ISA Serveur 2004 - aide.informatique1.fraide.informatique1.fr/.../uploads/2013/09/14-_-ISAserver2004_F.pdf · 10 TP 3 : Configuration de messagerie Exchange (Internet/Externe)

2016

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER

OLIVIER D.

Olivier DEHECQ – http://aide.informatique1.fr Page 2

Table des matières 1 Rôles ....................................................................................................................................................... 3

2 Organisation ........................................................................................................................................... 4

3 TP1 : Configurer les règles de pare-feu ................................................................................................ 8

4 Le proxy cache .....................................................................................................................................10

5 Demander un mot de passe pour Interne vers Externe (HTTP).........................................................11

6 La publication de service .....................................................................................................................13

7 TP2 : Rediriger deux URL différentes vers 2 serveurs différents ......................................................18

8 VPN .......................................................................................................................................................19

9 Radius ...................................................................................................................................................23

10 TP 3 : Configuration de messagerie Exchange (Internet/Externe) ...............................................28


1 Rôles ISA Serveur 2004 a les rôles de :

Pare-feu applicatif (de la couche 1 à la couche 7) d’infrastructure

Proxy cache

Solution Serveur VPN (PPTP / L2TP)

Frontal : Exchange, SharePoint, ActiveSync, messagerie unifiée


2 Organisation

2.1 ETAPE 1 : objets réseaux

Configurer Interne (LAN) et DMZ tout le reste est Externe

Interface de configuration des réseaux


2.2 ETAPE 2 : les règles de réseaux

Attention au sens : de l’intérieur vers l’extérieur !

Interne vers Externe (NAT)

Interne vers DMZ (Routage)

DMZ vers Externe (NAT)

Interface de configuration des règles de réseau

2.3 ETAPE 3 : Activer les rôles des clients (côté serveur)

Propriétés de l’objet réseau « INTERNE » :

Vérifier que le client pare-feu et le client proxy sont cochés

Onglet « client de pare-feu » des propriétés de Interne

Onglet « proxy web » des propriétés de Interne


2.4 ETAPE 4 : activer les rôles des clients (coté client)

Configurer le client proxy web

Configurer le client Pare-feu : \\AdresseIpDuServeurIsa\mspclnt\setup.exe

Le client SecureNat est configuré : Passerelle par défaut

Configuration du client ISA

2.4.1 A propos des rôles des clients

Web proxy

avantages inconvénients

Gère l’authentification AD (groupes / util. / ordi. /

radius / IP …)

Mise en œuvre simple

Limité aux protocoles Web (http / https / ftp /

gopher)

Securenat


Gère TOUS les protocoles

Mise en œuvre facile

Authentification IP (AdresseIP ordi / sous réseau)

Pare-feu « client ISA »


Gère TOUS les protocoles

Gère l’authentification AD (groupes / util. / ordi. /

radius / IP …)

Besoin de l’installer (via

\\x.x.x.x\mspclnt\setup.exe)

2.5 Etape 5 : Configurer la stratégie de pare-feu

Par défauts, des règles sont déjà préconfigurées. Mode restrictif activé.

Nouvelle > Règle d’accès > autoriser http depuis INTERNE vers EXTERNE

La réciproque est créée automatiquement

Tester :

Surveillance > journalisation > démarrer la requête

Tester que les flux passent bien par ISA (en autoriser / refuser)

Si ça ne passe pas, ISA n’est pas en cause, chercher ailleurs !



3 TP1 : Configurer les règles de pare-feu Ajouter les règles pour FTP / TELNET / http / RDP (bureau distant) / PING

Interface de configuration des stratégies de pare-feu

Démarrer le service Telnet : services.msc

Activer l’accès au bureau à distance sur le serveur web (propriétés de l’ordi)

Le protocole ICMP est remplacé par « Ping »

Tester :

Outil de surveillance des flux intégré à ISA Server 2004


3.1 Configurer une règle de pare-feu pour HTTPS

Il faut un obtenir un certificat SSL (« serveur web ») auprès de la PKI entreprise

1. Obtenir le certificat SSL :

Placer le serveur web dans le domaine et créer une règle de pare-feu :

o Externe vers Interne (HTTP) ou

o Externe vers Internet (NAT)

2. faire une demande de certificat : interface web : http://AdresseIpControleurDomaine/certsrv

3. Replacer le serveur web dans le réseau externe et supprimer les règles de pare-feu

précédentes

4. SSL > modifier > « requérir un canal sécurisé »

5. Certificat de serveur > « attribuer un certificat existant »

3.2 Configurer une règle de pare-feu pour DNS

Configurer DNS tel que sur le schéma (tout doit aller vers DNS du DC, et ISA doit rediriger vers DNS

extérieur)

Configuration DNS pour ISA Server 2004

http://adresseipcontroleurdomaine/certsrv


4 Le proxy cache Le but d’utiliser de la fonction « proxy cache » est de diminuer la bande passante entre l’ISA et

l’extérieur en mettant en cache le contenu des pages statiques et des pages HTML. Ne fonctionne pas

avec HTTPS, ni même avec PHP …

On peut aussi configurer ça sur un disque RAID0, ça accélère le tout.

