Upload
hanga
View
222
Download
5
Embed Size (px)
Citation preview
2016
ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER
OLIVIER D.
Olivier DEHECQ – http://aide.informatique1.fr Page 2
Table des matières 1 Rôles ....................................................................................................................................................... 3
2 Organisation ........................................................................................................................................... 4
3 TP1 : Configurer les règles de pare-feu ................................................................................................ 8
4 Le proxy cache .....................................................................................................................................10
5 Demander un mot de passe pour Interne vers Externe (HTTP).........................................................11
6 La publication de service .....................................................................................................................13
7 TP2 : Rediriger deux URL différentes vers 2 serveurs différents ......................................................18
8 VPN .......................................................................................................................................................19
9 Radius ...................................................................................................................................................23
10 TP 3 : Configuration de messagerie Exchange (Internet/Externe) ...............................................28
Olivier DEHECQ – http://aide.informatique1.fr Page 3
1 Rôles ISA Serveur 2004 a les rôles de :
Pare-feu applicatif (de la couche 1 à la couche 7) d’infrastructure
Proxy cache
Solution Serveur VPN (PPTP / L2TP)
Frontal : Exchange, SharePoint, ActiveSync, messagerie unifiée
Olivier DEHECQ – http://aide.informatique1.fr Page 4
2 Organisation
2.1 ETAPE 1 : objets réseaux
Configurer Interne (LAN) et DMZ tout le reste est Externe
Interface de configuration des réseaux
Olivier DEHECQ – http://aide.informatique1.fr Page 5
2.2 ETAPE 2 : les règles de réseaux
Attention au sens : de l’intérieur vers l’extérieur !
Interne vers Externe (NAT)
Interne vers DMZ (Routage)
DMZ vers Externe (NAT)
Interface de configuration des règles de réseau
2.3 ETAPE 3 : Activer les rôles des clients (côté serveur)
Propriétés de l’objet réseau « INTERNE » :
Vérifier que le client pare-feu et le client proxy sont cochés
Onglet « client de pare-feu » des propriétés de Interne
Onglet « proxy web » des propriétés de Interne
Olivier DEHECQ – http://aide.informatique1.fr Page 6
2.4 ETAPE 4 : activer les rôles des clients (coté client)
Configurer le client proxy web
Configurer le client Pare-feu : \\AdresseIpDuServeurIsa\mspclnt\setup.exe
Le client SecureNat est configuré : Passerelle par défaut
Configuration du client ISA
2.4.1 A propos des rôles des clients
Web proxy
avantages inconvénients
Gère l’authentification AD (groupes / util. / ordi. /
radius / IP …)
Mise en œuvre simple
Limité aux protocoles Web (http / https / ftp /
gopher)
Securenat
avantages inconvénients
Gère TOUS les protocoles
Mise en œuvre facile
Authentification IP (AdresseIP ordi / sous réseau)
Pare-feu « client ISA »
avantages inconvénients
Gère TOUS les protocoles
Gère l’authentification AD (groupes / util. / ordi. /
radius / IP …)
Besoin de l’installer (via
\\x.x.x.x\mspclnt\setup.exe)
2.5 Etape 5 : Configurer la stratégie de pare-feu
Par défauts, des règles sont déjà préconfigurées. Mode restrictif activé.
Nouvelle > Règle d’accès > autoriser http depuis INTERNE vers EXTERNE
La réciproque est créée automatiquement
Tester :
Surveillance > journalisation > démarrer la requête
Tester que les flux passent bien par ISA (en autoriser / refuser)
Si ça ne passe pas, ISA n’est pas en cause, chercher ailleurs !
