Beruflich Dokumente
Kultur Dokumente
A travers ce tutorial vous apprendrez tablir une configuration de base avec Microsoft ISA Server 2004. En partant de linstallation et de la configuration de base, vous verrez comment mettre en place la mise en cache HTTP et dfinir des rgles de mise en cache et planifier le tlchargement de contenu de ces rgle. Du point de vue scurit vous apprendrez crer et supprimer une rgle dautorisation ou de refus daccs de protocole, ainsi qu les activer et dsactiver. Le filtrage den-tte une mthode qui permet de renforcer la scurit. Toutes ces rgles daccs peuvent tre planifies selon les besoin de lorganisation pour sa politique de scurit. Il savre que des exceptions peuvent tre trs bien gres par ISA Server comme vous le verrez afin de sparer ladministration des tudiants ou encore interdire les tudiants certains protocoles durant les heures de cours par exemple. Il sera vu aussi la possibilit de dsactiver le cache http en cas de besoin afin de ne pas perturber la bande passante du trafic.
Tout cela nest quun nombre minime des possibilits que vous avez avec Microsoft ISA Server 2004 Enterprise, mais nanmoins vous pourrez implmenter un minimum de scurit dans votre rseau pour laccs Internet.
Sommaire 1. Prsentation 2. Installation du Serveur ISA 3. Configuration de base et Cache HTTP 4. Les stratgies daccs 5. Planification des rgles daccs 6. Dfinition dexception
1. Prsentation
1.1. Introduction
Ce tutorial est un document pas pas dtaill concernant linstallation du Serveur ISA 2004 Edition Entreprise et traitant sur : Installation dISA Server 2004 Enterprise Edition. Prise en main et configuration de base de scurit. Activation du cache HTTP. Cration, suppression et dsactivation de rgles de protocole. Planification dune rgle de protocole. Dfinition dexception. Dsactivation du cache.
1.2. Pr Requis
Pour pouvoir installer ISA Serveur 2004 Edition Enterprise, vous devez avoir la configuration minimale requise : Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou Datacenter Edition tant Contrleur de Domaine. Le service d'annuaire Active Directory ne peut pas tre install sur la version Web Edition de Windows 2003. Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou Datacenter Edition pour installer ISA Server 2004 Une partition de 5Go environ sur une partition ou un volume NTFS. La taille des fichiers journaux et des fichiers de la base de donnes dISA Server 2004 varie selon les taches attribues ainsi que les fichiers de configuration Une partition ou un disque de 5Go minimal. Ce disque stockera le cache pour les requtes HTTP. La taille du cache dpendra de la taille des images quil contiendra. Des privilges administratifs suffisants pour installer ISA Server 2004 Un serveur DNS. Le serveur DNS permettra la rsolution des requtes Web des postes clients. Un serveur DHCP
Les paramtres TCP/IP configurs pour joindre le serveur DNS, DHCP et ISA Server 2004. Un ou deux postes client pour vrifier la configuration de la scurit dISA Server 2004.
La configuration du serveur DNS et DHCP, ainsi que la configuration des paramtres TCP/IP pour ISA Server sont traits dans ce tutorial.
1.3. Matriels
CD-Rom de Windows Server 2003 et Windows XP Professionnel CD-Rom dinstallation dISA Server 2004 Edition Enterprise 3 ou 4 ordinateurs : 2 postes serveur avec au moins 20Go de stockage et 1 ou 2 postes client avec au moins une carte rseau 2 cartes rseau pour le poste serveur sur lequel sera install ISA Server 2004 1 connexion Internet
Les informations ci-dessus ne sont que des exemples. 5 Go pour le systme devrait suffire.
Le reste de linstallation se droule normalement. Dans notre tutorial, nous nommerons le Serveur ISA SUPINFO-ISA.
Notre Serveur ISA comporte deux cartes rseau : une pour communiquer avec le rseau interne et lautre pour communiquer avec le rseau externe soit Internet. Afin de garantir cette communication avec ces diffrents rseaux, nous devons dabord configurer convenablement les paramtres TCP/IP de chaque carte rseau comme il se doit. Avant tout, identifiez correctement vos deux cartes rseau sur lISA Server afin de faciliter votre tche de configuration TCP/IP. Vrifiez bien quelle carte est branche sur quel rseau.
Dans la liste, slectionnez Protocole Internet (TCP/IP) puis cliquez sur Proprits.
Attribuer une adresse IP statique votre serveur et le masque de sous-rseau ainsi que le Serveur DNS prfr.
Dans la liste, slectionnez Protocole Internet (TCP/IP) puis cliquez sur Proprits
Slectionnez, Obtenir une adresse IP automatiquement et Obtenir les adresses des serveurs DNS automatiquement, puis validez.
Dans la liste, slectionnez Protocole Internet (TCP/IP) puis cliquez sur Proprits.
Attribuer une adresse IP statique votre serveur ainsi que le masque de sous-rseau et la passerelle par dfaut. Important : Ladresse IP et ladresse du serveur DNS prfr doit tre la mme (Explication : Le serveur DNS se trouve sur lordinateur). Validez.