Configuration > Cache > Définir les lecteurs de cache


5 Demander un mot de passe pour Interne vers Externe (HTTP) Config > réseaux > interne > Propriétés > Proxy web > Authentification

Configuration du proxy web

Options d’authentification

Il existe plusieurs méthodes d’authentification

De base : Le fait qu’on soit en domaine AD suffit (par défaut)

Intégrée : Demande le login + password AD lorsqu’on ouvre IE

Certificat SSL : Le client qui a son certificat délivré par la PKI définie sur ISA peut accéder à internet

RADIUS : Utilise l’authentification Radius

OWA : Utilise l’authentification d’Exchange (adresse mail + password)



6 La publication de service Publication de service : de l’extérieur vers l’intérieur. Une règle de publication par service et par HOST

Règle de publication :

- de l’Exterieur (ANY) vers l’Interieur (HOST) : une règle par service et par host

Règle de pare-feu :

- de l’intérieur (ANY) vers l’extérieur (ANY)

6.1 Publication de site web

Publication du site web de la DMZ pour qu’on puisse le consulter depuis internet. Les services publiés

le sont depuis la DMZ.

1. Sur le serveur WEBDMZ : accéder en http depuis le réseau local pour tester

Exemple : http://www.stag1.fr

2. Sur le serveur ISA : publier site web

Adresse IP du serveur WEBDMZ : 200.0.0.1

Nom du site : toto.societe.net

3. Sur le serveur DNS externe : créer une zone societe.net :

mailhost.societe.net. A 200.0.0.1 toto CNAME mailhost.societe.net.

4. Tester :

Journalisation ISA

Ouvrir la page web http://toto.societe.net

nslookup

Etc.

6.2 Publication : ISA en frontal SSL

Permet à ISA de faire croire aux clients d’internet que chaque serveur qui est publié a été signé par un

certificat SSL.

Avec du SSL on peut publier :

HTTPS (dont OWA)

Outlook Anywhere (RPC/SSL)

ActiveSync/SSL

SMTP/SSL

Etc.

Avant tout, il faut qu’ISA récupère un certificat SSL auprès de la PKI :

Ajouter une règle de pare-feu : HoteLocal vers Interne (HTTP)

Se connecter à http://IP-serveur-PKI/certsrv et récupérer et installer le certificat Serveur Web

Sur le serveur PKI :

Vérifier que le modèle de certificat « Serveur Web » est présent et que l’admin peu l’inscrire.

Sur le serveur ISA :

Récupérer le certificat « serveur web », le stocker en local. Virer ensuite la règle de pare-feu.

Configurer le DNSlocal pour qu’ISA puisse avoir l’adresseIP de SRVDMZ avec www.stag1.fr

Configurer le DNSpublic pour qu’internet puisse avoir l’adresseIP publique d’ISA avec www.societe.net

http://www.stag1.fr/

http://toto.societe.net/

http://ip-serveur-pki/certsrv


Publication SSL du site web : internet et externe

Méthode1 : modifier la publication de serveur web créée en partie 6.1

On ajoute l’activation de SSL

On sélectionne le certificat SSL obtenu depuis la PKI

Authentification : authentification des utilisateurs

Modification de la publication de site web


Méthode 2 : utilisation de la publication de serveur web sécurisée

Pontage : à utiliser dans le cas du D-NAT (DestinationNAT)

Le serveur web est en http, le client reçoiot du https

L’URL, selon le serveur ISA est www.stag1.fr

http://www.stag1.fr/


Le DNS configuré sur lequel pointe le serveur ISA est configuré

On teste l’URL du site web depuis ISA, si ping OK, on continue

L’URL, selon le client est www.stag1.fr


Les ports d’écoute sont http et https


7 TP2 : Rediriger deux URL différentes vers 2 serveurs différents

Les serveurs DNS doivent être bien configurés avant de paramétrer le serveur ISA

Une fois les serveurs DNS configurés, publier les sites web l’un après l’autre puis configurer le serveur

ISA en frontal SSL (utiliser la méthode 2).