Olivier DEHECQ – http://aide.informatique1.fr Page 7
Olivier DEHECQ – http://aide.informatique1.fr Page 8
3 TP1 : Configurer les règles de pare-feu Ajouter les règles pour FTP / TELNET / http / RDP (bureau distant) / PING
Interface de configuration des stratégies de pare-feu
Démarrer le service Telnet : services.msc
Activer l’accès au bureau à distance sur le serveur web (propriétés de l’ordi)
Le protocole ICMP est remplacé par « Ping »
Tester :
Outil de surveillance des flux intégré à ISA Server 2004
Olivier DEHECQ – http://aide.informatique1.fr Page 9
3.1 Configurer une règle de pare-feu pour HTTPS
Il faut un obtenir un certificat SSL (« serveur web ») auprès de la PKI entreprise
1. Obtenir le certificat SSL :
Placer le serveur web dans le domaine et créer une règle de pare-feu :
o Externe vers Interne (HTTP) ou
o Externe vers Internet (NAT)
2. faire une demande de certificat : interface web : http://AdresseIpControleurDomaine/certsrv
3. Replacer le serveur web dans le réseau externe et supprimer les règles de pare-feu
précédentes
4. SSL > modifier > « requérir un canal sécurisé »
5. Certificat de serveur > « attribuer un certificat existant »
3.2 Configurer une règle de pare-feu pour DNS
Configurer DNS tel que sur le schéma (tout doit aller vers DNS du DC, et ISA doit rediriger vers DNS
extérieur)
Configuration DNS pour ISA Server 2004
Olivier DEHECQ – http://aide.informatique1.fr Page 10
4 Le proxy cache Le but d’utiliser de la fonction « proxy cache » est de diminuer la bande passante entre l’ISA et
l’extérieur en mettant en cache le contenu des pages statiques et des pages HTML. Ne fonctionne pas
avec HTTPS, ni même avec PHP …
On peut aussi configurer ça sur un disque RAID0, ça accélère le tout.
Configuration > Cache > Définir les lecteurs de cache
Olivier DEHECQ – http://aide.informatique1.fr Page 11
5 Demander un mot de passe pour Interne vers Externe (HTTP) Config > réseaux > interne > Propriétés > Proxy web > Authentification
Configuration du proxy web
Options d’authentification
Il existe plusieurs méthodes d’authentification
De base : Le fait qu’on soit en domaine AD suffit (par défaut)
Intégrée : Demande le login + password AD lorsqu’on ouvre IE
Certificat SSL : Le client qui a son certificat délivré par la PKI définie sur ISA peut accéder à internet
RADIUS : Utilise l’authentification Radius
OWA : Utilise l’authentification d’Exchange (adresse mail + password)
Olivier DEHECQ – http://aide.informatique1.fr Page 12
Olivier DEHECQ – http://aide.informatique1.fr Page 13
6 La publication de service Publication de service : de l’extérieur vers l’intérieur. Une règle de publication par service et par HOST
Règle de publication :
- de l’Exterieur (ANY) vers l’Interieur (HOST) : une règle par service et par host
Règle de pare-feu :
- de l’intérieur (ANY) vers l’extérieur (ANY)
6.1 Publication de site web
Publication du site web de la DMZ pour qu’on puisse le consulter depuis internet. Les services publiés
le sont depuis la DMZ.
1. Sur le serveur WEBDMZ : accéder en http depuis le réseau local pour tester
Exemple : http://www.stag1.fr
2. Sur le serveur ISA : publier site web
Adresse IP du serveur WEBDMZ : 200.0.0.1
Nom du site : toto.societe.net
3. Sur le serveur DNS externe : créer une zone societe.net :
mailhost.societe.net. A 200.0.0.1 toto CNAME mailhost.societe.net.
4. Tester :
Journalisation ISA
Ouvrir la page web http://toto.societe.net
nslookup
Etc.
6.2 Publication : ISA en frontal SSL
Permet à ISA de faire croire aux clients d’internet que chaque serveur qui est publié a été signé par un
certificat SSL.
Avec du SSL on peut publier :
HTTPS (dont OWA)
Outlook Anywhere (RPC/SSL)
ActiveSync/SSL
SMTP/SSL
Etc.
