Configuration complète ISA Server 2000

CONFIGURATION
1 Présentation
2 Topologie du projet
3 Installation
4 Configuration
4.1 Création de la DMZ publique
4.2 Accès vers l’Internet
4.3 Publication d’Exchange
4.4 Rapports d’activité et alertes
1
P2
P3
P3
P 10
P 11
P 13
P 14
P 16
1 Présentation
1.1 Présentation du projet
Ce projet consiste à installer un Proxy / Firewall ISA Server 2000 en mode tri résident
avec une DMZ publique contenant un serveur Web consultable depuis Internet.
Les clients du réseau interne n’ont accès à l’Internet qu’en http.
Un serveur de courrier Exchange, se situant dans le réseau interne est consultable
depuis Internet, une publication doit être créée.
1.2 ISA Server 2000
Un Proxy / Firewall est un logiciel permettant de faire une liaison entre le réseau
publique et privé en précisant que le réseau privé utilise des plages IP réservées
exclusivement pour le privé mais libre d’utilisation, tandis que le réseau publique
correspond au monde Internet, c’est le fournisseur d’accès qui fournit les IP
publiques.
ISA 2000 Server (Internet Security and Acceleration Server) et un logiciel Proxy /
Firewall de MICROSOFT.
Les trois différents services de ISA 2000 Server sont les suivant :
- NAT : (Network Address Translation) Technique de translation d’adresse réseau.
La technique du service NAT est de remplacer l’adresse IP du client du réseau par
l’adresse IP publique du serveur, ainsi l’adresse IP du client ne sort pas du réseau
interne.
- Proxy : traites et filtre les demandes Web, généralement dans le sens sortant (du
réseau privé vers le publique). Il possède une fonction de mise en cache
sauvegardant les éléments Web les plus utilisés, accélérant ainsi les accès.
- Firewall : s’appuie sur toutes les demandes n’utilisant pas les protocoles http, ftp,
https et Gopher.
ISA 2000 Server permet aussi de faire du routage, nous utiliserons cette option pour
accéder depuis l’Internet vers la DMZ publique.
Avec ce type de logiciel nous pouvons soit installer le serveur ISA en tant que
serveur autonome soit en tant que serveur membre d’un domaine. Un serveur
membre peut être rattaché à un autre ISA ainsi qu’à un Active Directory, tandis que
le serveur autonome n’est lié à aucun serveur. Un serveur membre a les avantages
de permettre des répartitions des charges, d’assurer plus de tolérances de pannes et
de pouvoir filtrer les requêtes au niveau des utilisateurs.
Notre choix pour le projet est d’installer ISA 200 Server en tant que serveur
autonome : des filtrages au niveau des utilisateurs ne doivent pas être appliqués.
Il existe deux versions de ISA 2000 Server, une version « Standard Edition » ne
fonctionnant qu’en serveur autonome et une version « Entreprise Edition » pouvant
aussi être utilisé en tant que serveur membre.
2
Il existe trois modes d’installation de ISA 2000 Serveur en fonction de la
topologie à avoir :
- en mode bastion : topologie simple du pare-feu à deux interfaces réseau filtrant la
liaison réseau publique – réseau privé, il n’y a pas de DMZ.
- en mode pare-feu dos à dos : deux pare-feu reliés par une DMZ, filtrant donc
deux fois la liaison réseau publique / réseau privé.
- en mode tri résident : le pare-feu possède trois interfaces réseaux, une pour le
réseau interne, une pour le réseau externe, et une pour la DMZ. Cette technique
permet une séparation bien nette entre la DMZ et le réseau privé.
Ce mode nous a été choisi pour ce projet.
2 Topologie du projet
3
3 Installation de ISA Server 2000
3.1 Installation et configuration de WINDOWS 2000 Server :
Installation de Windows 2000 Server ainsi que du Service Pack 4 de Windows pour
supprimer les trous de sécurité du système d’exploitation, Service Pack 1 minimum
obligatoire pour l’installation de ISA Server.