7.1 Publier un serveur de messagerie

Règle de publication de serveur de courrier :

Accès au client web :

webmail (OWA …)

Accès client (RPC / IMAP / POP / SMTP)

Pour qu’un client web puisse récupérer ses mails sur un serveur de messagerie local

Communication de serveur à serveur (SMTP / NMTP)

Pour que le serveur de messagerie local puisse récupérer les mails sur un serveur de

messagerie externe

7.2 Publier un serveur

Permet de faire de la publication de service de n’importe quel protocole vers l’extérieur

Exemple, RDP du serveur WEBDMZ :

Penser à activer le bureau à distance depuis WEBDMZ


8 VPN

Etapes de mises en place d’un certificat IPSec

Pour accéder à l’ensemble du réseau on définit un tunnel VPN utilisant des certificats

Déployer les certificats. Utilisation de GPO possible

8.1 Utilisation de L2TP + IPSec

Règle de réseau

Client VPN vers Interne (routage)

Règle de pare-feu

Client VPN vers Interne (tout)

Configurer VPN

1. Nombre de client VPN

2. Utilisateurs ayant droit

3. PPTP ou L2TP

Les clients viennent de « Externe », définir les plages d’adresse des clients (créer un réseau

VPN)

4. Règles de pare-feu : Clients VPN vers Interne (tout)

Déplacer le client (après obtention du certificat IPSec auprès de la PKI)

Créer une connexion VPN : gestion de réseau > VPN L2TP IPSec

ISA en workgroup :

- Récupérer un certificat auprès d’une PKI

Permet d’approuver tous les « clients » de cette PKI

8.2


8.3 Configuration de VPN pas à pas

Côté serveur ISA :

Définir le nombre maximum de clients VPN

Définir les groupes ayant droit de se connecter en VPN


Choisir PPTP ou L2TP

Les clients viennent du réseau Externe

Définir les plages d’adresses IP

Résultat obtenu après configuration


Côté client VPN :

Créer une nouvelle connexion réseau, de type VPN L2TP IPSec

Etat de la connexion, une fois connecté au VPN

Etat de surveillance, côté serveur ISA


9 Radius Jusqu’à présent, le serveur ISA était dans le domaine.

Lors de la connexion des clients, le serveur ISA envoyait des requêtes LDAP (login + mot de passe)

Le serveur ISA est maintenant en Workgroup

1er Cas : création des utilisateurs VPN dans la SAM local du serveur ISA. Lourd à gérer

2ème Cas : utilisateur d’un serveur RADIUS. Plus de sécurité, moins simple à gêrer

Tout matériel de type 802.1x peut être client RADIUS

9.1 Installation de Radius sur WS2003

Côté serveur Radius (IAS) :

Ajout de programmes > Fonctionnalités > Service de mise en réseau > Service d’Authentification Internet

Paramètres du client Radius :

Adresse IP : indiquer celle du serveur ISA

Définir un secret Partagé

Autoriser les deux stratégies d’accès distant

Côté client Radius (Serveur ISA) :

Sélectionner un serveur Radius et définir les propriétés du VPN

Côté client VPN :

Utiliser une connexion PPTP

Demande du login et mot de passe et domaine (automatique)


9.2 Mise en pratique

Coté serveur ISA :

Console ISA : configuration du VPN

Utiliser l’authentification RADIUS et sélectionner le serveur RADIUS


Activer le protocole PPTP

Côté client RADIUS :

Sélectionner le protocole PPTP

Connexion (avec domaine)


Détail de la connexion : le protocole PPTP est actif

Côté serveur RADIUS (IAS) :

Composants > Services de mise en réseau > S.A.I

La mmc Service d’Authentification Internet


Autoriser les deux stratégies d’accès RADIUS


10 TP 3 : Configuration de messagerie Exchange (Internet/Externe)

10.1 Installation d’Exchange 2003 sur un serveur (ici le serveur web-internet)

1) installer le service ADDS ‘eni.fr’

2) installer IIS (ajouter ASP.NET / SMTP / NMTP)

3) installer WS2003 sp2

4) faire les setup.com /prepareschema ...

5) installer Exchange 2003 + sp2

6) redémarrer

10.2 Configuration du serveur ISA

Interne vers Externe (SMTP) règle de pare-feu

Externe vers 192.168.0.100 (SMTP) règle de publication du serveur Exchange domaine.local

Interne vers Externe (DNS) règle de pare-feu pour la redirection DNS

10.3 Tester

C:\> nslookup –q=MX domaine.fr

C:\> nslookup –q=MX domaine.local

Sur le serveur Exchange de domaine.fr (88.8.8.8)

C:\> nslookup –q=MX domaine.local

doit indiquer l’adresse publique du serveur ISA (200.0.0.1)

Tester aussi en démarrant la journalisation sur le serveur ISA (flux SMTP, flux DNS)

Envoyer un mail de domaine.local à domaine.fr, et répondre à ce mail

Documents

ISA Serveur 2004 - aide.informatique1.fraide.informatique1.fr/.../uploads/2013/09/14-_-ISAserver2004_F.pdf · 10 TP 3 : Configuration de messagerie Exchange (Internet/Externe)