Avant tout, il faut qu’ISA récupère un certificat SSL auprès de la PKI :
Ajouter une règle de pare-feu : HoteLocal vers Interne (HTTP)
Se connecter à http://IP-serveur-PKI/certsrv et récupérer et installer le certificat Serveur Web
Sur le serveur PKI :
Vérifier que le modèle de certificat « Serveur Web » est présent et que l’admin peu l’inscrire.
Sur le serveur ISA :
Récupérer le certificat « serveur web », le stocker en local. Virer ensuite la règle de pare-feu.
Configurer le DNSlocal pour qu’ISA puisse avoir l’adresseIP de SRVDMZ avec www.stag1.fr
Configurer le DNSpublic pour qu’internet puisse avoir l’adresseIP publique d’ISA avec www.societe.net
Olivier DEHECQ – http://aide.informatique1.fr Page 14
Publication SSL du site web : internet et externe
Méthode1 : modifier la publication de serveur web créée en partie 6.1
On ajoute l’activation de SSL
On sélectionne le certificat SSL obtenu depuis la PKI
Authentification : authentification des utilisateurs
Modification de la publication de site web
Olivier DEHECQ – http://aide.informatique1.fr Page 15
Méthode 2 : utilisation de la publication de serveur web sécurisée
Pontage : à utiliser dans le cas du D-NAT (DestinationNAT)
Le serveur web est en http, le client reçoiot du https
L’URL, selon le serveur ISA est www.stag1.fr
Olivier DEHECQ – http://aide.informatique1.fr Page 16
Le DNS configuré sur lequel pointe le serveur ISA est configuré
On teste l’URL du site web depuis ISA, si ping OK, on continue
L’URL, selon le client est www.stag1.fr
Olivier DEHECQ – http://aide.informatique1.fr Page 17
Les ports d’écoute sont http et https
Olivier DEHECQ – http://aide.informatique1.fr Page 18
7 TP2 : Rediriger deux URL différentes vers 2 serveurs différents
Les serveurs DNS doivent être bien configurés avant de paramétrer le serveur ISA
Une fois les serveurs DNS configurés, publier les sites web l’un après l’autre puis configurer le serveur
ISA en frontal SSL (utiliser la méthode 2).
7.1 Publier un serveur de messagerie
Règle de publication de serveur de courrier :
Accès au client web :
webmail (OWA …)
Accès client (RPC / IMAP / POP / SMTP)
Pour qu’un client web puisse récupérer ses mails sur un serveur de messagerie local
Communication de serveur à serveur (SMTP / NMTP)
Pour que le serveur de messagerie local puisse récupérer les mails sur un serveur de
messagerie externe
7.2 Publier un serveur
Permet de faire de la publication de service de n’importe quel protocole vers l’extérieur
Exemple, RDP du serveur WEBDMZ :
Penser à activer le bureau à distance depuis WEBDMZ
Olivier DEHECQ – http://aide.informatique1.fr Page 19
8 VPN
Etapes de mises en place d’un certificat IPSec
Pour accéder à l’ensemble du réseau on définit un tunnel VPN utilisant des certificats
Déployer les certificats. Utilisation de GPO possible
8.1 Utilisation de L2TP + IPSec
Règle de réseau
Client VPN vers Interne (routage)
Règle de pare-feu
Client VPN vers Interne (tout)
Configurer VPN
1. Nombre de client VPN
2. Utilisateurs ayant droit
3. PPTP ou L2TP
Les clients viennent de « Externe », définir les plages d’adresse des clients (créer un réseau
VPN)
4. Règles de pare-feu : Clients VPN vers Interne (tout)
Déplacer le client (après obtention du certificat IPSec auprès de la PKI)
Créer une connexion VPN : gestion de réseau > VPN L2TP IPSec
ISA en workgroup :
- Récupérer un certificat auprès d’une PKI
Permet d’approuver tous les « clients » de cette PKI
8.2
Olivier DEHECQ – http://aide.informatique1.fr Page 20
8.3 Configuration de VPN pas à pas
Côté serveur ISA :
Définir le nombre maximum de clients VPN
Définir les groupes ayant droit de se connecter en VPN
Olivier DEHECQ – http://aide.informatique1.fr Page 21
Choisir PPTP ou L2TP
Les clients viennent du réseau Externe
Définir les plages d’adresses IP
Résultat obtenu après configuration
Olivier DEHECQ – http://aide.informatique1.fr Page 22
Côté client VPN :