Installation des composants Windows:
Dans Outils de gestion et d’analyse :
-outils analyse réseau: pour analyser et réparer les paquets de données qui
transitent par le réseau.
-SNMP : protocole de gestion de réseau sur TCP/IP.
Dans Services de mise en réseau :
-services authentification Internet : permet les opérations d’authentification,
d’autorisation et de gestion des utilisateurs distants.
-service de contrôle d’admission QOS : pour spécifier la qualité de la connexion
réseau pour chaque sous réseau.
Il faut réduire le nombre des composants et services à leur strict minimum.
4
NetBIOS : Beaucoup d’attaques sont tentées et réussies sur les API NetBIOS ; Il
est donc important de désactiver NetBIOS sur l’interface externe du serveur ISA.
Dans les propriétés TCP/IP de la carte externe (coté Internet) il faut cliquer :
Avancé > onglet Wins > Désactiver NetBIOS avec TCP/IP.
La commande « netstat –na » dans l’invite de commande permet de connaître les
ports qui sont en écoute. Les ports TCP : 139 UDP : 137 et UDP :138 sont des ports
NetBIOS, ils ne doivent pas l’être sur les interfaces externes.
Configuration des cartes réseaux :
Nous avons ISA Server en tant que pare-feu tri résident, avec une DMZ publique.
On a renommé les 3 cartes réseau comme suit : Internet - DMZ Publique - Réseau.
Carte Internet : - IP publique : 193.168.3.1 - Masque 255.255.255.0
- Passerelle par défaut : prochain routeur du FAI
- DNS : Fournit par le FAI
Carte Réseau : - Deux IP privées statiques : 192.168.13.1 - Masque 255.255.255.0
192.168.9.1 - Masque 255.255.255.0
- Deux Passerelles par défaut : 192.168.13.2 (routeur interne)
192.168.9.2 (serveur Exchange)
- DNS : 192.168.13.3
Carte DMZ :
- IP publique du réseau DMZ : 192.168.15.1 - Masque 255.255.255.0
- Passerelle par défaut : aucune
- DNS : aucun
Une deuxième adresse IP sur la carte « Réseau » à été enregistrée pour faciliter la
publication du serveur de messagerie, nous expliquons plus en détail dans le
paragraphe « Publication du serveur Exchange ».
5
3.2 Installation de Microsoft ISA 2000 Server :
Avant d’installer ISA Server, vérifier qu’aucun message d’erreur n’apparaît dans
l’observateur d’événement.
Pré Installation :
Avant d’installer ISA Server il faut savoir si on l’installe sur un serveur autonome ou
sur un serveur membre d’un domaine.
Dans notre cas ISA ne devra pas faire de filtrage au niveau des utilisateurs.
Nous devons donc utiliser ISA Server sur un serveur autonome.
Dans ce cas le serveur ne doit pas appartenir à un domaine Windows 2000 et le
schéma ISA Server ne doit pas être installé dans Active Directory.
Installation de ISA :
- L’option « installation personnalisée » est à prendre pour n’installer que les
composants nécessaires :
6
- Dans les services complémentaires et les utilitaires d’administration il ne faut choisir
que « Gestion ISA » (console d’administration du serveur ISA), les autres services ne
sont utiles que pour NetMeeting, il est déconseillé d’installer « Filtreur de messages »
car il nécessite obligatoirement IIS qui est fortement déconseillé sur ISA.
