PTI isa.rtf

Epreuve de Pratique des Techniques Informatiques
Session 2005
Compte rendu d'Activité
Nature de l'activité :
Administration d’ISA Server 2000 (Proxy et Firewall) :
Contexte : Dans le cadre de la sécurisation d’un réseau informatique, on souhaite mettre en place
une solution assurant les fonctions de Pare feu (Firewall) et de mandataire (Proxy).
Objectifs : Mise en place et configuration des services Pare feu et Mandataire
C21
C22
C23
C25
C33
Compétences mises en œuvre pour la réalisation de cette activité
Installer et configurer un micro-ordinateur
Installer et configurer un réseau
Installer et configurer un dispositif de sécurité
Installer un applicatif
Assurer la sécurité du réseau
Conditions de réalisations
Matériels :
Logiciels :
- 1 PC (client)
- Windows 2000 Server
- 1 PC (serveur) avec deux cartes réseau
- Windows XP Professionnel ou 2000 pro
- 1 SWITCH
- Microsoft ISA Server 2000
Durée : 45 mn
Contraintes : une connexion Internet haut débit
Description de l'activité réalisée
Situation initiale : Le réseau privé est séparé du réseau externe (Internet) par un unique dispositif
d’interconnexion (routeur) n’ayant aucune fonction fiable de filtrage de données ; aucun service
mandataire n’existe ou n’a été mis en place sur le domaine.
Situation finale : Un serveur ISA est mis en place, assurant les fonctions de pare-feu (options de
filtrage avancé) et de mandataire (options de cache Web), garantissant une protection plus efficace
du réseau privé et une navigation Internet plus rapide.
Outils utilisés :
Utilitaire de gestion ISA
Internet explorer
Page 1/5
Epreuve de Pratique des Techniques Informatiques
Session 2005
Déroulement de l'activité :
Toute fois avant de commencer l’activité il faut installer le logiciel ISA Server 2000 sur le serveur, ce
qui a été fait au préalable compte tenu de la durée de l’activité.
1- Configuration de la sécurité du serveur ISA :
Une fois l’application installée sur une machine, il convient de la sécuriser, afin de se protéger
contre les nombreuses attaques possibles de l’extérieur notamment en activant la détection
d’intrusions, le filtrage des fragments IP ou encore la configuration d’alertes en cas d’intrusion.
Dans les propriétés du nœud filtre de paquets, nous pourrons activer tous ces paramètres, comme
la présente la figure suivante.
2- Configuration de règles de protocoles pour l’accès
Internet :
L’installation d’ISA Server sur une machine bloque par défaut tous les ports ; il faut donc configurer
des règles de protocoles afin d’autoriser les communications avec l’extérieur (Internet) ; pour
réaliser cette action, nous utilisons l’outil Utilitaire de gestion ISA, qui peut être atteint en cliquant
sur Démarrer -- Programmes – Utilitaire de gestion ISA ; nous créons une nouvelle règle de
protocoles autorisant les communications sur les ports HTTP (port 80) et HTTPS (port 443) pour un
groupe défini d’utilisateurs à tout horaire de la journée.
Page 2/5
Epreuve de Pratique des Techniques Informatiques
Session 2005
*
3- Configuration des clients Proxy et Pare-feu :
Le serveur ISA configuré, il ne nous reste plus qu’à configurer les clients afin qu’ils reconnaissent
automatiquement le serveur ISA. ISA Server reconnaît deux types de clients, le client Proxy Web et
le client Pare-feu. Le client Proxy Web est généralement installé sur les postes n’utilisant que les
protocoles http et https (80 et 443) sur Internet, tandis que le client Pare-feu utilise les autres
protocoles tels que SMTP (25), POP (110), ou RDP (3389). Pour faciliter la configuration des
paramètres du navigateur Web de chaque client, nous allons créer une stratégie de groupe dans
laquelle tous les utilisateurs pourront reconnaître automatiquement le serveur ISA, afin d’avoir un
accès sur Internet.
Page 3/5
Epreuve de Pratique des Techniques Informatiques
Session 2005
4- Configuration des éléments de stratégie
a- Création des ensembles de destinations
Les éléments de stratégie sont les composants qui permettent de créer les règles de site et de
contenu. Ainsi les ensembles de destination permettront de définir une liste de sites Web auquelle
on peut autoriser ou refuser l’accès
b- Définition d’un modèle de planification
La définition d’une planification nous permet d’établir des horaires pendant lesquelles la
connexion Internet est active ou inactive pour les clients. Ce qui permet de régulariser et de gérer
les connexions afin d’optimiser le débit et assurer un bon trafic réseau. Ainsi nous avons mise en
place une planification appelée Heures de travail qui autorise les connexions Internet pour inclure la
plage horaire 6 heures - 12 heures, du lundi au vendredi.
Page 4/5
Epreuve de Pratique des Techniques Informatiques
Session 2005
5- Configuration d’un cache Web
ISA permet de stocker dans un cache les pages Web consultées par les clients du réseau interne.
Les clients font appel à ce cache pour consulter leurs pages et gagnent ainsi en rapidité, ce qui
allège le réseau en bande passante, limitant les accès inutiles vers Internet pour télécharger les
pages Web. Dans le cache on définie une durée de vie (TTL) à 120 minutes qui permettra à
ISA Server de transmettre les pages placées dans le cache au client pendant deux heures sans
vérifier l’existence d’une nouvelle version sur le site Web proprement dit. Par contre la définition
d’une TTL de longue durée pour les pages Web permet de réduire le trafic réseau à Internet mais
peut impliquer l’affichage d’informations périmées.
Analyse des résultats obtenus
Objectif atteint : Le serveur ISA est mis en place ; les services Pare-feu et Proxy sont configurés ;
le réseau privé est protégé plus efficacement et les utilisateurs bénéficient d’options
supplémentaires optimisant leurs navigations sur le Web.
Bilan de l'activité : Le serveur ISA est l’unique barrière de protection du réseau privé ;
Pour conclure, cette activité m’a permis de mieux comprendre le rôle et le fonctionnement des
Pare-feu et des Proxy d’une part, et d’autre part elle m’a permis de prendre conscience des efforts
à réaliser pour sécuriser un réseau informatique.
Page 5/5