PTI isa.rtf
Transcription
PTI isa.rtf
Epreuve de Pratique des Techniques Informatiques Session 2005 Compte rendu d'Activité Nature de l'activité : Administration d’ISA Server 2000 (Proxy et Firewall) : Contexte : Dans le cadre de la sécurisation d’un réseau informatique, on souhaite mettre en place une solution assurant les fonctions de Pare feu (Firewall) et de mandataire (Proxy). Objectifs : Mise en place et configuration des services Pare feu et Mandataire C21 C22 C23 C25 C33 Compétences mises en œuvre pour la réalisation de cette activité Installer et configurer un micro-ordinateur Installer et configurer un réseau Installer et configurer un dispositif de sécurité Installer un applicatif Assurer la sécurité du réseau Conditions de réalisations Matériels : Logiciels : - 1 PC (client) - Windows 2000 Server - 1 PC (serveur) avec deux cartes réseau - Windows XP Professionnel ou 2000 pro - 1 SWITCH - Microsoft ISA Server 2000 Durée : 45 mn Contraintes : une connexion Internet haut débit Description de l'activité réalisée Situation initiale : Le réseau privé est séparé du réseau externe (Internet) par un unique dispositif d’interconnexion (routeur) n’ayant aucune fonction fiable de filtrage de données ; aucun service mandataire n’existe ou n’a été mis en place sur le domaine. Situation finale : Un serveur ISA est mis en place, assurant les fonctions de pare-feu (options de filtrage avancé) et de mandataire (options de cache Web), garantissant une protection plus efficace du réseau privé et une navigation Internet plus rapide. Outils utilisés : Utilitaire de gestion ISA Internet explorer Page 1/5 Epreuve de Pratique des Techniques Informatiques Session 2005 Déroulement de l'activité : Toute fois avant de commencer l’activité il faut installer le logiciel ISA Server 2000 sur le serveur, ce qui a été fait au préalable compte tenu de la durée de l’activité. 1- Configuration de la sécurité du serveur ISA : Une fois l’application installée sur une machine, il convient de la sécuriser, afin de se protéger contre les nombreuses attaques possibles de l’extérieur notamment en activant la détection d’intrusions, le filtrage des fragments IP ou encore la configuration d’alertes en cas d’intrusion. Dans les propriétés du nœud filtre de paquets, nous pourrons activer tous ces paramètres, comme la présente la figure suivante. 2- Configuration de règles de protocoles pour l’accès Internet : L’installation d’ISA Server sur une machine bloque par défaut tous les ports ; il faut donc configurer des règles de protocoles afin d’autoriser les communications avec l’extérieur (Internet) ; pour réaliser cette action, nous utilisons l’outil Utilitaire de gestion ISA, qui peut être atteint en cliquant sur Démarrer -- Programmes – Utilitaire de gestion ISA ; nous créons une nouvelle règle de protocoles autorisant les communications sur les ports HTTP (port 80) et HTTPS (port 443) pour un groupe défini d’utilisateurs à tout horaire de la journée. Page 2/5 Epreuve de Pratique des Techniques Informatiques Session 2005 * 3- Configuration des clients Proxy et Pare-feu : Le serveur ISA configuré, il ne nous reste plus qu’à configurer les clients afin qu’ils reconnaissent automatiquement le serveur ISA. ISA Server reconnaît deux types de clients, le client Proxy Web et le client Pare-feu. Le client Proxy Web est généralement installé sur les postes n’utilisant que les protocoles http et https (80 et 443) sur Internet, tandis que le client Pare-feu utilise les autres protocoles tels que SMTP (25), POP (110), ou RDP (3389). Pour faciliter la configuration des paramètres du navigateur Web de chaque client, nous allons créer une stratégie de groupe dans laquelle tous les utilisateurs pourront reconnaître automatiquement le serveur ISA, afin d’avoir un accès sur Internet. Page 3/5 Epreuve de Pratique des Techniques Informatiques Session 2005 4- Configuration des éléments de stratégie a- Création des ensembles de destinations Les éléments de stratégie sont les composants qui permettent de créer les règles de site et de contenu. Ainsi les ensembles de destination permettront de définir une liste de sites Web auquelle on peut autoriser ou refuser l’accès b- Définition d’un modèle de planification La définition d’une planification nous permet d’établir des horaires pendant lesquelles la connexion Internet est active ou inactive pour les clients. Ce qui permet de régulariser et de gérer les connexions afin d’optimiser le débit et assurer un bon trafic réseau. Ainsi nous avons mise en place une planification appelée Heures de travail qui autorise les connexions Internet pour inclure la plage horaire 6 heures - 12 heures, du lundi au vendredi. Page 4/5 Epreuve de Pratique des Techniques Informatiques Session 2005 5- Configuration d’un cache Web ISA permet de stocker dans un cache les pages Web consultées par les clients du réseau interne. Les clients font appel à ce cache pour consulter leurs pages et gagnent ainsi en rapidité, ce qui allège le réseau en bande passante, limitant les accès inutiles vers Internet pour télécharger les pages Web. Dans le cache on définie une durée de vie (TTL) à 120 minutes qui permettra à ISA Server de transmettre les pages placées dans le cache au client pendant deux heures sans vérifier l’existence d’une nouvelle version sur le site Web proprement dit. Par contre la définition d’une TTL de longue durée pour les pages Web permet de réduire le trafic réseau à Internet mais peut impliquer l’affichage d’informations périmées. Analyse des résultats obtenus Objectif atteint : Le serveur ISA est mis en place ; les services Pare-feu et Proxy sont configurés ; le réseau privé est protégé plus efficacement et les utilisateurs bénéficient d’options supplémentaires optimisant leurs navigations sur le Web. Bilan de l'activité : Le serveur ISA est l’unique barrière de protection du réseau privé ; Pour conclure, cette activité m’a permis de mieux comprendre le rôle et le fonctionnement des Pare-feu et des Proxy d’une part, et d’autre part elle m’a permis de prendre conscience des efforts à réaliser pour sécuriser un réseau informatique. Page 5/5