- Notre nom du groupe : SECURITE
- Choix du mode intégré pour bénéficier des fonctions Firewall et de la fonction
cache pour accélérer la navigation Web :
7
- Taille et emplacement du cache : 100 Mo sur C (peut se modifier par après) :
Configuration de la table d’adresses locales (TAL)
Plages adresses IP délimitant l’espace des adresses réseaux internes de la topologie
du projet :
192.168.10.0 – 192.168.10.255
192.168.11.0 – 192.168.11.255
192.168.12.0 – 192.168.12.255
192.168.13.0 – 192.168.13.255
Il faut ensuite « construire la table » en ajoutant les plages privées et choisir la patte
interne de notre serveur ISA:
10.0.0.0 – 10.255.255.255
169.254.0.0 – 169.254.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
8
Dans la construction de la table on peut choisir les plages privées ainsi que les
cartes réseaux internes :
L’installation de ISA 2000 est terminée.
9
4 CONFIGURATION DE ISA 2000 SERVER
Voici un synoptique permettant de visualiser les différentes autorisations à configurer
dans ISA Server :
Démarrage des services ISA :
Suivre l’arborescence : Serveurs et groupes > nom du groupe > analyses > onglet
services > démarrer les trois services.
Il est impératif de redémarrer ses services après toute modification de filtrage !
Vérification de la configuration des demandes Web entrantes et sortantes :
Il est possible d’installer des
ports
d’écoute
sur
les
adresses IP de ISA pour des
services de certificats et
d’authentification.
Par défaut il faut utiliser la
même configuration de port
d’écoute pour toutes les
adresses avec comme port
TCP 80 aux demandes
entrantes
et
8080
aux
demandes sortantes, SSL
désactivé.
Pour vérifier il faut cliquer droit
propriétés sur le nom du
groupe ISA installé.
10
4.1 Création de la DMZ Publique avec accès sur le serveur Web :
DMZ veut dire « Zone Démilitarisée », elle est appelée aussi « Réseau de
périmètre ».
Une DMZ utilise la même interface externe du réseau local de l’entreprise mais sur
un réseau différent, il y est installé des serveurs accessibles depuis l’extérieur.
L’utilisation d’une DMZ évite que des clients externes accèdent au réseau local, se
qui réduit considérablement les risques d’intrusions
Il y a deux types de DMZ : la DMZ privée et la DMZ publique.
- Une DMZ privée utilise dans son réseau des adresses IP privées.
De ce fait, une règle de publication doit être installée sur ISA Server pour accéder
aux serveurs de la DMZ, ainsi depuis l’extérieur du réseau c’est l’adresse IP de
l’interface externe de ISA qui est employée pour accéder aux serveurs.
- Une DMZ publique utilise dans son réseau des adresses IP publiques.
A ce moment là, ISA Server fait office de routeur entre son interface externe (coté
Internet) est l’interface coté DMZ. Pour accéder depuis Internet aux serveurs situés
dans la DMZ publique on utilise l’adresse IP propre à chaque serveur.
Dans ce projet c’est une DMZ publique que l’on doit créer.
La plage d’adresses IP à utiliser dans notre DMZ sera publique, l’interface de ISA
Server coté DMZ aura donc une IP publique du même réseau.
Il faut préciser que pour ISA Server, l’interface coté DMZ publique est une interface
externe. Ainsi dans notre configuration le serveur ISA possède deux interfaces
externes, et une interface interne coté réseau local.
Il faut donc bien vérifier que la plage d’adresses IP de notre DMZ publique ne soit
pas inscrite dans la table d’adresses locales de ISA Server (voir dans la procédure
d’installation).
A l’intérieur de cette DMZ ne sera installé qu’un serveur Web, une règle de filtrage ne
devra autoriser à passer entre les deux interfaces externes que du http.
Aucune autre règle ne sera autorisée, la seule machine de la DMZ ne fera que
serveur Web.
11
CONFIGURATION :
- Le routage IP permet au serveur ISA de router les paquets IP entre ses interfaces
externes, cela permet de rendre la DMZ publique accessible depuis Internet.
Dans les stratégies d’accès faire un clic
droit sur «filtres de paquets IP » et
choisir « général ».
