Configuration complète ISA Server 2000
Transcription
Configuration complète ISA Server 2000
CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l’Internet 4.3 Publication d’Exchange 4.4 Rapports d’activité et alertes 1 P2 P3 P3 P 10 P 11 P 13 P 14 P 16 1 Présentation 1.1 Présentation du projet Ce projet consiste à installer un Proxy / Firewall ISA Server 2000 en mode tri résident avec une DMZ publique contenant un serveur Web consultable depuis Internet. Les clients du réseau interne n’ont accès à l’Internet qu’en http. Un serveur de courrier Exchange, se situant dans le réseau interne est consultable depuis Internet, une publication doit être créée. 1.2 ISA Server 2000 Un Proxy / Firewall est un logiciel permettant de faire une liaison entre le réseau publique et privé en précisant que le réseau privé utilise des plages IP réservées exclusivement pour le privé mais libre d’utilisation, tandis que le réseau publique correspond au monde Internet, c’est le fournisseur d’accès qui fournit les IP publiques. ISA 2000 Server (Internet Security and Acceleration Server) et un logiciel Proxy / Firewall de MICROSOFT. Les trois différents services de ISA 2000 Server sont les suivant : - NAT : (Network Address Translation) Technique de translation d’adresse réseau. La technique du service NAT est de remplacer l’adresse IP du client du réseau par l’adresse IP publique du serveur, ainsi l’adresse IP du client ne sort pas du réseau interne. - Proxy : traites et filtre les demandes Web, généralement dans le sens sortant (du réseau privé vers le publique). Il possède une fonction de mise en cache sauvegardant les éléments Web les plus utilisés, accélérant ainsi les accès. - Firewall : s’appuie sur toutes les demandes n’utilisant pas les protocoles http, ftp, https et Gopher. ISA 2000 Server permet aussi de faire du routage, nous utiliserons cette option pour accéder depuis l’Internet vers la DMZ publique. Avec ce type de logiciel nous pouvons soit installer le serveur ISA en tant que serveur autonome soit en tant que serveur membre d’un domaine. Un serveur membre peut être rattaché à un autre ISA ainsi qu’à un Active Directory, tandis que le serveur autonome n’est lié à aucun serveur. Un serveur membre a les avantages de permettre des répartitions des charges, d’assurer plus de tolérances de pannes et de pouvoir filtrer les requêtes au niveau des utilisateurs. Notre choix pour le projet est d’installer ISA 200 Server en tant que serveur autonome : des filtrages au niveau des utilisateurs ne doivent pas être appliqués. Il existe deux versions de ISA 2000 Server, une version « Standard Edition » ne fonctionnant qu’en serveur autonome et une version « Entreprise Edition » pouvant aussi être utilisé en tant que serveur membre. 2 Il existe trois modes d’installation de ISA 2000 Serveur en fonction de la topologie à avoir : - en mode bastion : topologie simple du pare-feu à deux interfaces réseau filtrant la liaison réseau publique – réseau privé, il n’y a pas de DMZ. - en mode pare-feu dos à dos : deux pare-feu reliés par une DMZ, filtrant donc deux fois la liaison réseau publique / réseau privé. - en mode tri résident : le pare-feu possède trois interfaces réseaux, une pour le réseau interne, une pour le réseau externe, et une pour la DMZ. Cette technique permet une séparation bien nette entre la DMZ et le réseau privé. Ce mode nous a été choisi pour ce projet. 2 Topologie du projet 3 3 Installation de ISA Server 2000 3.1 Installation et configuration de WINDOWS 2000 Server : Installation de Windows 2000 Server ainsi que du Service Pack 4 de Windows pour supprimer les trous de sécurité du système d’exploitation, Service Pack 1 minimum obligatoire pour l’installation de ISA Server. Installation des composants Windows: Dans Outils de gestion et d’analyse : -outils analyse réseau: pour analyser et réparer les paquets de données qui transitent par le réseau. -SNMP : protocole de gestion de réseau sur TCP/IP. Dans Services de mise en réseau : -services authentification Internet : permet les opérations d’authentification, d’autorisation et de gestion des utilisateurs distants. -service de contrôle d’admission QOS : pour spécifier la qualité de la connexion réseau pour chaque sous réseau. Il faut réduire le nombre des composants et services à leur strict minimum. 