorité pour les flux HTTP• Support de Differentiated Services (DiffServ)
• Documentée dans les RFC 2474, 2475• Utilise le champ TOS (Type Of Services) des paquets
IPv4– Cf. slide suivante
• Il faut que l’infrastructure le supporte (routeur)
• Paramétrable en fonction :– URL– Domaine– Réseau– Taille du contenu
87
Differentiated Services
Protocol
IP Options
Destination Address
Source Address
TTL Header Cheksum
Identification Flags Frag Offset
Ver4 IHL TOS Total Length
0 1 2 3 4 5 6 7
Differentiated Services Codepoint (DSCP)
88
Differentiated Services0 1 2 3 4 5 6 7
Differentiated Services Codepoint (DSCP)
Bits de 0 à 2 : Class SelectorBits de 3 à 5 : Priorité dans les classesBits 6 et 7 : Pas utilisés
001010001100001110
010010010100010110
011010011100011110
100010100100100110
Classe 1 Classe 2 Classe 3 Classe 4Garantie d’acheminement croissante
Taux
de
reje
t cr
oiss
ant
89
Démonstration
90
Mise en cache BITS (Scénario réseau d’agences)
`
`
La mise en cache BITS est supportée avec : • Windows Update / Microsoft Update• Windows Server Update Services (WSUS)
`
ISA Server agence
ISA Server Site Central
WANFaible débit
91
BITS Caching• Background Intelligent Transfer Service• Documenté dans la RFC 2616• Utilisé avec :
– Automatique update– Windows update– Microsoft update
• Vérifie– Range: request header– Content-range: response header
A paramétrer sur les postes clients
92
93
Démonstration
94
Prévention des attaques par saturationFlood resiliency
• Objectif Protéger ISA Server contre :– Propagation de ver– Bombardement SYN – Déni de service (DoS)– Déni de service distribué (DDoS)– Bombardement HTTP
• Dans certains cas, les ordinateurs derrière ISA seront également protégés mais ce n’est pas l’objectif principal de cette fonction
95
Fonctions de prévention d’attaque par saturation
1 – Attaques bloquées• Propagation de vers• Attaques SYN• Déni de Service (DoS)• Déni de Service distribué (DDoS)• Déni de Service (DoS) par
bombardement HTTP
2 – Techniques de réduction• Limiter les requêtes de connexion TCP par minute par IP• Limiter le nombre de connexions TCP simultanées par IP• Limiter le nombre de connexion TCP “half-open” par IP• Limiter le nombre de requêtes HTTP par minute par IP• Limiter les sessions simultanées non-TCP par IP• Limiter les nouvelles sessions Non-TCP par minute et par règle• Limiter les messages de refus TCP et non-TCP
3 – Contrôle des ressources• Saturation des journaux• Consommation mémoire• Requêtes DNS en cours
4- Remédiation• Déclenchement d’alertes avec information sur
l’attaque et instruction de remédiation• Notification de l’administrateur avec les adresses IP
des clients infectés
96
Facilité de déploiement
97
Appliances ISA 2006 : améliorations
• Déploiement facilité– Déploiement entièrement automatisable avec une clé
mémoire USB– Assistant réseau d’agence exécuté automatiquement
sur une appliance en agence.
• La version Entreprise d’ISA Server 2006 sera également disponible en version appliance
98
Le challenge : déployer ISA sur des centaines d’agences• Beaucoup de serveurs à déployer• Pas d’administrateur local dans les agences• ISA Server 2006 dispose d’un assistant spécifique à ce
type de déploiement : Assistant Connectivité VPN des sites distants de ISA Server (Appliance Configuration Wizard) . • VPN bootstrap amélioré• Configuration distante du CSS• Rattachement au groupe de serveurs du site central
• Installation complètement automatisée via des fichiers de réponses
• Support spécial pour les appliances
Déploiement en réseau d’agence simplifié
99
Assistant ISA Server de connectivité VPN pour réseau d’agenceDisponible sur le CD-Rom d’ISA Server 2006 :.\FPC\Program Files\Microsoft ISA Server\AppCfgWzd.exe
100
Assistant pour les réseaux d’agenceAppliance Configuration Wizard
Siège (Site central)
Réseau d’agence
Fichier de réponse(unattended)
1. Etablissement d’une connexion VPN site à site avec le siège
2. Association du serveur ISA de l’agence avec le serveur CSS (Configuration Storage Server) du siège et synchronisation
3. Entrée du serveur d’agence dans un groupe de serveurs (array)Serveur
CSS
101
Déploiement amélioré des CSS en central• Meilleur support des déploiement des CSS en
central
• Pourquoi un CSS en central ?– Sécurité : réduction de la surface d’attaque sur les
stratégies d’accès– TCO réduit : moins de CSS à déployer et à configurer– Economie de trafic réseau : seule la configuration
spécifique aux agences est téléchargée
102
Déploiement amélioré des CSS en central• Un seul CSS sur un site central peut servir des centaines
d’ISA 2006 en agences– Ajouter un second CSS pour la haute disponibilité
• Nécessite d’avoir les CSS membres d’un même domaine
• Performances accrues versus ISA 2004 EE sur les liens à faible débit– Ligne bas débit : 64 kbps, 250 ms de latence– Installation en quelques minutes (vs quelques heures)– Nouveau système de propagation des mises à jours des politiques
(moins d’une minute)
103
Ressources utiles• Site Web Microsoft
– www.microsoft.com/isaserver– www.microsoft.com/france/isa
• Webcasts et séminaires TechNet (Gratuits) • Sites externes
– www.isaserver.org– www.isaserverfr.org– www.isatools.org– www.isascripts.org– Isafirewalls.org
• Newsgroup français– Microsoft.public.fr.isaserver
• Kits de déploiement• Blog : Blogs.technet.com/stanislas• Kits d’évaluation
– Version d’évaluation (120 jours)– CD (livres blancs et guide déploiement)
104
Questions / Réponses
105
Microsoft France18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829