Dans les mêmes propriétés a été activé la détection d’intrusion, cela permet d’activer
toutes les détections d’attaques du Serveur ISA dans l’onglet « Détection des
intrusions ».
- Les filtres de paquets sont aussi nécessaires afin de maîtriser les requêtes
provenant d’Internet vers les serveurs de la DMZ publique. Lorsque le filtrage est
activé, tous les paquets à destination du serveur ISA sont rejetés, sauf si des filtres
d’autorisation d’accès de certains paquets ont été créés.
Dans les stratégies d’accès faire un clic
droit sur «filtres de paquets IP » et
choisir « Général », aller sur l’onglet
« filtres de paquets »
Dans la configuration des filtres de paquets deux options ont été choisies :
- Activer le filtrage des fragments IP : supprime les paquets fragmentés.
- Activer le filtrage des options IP : empêche de faire passer des paquets où les
options IP ont été modifiées dans le but de forcer le passage.
Dans notre configuration il ne semblait pas nécessaire d’activer l’enregistrement des
paquets des filtres « Autoriser » disponible à la troisième option.
La DMZ publique est maintenant créée, cependant nous n’avons encore autorisé
aucuns accès.
Un serveur Web accessible depuis Internet est installé, nous devons donc autoriser
le passage de paquets IP http. Le trafic qui transite entre les interfaces externes du
serveur ISA est géré par les « filtres de paquets », ces filtres de paquets permettent
d’autoriser ou de refuser les transitions.
12
- Créer une règle de filtrage de paquets IP http :
Dans l’arborescence de ISA, choisir « filtres de paquets IP » puis clic droit « nouveau
filtre », choisir les options :
- Nom du filtre de paquet IP : accès site sur DMZ.
- Autoriser la transmission des paquets.
- Utiliser le filtre prédéfini : Serveur http (port 80).
- Indiquer l’adresse IP du serveur Web (193.168.15.2) sur le réseau de périmètre.
- Appliquer ce filtre à tous les ordinateurs distants.
Il est important de vérifier la configuration du filtre après sa création dans les
propriétés de la règle créée.
4.2 Accès vers l’Internet :
Les règles de sortie correspondent aux demandes de sorties du réseau interne vers
les réseaux externes.
En effet le serveur ISA considère la DMZ publique comme un réseau externe, il est
donc obligatoire d’interdire toutes communications entre le réseau interne est la DMZ
publique. Une DMZ publique n’est accessible que d’un réseau externe, sans cela des
risques d’intrusions sont possible.
Tous les employés de l’entreprise peuvent accéder à Internet, par mesure de
sécurité les employés ne pourront utiliser que le protocole http pour y accéder, cela
limitera énormément les intrusions de virus ainsi que de la bande passante.
Les ordinateurs du réseau accédant à Internet seront client Proxy, c'est-à-dire que
dans les paramètres de leur navigateur Web l’adresse Internet de notre serveur
Proxy (192.168.13.1 port 8080) est à renseigner.
CONFIGURATION :
La technique pour autoriser l’accès http vers Internet mais l’interdire vers la DMZ
publique est d’autoriser toutes les destinations sauf sur le réseau 193.168.15.0.
- Autorisation d’une règle de sortie http :
Dans « Règles de protocole » on crée une nouvelle règle nommée : http vers
Internet, avec la configuration d’autoriser le protocole http à toutes les demandes.
- Création d’une règle de site et de contenu :
Pour sortir sur Internet une règle de site et de contenu doit autoriser l’accès, on
interdira l’accès à la DMZ publique :
Créer une nouvelle « Règle de site et de contenu » dans les stratégies d’accès
autorisant toutes les demandes à toutes les destinations à l’exception de l’ensemble
d’adresses de la DMZ 193.168.15.0 (ensemble d’adresses à créer dans « Ensembles
de destination » des éléments de stratégie).