4 NetBIOS : Beaucoup d’attaques sont tentées et réussies sur les API NetBIOS ; Il est donc important de désactiver NetBIOS sur l’interface externe du serveur ISA. Dans les propriétés TCP/IP de la carte externe (coté Internet) il faut cliquer : Avancé > onglet Wins > Désactiver NetBIOS avec TCP/IP. La commande « netstat –na » dans l’invite de commande permet de connaître les ports qui sont en écoute. Les ports TCP : 139 UDP : 137 et UDP :138 sont des ports NetBIOS, ils ne doivent pas l’être sur les interfaces externes. Configuration des cartes réseaux : Nous avons ISA Server en tant que pare-feu tri résident, avec une DMZ publique. On a renommé les 3 cartes réseau comme suit : Internet - DMZ Publique - Réseau. Carte Internet : - IP publique : 193.168.3.1 - Masque 255.255.255.0 - Passerelle par défaut : prochain routeur du FAI - DNS : Fournit par le FAI Carte Réseau : - Deux IP privées statiques : 192.168.13.1 - Masque 255.255.255.0 192.168.9.1 - Masque 255.255.255.0 - Deux Passerelles par défaut : 192.168.13.2 (routeur interne) 192.168.9.2 (serveur Exchange) - DNS : 192.168.13.3 Carte DMZ : - IP publique du réseau DMZ : 192.168.15.1 - Masque 255.255.255.0 - Passerelle par défaut : aucune - DNS : aucun Une deuxième adresse IP sur la carte « Réseau » à été enregistrée pour faciliter la publication du serveur de messagerie, nous expliquons plus en détail dans le paragraphe « Publication du serveur Exchange ». 5 3.2 Installation de Microsoft ISA 2000 Server : Avant d’installer ISA Server, vérifier qu’aucun message d’erreur n’apparaît dans l’observateur d’événement. Pré Installation : Avant d’installer ISA Server il faut savoir si on l’installe sur un serveur autonome ou sur un serveur membre d’un domaine. Dans notre cas ISA ne devra pas faire de filtrage au niveau des utilisateurs. Nous devons donc utiliser ISA Server sur un serveur autonome. Dans ce cas le serveur ne doit pas appartenir à un domaine Windows 2000 et le schéma ISA Server ne doit pas être installé dans Active Directory. Installation de ISA : - L’option « installation personnalisée » est à prendre pour n’installer que les composants nécessaires : 6 - Dans les services complémentaires et les utilitaires d’administration il ne faut choisir que « Gestion ISA » (console d’administration du serveur ISA), les autres services ne sont utiles que pour NetMeeting, il est déconseillé d’installer « Filtreur de messages » car il nécessite obligatoirement IIS qui est fortement déconseillé sur ISA. - Notre nom du groupe : SECURITE - Choix du mode intégré pour bénéficier des fonctions Firewall et de la fonction cache pour accélérer la navigation Web : 7 - Taille et emplacement du cache : 100 Mo sur C (peut se modifier par après) : Configuration de la table d’adresses locales (TAL) Plages adresses IP délimitant l’espace des adresses réseaux internes de la topologie du projet : 192.168.10.0 – 192.168.10.255 192.168.11.0 – 192.168.11.255 192.168.12.0 – 192.168.12.255 192.168.13.0 – 192.168.13.255 Il faut ensuite « construire la table » en ajoutant les plages privées et choisir la patte interne de notre serveur ISA: 10.0.0.0 – 10.255.255.255 169.254.0.0 – 169.254.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 8 Dans la construction de la table on peut choisir les plages privées ainsi que les cartes réseaux internes : L’installation de ISA 2000 est terminée. 9 4 CONFIGURATION DE ISA 2000 SERVER Voici un synoptique permettant de visualiser les différentes autorisations à configurer dans ISA Server : Démarrage des services ISA : Suivre l’arborescence : Serveurs et groupes > nom du groupe > analyses > onglet services > démarrer les trois services. Il est impératif de redémarrer ses services après toute modification de filtrage ! Vérification de la configuration des demandes Web entrantes et sortantes : Il est possible d’installer des ports d’écoute sur les adresses IP de ISA pour des services de certificats et d’authentification. Par défaut il faut utiliser la même configuration de port d’écoute pour toutes les adresses avec comme port TCP 80 aux demandes entrantes et 8080 aux demandes sortantes, SSL désactivé. Pour vérifier il faut cliquer droit propriétés sur le nom du groupe ISA installé. 