Créer une nouvelle connexion réseau, de type VPN L2TP IPSec
Etat de la connexion, une fois connecté au VPN
Etat de surveillance, côté serveur ISA
Olivier DEHECQ – http://aide.informatique1.fr Page 23
9 Radius Jusqu’à présent, le serveur ISA était dans le domaine.
Lors de la connexion des clients, le serveur ISA envoyait des requêtes LDAP (login + mot de passe)
Le serveur ISA est maintenant en Workgroup
1er Cas : création des utilisateurs VPN dans la SAM local du serveur ISA. Lourd à gérer
2ème Cas : utilisateur d’un serveur RADIUS. Plus de sécurité, moins simple à gêrer
Tout matériel de type 802.1x peut être client RADIUS
9.1 Installation de Radius sur WS2003
Côté serveur Radius (IAS) :
Ajout de programmes > Fonctionnalités > Service de mise en réseau > Service d’Authentification Internet
Paramètres du client Radius :
Adresse IP : indiquer celle du serveur ISA
Définir un secret Partagé
Autoriser les deux stratégies d’accès distant
Côté client Radius (Serveur ISA) :
Sélectionner un serveur Radius et définir les propriétés du VPN
Côté client VPN :
Utiliser une connexion PPTP
Demande du login et mot de passe et domaine (automatique)
Olivier DEHECQ – http://aide.informatique1.fr Page 24
9.2 Mise en pratique
Coté serveur ISA :
Console ISA : configuration du VPN
Utiliser l’authentification RADIUS et sélectionner le serveur RADIUS
Olivier DEHECQ – http://aide.informatique1.fr Page 25
Activer le protocole PPTP
Côté client RADIUS :
Sélectionner le protocole PPTP
Connexion (avec domaine)
Olivier DEHECQ – http://aide.informatique1.fr Page 26
Détail de la connexion : le protocole PPTP est actif
Côté serveur RADIUS (IAS) :
Composants > Services de mise en réseau > S.A.I
La mmc Service d’Authentification Internet
Olivier DEHECQ – http://aide.informatique1.fr Page 27
Autoriser les deux stratégies d’accès RADIUS
Olivier DEHECQ – http://aide.informatique1.fr Page 28
10 TP 3 : Configuration de messagerie Exchange (Internet/Externe)
10.1 Installation d’Exchange 2003 sur un serveur (ici le serveur web-internet)
1) installer le service ADDS ‘eni.fr’
2) installer IIS (ajouter ASP.NET / SMTP / NMTP)
3) installer WS2003 sp2
4) faire les setup.com /prepareschema ...
5) installer Exchange 2003 + sp2
6) redémarrer
10.2 Configuration du serveur ISA
Interne vers Externe (SMTP) règle de pare-feu
Externe vers 192.168.0.100 (SMTP) règle de publication du serveur Exchange domaine.local
Interne vers Externe (DNS) règle de pare-feu pour la redirection DNS
10.3 Tester
C:\> nslookup –q=MX domaine.fr
C:\> nslookup –q=MX domaine.local
Sur le serveur Exchange de domaine.fr (88.8.8.8)
C:\> nslookup –q=MX domaine.local
doit indiquer l’adresse publique du serveur ISA (200.0.0.1)
Tester aussi en démarrant la journalisation sur le serveur ISA (flux SMTP, flux DNS)
Envoyer un mail de domaine.local à domaine.fr, et répondre à ce mail