13
4.3 Publication du serveur Exchange :
Nous avons un serveur de messagerie interne, comme ce serveur doit être
accessible depuis Internet une règle de publication du serveur est a créer.
Seulement ce serveur de messagerie est aussi accessible du WAN, et le problème
se manifeste lors de l’envoi des mails vers un client de messagerie à l’extérieur de
notre réseau, il n’utilise pas la même passerelle par défaut :
- lors de l’envoi d’un mail vers un client messagerie sur Internet le serveur doit utiliser
comme passerelle l’interface interne de ISA.
- Lors d’un envoi d’un mail vers un client messagerie sur le WAN de l’entreprise il
utilise comme passerelle l’adresse IP du routeur.
Pour remédier à ce problème on créé un sous réseau parallèle entre la patte interne
de ISA et la patte du serveur Exchange (192.168.9.0) (il est aussi possible de créer
une table de routage pour remédier à ce problème).
Ces deux pattes possèdent donc deux adresses IP avec leur passerelle appropriée.
Pour alimenter le client messagerie sur Internet une publication sur le serveur
Exchange est créée en utilisant donc leur réseau 192.168.9.0, la passerelle
d’Exchange est 192.168.9.1.
Pour alimenter le client messagerie sur le WAN le DNS renseigne l’adresse IP
d’Exchange sur le réseau 192.168.13.0, la passerelle d’Exchange est 192.168.13.2.
Un système de filtrage du courrier entrant peut être configuré avec le serveur ISA
mais il est déconseillé de l’installer, il nécessite obligatoirement l’installation de IIS
qui est fortement déconseillé sur ISA.
14
CONFIGURATION :
Pour rappel, les configurations des cartes réseaux utilisées sont :
- la carte coté Internet de ISA : adresse IP : 193.168.3.1 (adresse publique)
Masque : 255.255.255.0
Passerelle par défaut : fournie par le FAI
DNS préféré : fournie par le FAI
- la carte interne de ISA : 1ère adresse IP : 192.168.13.1
2ème adresse IP : 192.168.9.1
Masque des 2 adresses IP : 255.255.255.0
Passerelle par défaut : 192.168.13.2
DNS préféré : 192.168.13.3
- carte réseau du serveur Exchange : 1ère adresse IP : 192.168.13.3
2ème adresse IP : 192.168.9.2
Masque des 2 adresses IP : 255.255.255.0
1ère passerelle par défaut : 192.168.13.2
2ème passerelle par défaut : 192.168.9.1
DNS préféré : 127.0.0.1
- Publication du serveur SMTP et POP3 :
Il faut créer des « Règles de publications de serveur » publiant le serveur POP3 et le
serveur SMTP, la configuration doit correspondre à celle-ci :
Vous pouvez utiliser l’assistant « Sécuriser un serveur de courrier » en cliquant droit
sur « Règles de publication sur serveur » :
Il ne faut activer que SMTP et POP3 entrant.
15
4.4 Rapports d’activité et alertes :
Les rapports d’activité :
Ils permettent à un administrateur du serveur ISA de générer des rapports sur
l’activité du serveur ISA
On peut créer une tâche de rapport s’exécutant quotidiennement le soir du lundi au
vendredi à 18h.
Pour la création il faut procéder comme suit :
Dans « Configuration de l’analyse » il faut créer une nouvelle tache de rapport avec
les renseignements voulus.
La consultation des rapports est visible dans « Rapports », consultable en format
html, il peut être sauvegardé au format excel.
Les alertes :
Elles permettent de déclencher une action dès qu’un événement se produit.
Plusieurs alertes types sont stockées dans les alertes de « Configuration de
l’analyse ».
Sur ISA ces alertes ont été activées :
- Arrêt du service de tout le service ISA, un mail d’alerte est envoyé immédiatement à
[email protected], une tentative de redémarrage des services ISA est
activée.
- Intrusion détectée, un mail d’alerte est envoyé immédiatement à
[email protected].
16