10 4.1 Création de la DMZ Publique avec accès sur le serveur Web : DMZ veut dire « Zone Démilitarisée », elle est appelée aussi « Réseau de périmètre ». Une DMZ utilise la même interface externe du réseau local de l’entreprise mais sur un réseau différent, il y est installé des serveurs accessibles depuis l’extérieur. L’utilisation d’une DMZ évite que des clients externes accèdent au réseau local, se qui réduit considérablement les risques d’intrusions Il y a deux types de DMZ : la DMZ privée et la DMZ publique. - Une DMZ privée utilise dans son réseau des adresses IP privées. De ce fait, une règle de publication doit être installée sur ISA Server pour accéder aux serveurs de la DMZ, ainsi depuis l’extérieur du réseau c’est l’adresse IP de l’interface externe de ISA qui est employée pour accéder aux serveurs. - Une DMZ publique utilise dans son réseau des adresses IP publiques. A ce moment là, ISA Server fait office de routeur entre son interface externe (coté Internet) est l’interface coté DMZ. Pour accéder depuis Internet aux serveurs situés dans la DMZ publique on utilise l’adresse IP propre à chaque serveur. Dans ce projet c’est une DMZ publique que l’on doit créer. La plage d’adresses IP à utiliser dans notre DMZ sera publique, l’interface de ISA Server coté DMZ aura donc une IP publique du même réseau. Il faut préciser que pour ISA Server, l’interface coté DMZ publique est une interface externe. Ainsi dans notre configuration le serveur ISA possède deux interfaces externes, et une interface interne coté réseau local. Il faut donc bien vérifier que la plage d’adresses IP de notre DMZ publique ne soit pas inscrite dans la table d’adresses locales de ISA Server (voir dans la procédure d’installation). A l’intérieur de cette DMZ ne sera installé qu’un serveur Web, une règle de filtrage ne devra autoriser à passer entre les deux interfaces externes que du http. Aucune autre règle ne sera autorisée, la seule machine de la DMZ ne fera que serveur Web. 11 CONFIGURATION : - Le routage IP permet au serveur ISA de router les paquets IP entre ses interfaces externes, cela permet de rendre la DMZ publique accessible depuis Internet. Dans les stratégies d’accès faire un clic droit sur «filtres de paquets IP » et choisir « général ». Dans les mêmes propriétés a été activé la détection d’intrusion, cela permet d’activer toutes les détections d’attaques du Serveur ISA dans l’onglet « Détection des intrusions ». - Les filtres de paquets sont aussi nécessaires afin de maîtriser les requêtes provenant d’Internet vers les serveurs de la DMZ publique. Lorsque le filtrage est activé, tous les paquets à destination du serveur ISA sont rejetés, sauf si des filtres d’autorisation d’accès de certains paquets ont été créés. Dans les stratégies d’accès faire un clic droit sur «filtres de paquets IP » et choisir « Général », aller sur l’onglet « filtres de paquets » Dans la configuration des filtres de paquets deux options ont été choisies : - Activer le filtrage des fragments IP : supprime les paquets fragmentés. - Activer le filtrage des options IP : empêche de faire passer des paquets où les options IP ont été modifiées dans le but de forcer le passage. Dans notre configuration il ne semblait pas nécessaire d’activer l’enregistrement des paquets des filtres « Autoriser » disponible à la troisième option. La DMZ publique est maintenant créée, cependant nous n’avons encore autorisé aucuns accès. Un serveur Web accessible depuis Internet est installé, nous devons donc autoriser le passage de paquets IP http. Le trafic qui transite entre les interfaces externes du serveur ISA est géré par les « filtres de paquets », ces filtres de paquets permettent d’autoriser ou de refuser les transitions. 12 - Créer une règle de filtrage de paquets IP http : Dans l’arborescence de ISA, choisir « filtres de paquets IP » puis clic droit « nouveau filtre », choisir les options : - Nom du filtre de paquet IP : accès site sur DMZ. - Autoriser la transmission des paquets. - Utiliser le filtre prédéfini : Serveur http (port 80). - Indiquer l’adresse IP du serveur Web (193.168.15.2) sur le réseau de périmètre. - Appliquer ce filtre à tous les ordinateurs distants. Il est important de vérifier la configuration du filtre après sa création dans les propriétés de la règle créée. 4.2 Accès vers l’Internet : Les règles de sortie correspondent aux demandes de sorties du réseau interne vers les réseaux externes. En effet le serveur ISA considère la DMZ publique comme un réseau externe, il est donc obligatoire d’interdire toutes communications entre le réseau interne est la DMZ publique. Une DMZ publique n’est accessible que d’un réseau externe, sans cela des risques d’intrusions sont possible. Tous les employés de l’entreprise peuvent accéder à Internet, par mesure de sécurité les employés ne pourront utiliser que le protocole http pour y accéder, cela limitera énormément les intrusions de virus ainsi que de la bande passante. Les ordinateurs du réseau accédant à Internet seront client Proxy, c'est-à-dire que dans les paramètres de leur navigateur Web l’adresse Internet de notre serveur Proxy (192.168.13.1 port 8080) est à renseigner. CONFIGURATION : La technique pour autoriser l’accès http vers Internet mais l’interdire vers la DMZ publique est d’autoriser toutes les destinations sauf sur le réseau 193.168.15.0. - Autorisation d’une règle de sortie http : Dans « Règles de protocole » on crée une nouvelle règle nommée : http vers Internet, avec la configuration d’autoriser le protocole http à toutes les demandes. - Création d’une règle de site et de contenu : Pour sortir sur Internet une règle de site et de contenu doit autoriser l’accès, on interdira l’accès à la DMZ publique : Créer une nouvelle « Règle de site et de contenu » dans les stratégies d’accès autorisant toutes les demandes à toutes les destinations à l’exception de l’ensemble d’adresses de la DMZ 193.168.15.0 (ensemble d’adresses à créer dans « Ensembles de destination » des éléments de stratégie). 13 4.3 Publication du serveur Exchange : Nous avons un serveur de messagerie interne, comme ce serveur doit être accessible depuis Internet une règle de publication du serveur est a créer. Seulement ce serveur de messagerie est aussi accessible du WAN, et le problème se manifeste lors de l’envoi des mails vers un client de messagerie à l’extérieur de notre réseau, il n’utilise pas la même passerelle par défaut : - lors de l’envoi d’un mail vers un client messagerie sur Internet le serveur doit utiliser comme passerelle l’interface interne de ISA. - Lors d’un envoi d’un mail vers un client messagerie sur le WAN de l’entreprise il utilise comme passerelle l’adresse IP du routeur. Pour remédier à ce problème on créé un sous réseau parallèle entre la patte interne de ISA et la patte du serveur Exchange (192.168.9.0) (il est aussi possible de créer une table de routage pour remédier à ce problème). Ces deux pattes possèdent donc deux adresses IP avec leur passerelle appropriée. Pour alimenter le client messagerie sur Internet une publication sur le serveur Exchange est créée en utilisant donc leur réseau 192.168.9.0, la passerelle d’Exchange est 192.168.9.1. Pour alimenter le client messagerie sur le WAN le DNS renseigne l’adresse IP d’Exchange sur le réseau 192.168.13.0, la passerelle d’Exchange est 192.168.13.2. Un système de filtrage du courrier entrant peut être configuré avec le serveur ISA mais il est déconseillé de l’installer, il nécessite obligatoirement l’installation de IIS qui est fortement déconseillé sur ISA. 14 CONFIGURATION : Pour rappel, les configurations des cartes réseaux utilisées sont : - la carte coté Internet de ISA : adresse IP : 193.168.3.1 (adresse publique) Masque : 255.255.255.0 Passerelle par défaut : fournie par le FAI DNS préféré : fournie par le FAI - la carte interne de ISA : 1ère adresse IP : 192.168.13.1 2ème adresse IP : 192.168.9.1 Masque des 2 adresses IP : 255.255.255.0 Passerelle par défaut : 192.168.13.2 DNS préféré : 192.168.13.3 - carte réseau du serveur Exchange : 1ère adresse IP : 192.168.13.3 2ème adresse IP : 192.168.9.2 Masque des 2 adresses IP : 255.255.255.0 1ère passerelle par défaut : 192.168.13.2 2ème passerelle par défaut : 192.168.9.1 DNS préféré : 127.0.0.1 - Publication du serveur SMTP et POP3 : Il faut créer des « Règles de publications de serveur » publiant le serveur POP3 et le serveur SMTP, la configuration doit correspondre à celle-ci : Vous pouvez utiliser l’assistant « Sécuriser un serveur de courrier » en cliquant droit sur « Règles de publication sur serveur » : Il ne faut activer que SMTP et POP3 entrant. 15 4.4 Rapports d’activité et alertes : Les rapports d’activité : Ils permettent à un administrateur du serveur ISA de générer des rapports sur l’activité du serveur ISA On peut créer une tâche de rapport s’exécutant quotidiennement le soir du lundi au vendredi à 18h. Pour la création il faut procéder comme suit : Dans « Configuration de l’analyse » il faut créer une nouvelle tache de rapport avec les renseignements voulus. La consultation des rapports est visible dans « Rapports », consultable en format html, il peut être sauvegardé au format excel. Les alertes : Elles permettent de déclencher une action dès qu’un événement se produit. Plusieurs alertes types sont stockées dans les alertes de « Configuration de l’analyse ». Sur ISA ces alertes ont été activées : - Arrêt du service de tout le service ISA, un mail d’alerte est envoyé immédiatement à [email protected], une tentative de redémarrage des services ISA est activée. - Intrusion détectée, un mail d’alerte est envoyé immédiatement à [email protected]. 16