Important : Pensez modifier les options du serveur DHCP pour lattribution de bail DHCP afin que les clients aient les bonnes adresses du serveur DNS et de la passerelle par dfaut.
Ouvrez loutil dadministration DNS, faites un clic droit sur serveur DNS et slectionnez loption Proprits
Dans longlet Redirecteurs, slectionnez comme domaine DNS Tous les autres domaines DNS.
Entrez les adresse IP des serveurs DNS pouvant rsoudre les requtes externes et cliquez sur Ajouter chaque fois. Validez.
Voil, votre redirecteur DNS est maintenant configur pour les requtes externes.
Allez dans le menu Dmarrer puis dans Outils dadministration. Cliquez sur DHCP :
Validez par OK
Dans la fentre Nouvelle rservation, remplissez les information pour le poste client rserver tel que : Le nom de la rservation, son adresse IP, son adresse MAC et sa description.
Cliquez sur Ajouter une fois que vous avez fournit toutes les informations
Insrez votre CD-Rom dISA Server 2004 Edition Enterprise dans le lecteur CD-Rom et vous obtiendrez ceci :
Lisez le contrat de licence puis slectionnez Jaccepte les termes du contrat de licence et cliquez sur Suivant.
Renseignez votre Nom dutilisateur, votre Organisation et votre numro de srie du produit. Cliquez sur Suivant.
Choisissez Installer les Services ISA Server et un Serveur de stockage de configurations puis cliquez sur Suivant.
Pour loption dinstallation pour ISA Server, choisissez Crer un nouvel ISA Server Enterprise puis cliquez sur Suivant.
Dans la fentre liste des plages dadresses IP cliquez sur Ajouter une plage puis rentrez ladresse IP de dbut de la plage puis celle de fin. Validez par OK.
Une fois linstallation termine, vous avez lcran de lassistant dinstallation qui apparat et qui signale que linstallation sest droule correctement. Cliquez sur Terminer.
Dans larborescence situe gauche, droulez le menu Groupes puis SUPINFO- ISA (nom de votre groupe), Configuration et slectionnez Rseaux.
A droite de la fentre, slectionnez longlet Modles. Diffrents choix vous sont proposs, dans notre cas, choisissez Pare-feu de primtre. Comme le nom lindique, ceci vous permettra de connecter votre Intranet un rseau externe (par exemple Internet) derrire un pare-feu.
Vrifiez dans la liste des rseaux (onglet Rseaux au centre de la fentre), que le rseau Interne a bien t dfini.
Vous devez disposer despace libre sur un de vos disques afin de crer la partition qui servira de Cache HTTP. Faites un clic droit sur votre espace libre puis formater en utilisant le systme de fichier NTFS. Donnez la partition un nom explicite.
Fermez la console
Dans larborescence situe gauche, droulez le menu Groupes puis SUPINFO- ISA (nom de votre groupe), Configuration.
Faites un clic droit sur Cache puis cliquez sur Proprits. La fentre Paramtres du cache souvre.
Remarquez que la mise en cache nest pas active, de ce fait, la taille totale du cache des serveurs du groupe est gale 0 Mo. Cliquez sur OK
Slectionnez longlet Lecteurs de cache et faites un clic droit sur supinfo-isa (le nom de votre groupe) puis cliquez sur Proprits.
La fentre Proprits de supinfo-isa souvre. Slectionnez le lecteur de cache que vous souhaitez dfinir puis indiquez la taille maximale (en Mo) du cache choisi, cliquez sur Dfinir puis sur OK.
La fentre dinformation Avertissement du Server ISA souvre. Slectionner loption Enregistrer les informations puis redmarrez les services puis cliquez sur OK.
Normalement les services sarrtent et redmarrent au bout dune minute. Aprs avoir redmarr, vrifiez que les services se sont bien relancs. Dans larborescence gauche de la fentre ISA Server 2004 Entreprise Edition, cliquez sur Surveillance. Au centre de la fentre, slectionnez longlet Tableau de bord. Vrifiez que les services sont dmarrs.
Services arrts
Services redmarrs
Dans le volet de droite et dans la section Tches de rgles de cache cliquez sur Crer une rgle de cache.
Un assistant se lance et vous demande de nommer la rgle. Donnez-lui un nom explicite et cliquez sur Suivant.
Choisissez les destinations pour lesquelles sappliquera la rgle. Cliquez sur Ajouter. Dans la fentre des entits rseaux slectionnez Interne et cliquez sur Ajouter, puis sur Fermer. Validez les destinations en cliquant sur Suivant.
Maintenant indiquez comment les objets stocks dans le cache sont rcupres lors dune demande. Choisissez Uniquement si une version valide de lobjet existe dans le cache. . Validez le choix en cliquant sur Suivant.
Maintenant indiquez comment le contenu rcupr est stocks dans le cache sont rcupres lors dune demande. Choisissez Si len-tte de la source et de la demande indique la mise en cache. Cochez galement Mettre en cache le contenu Dynamique. Validez en cliquant sur Suivant.
Pour les options de mise en cache HTTP, cochez Activer la mise en cache HTTP et laissez les options par dfaut. Validez en cliquant sur Suivant.
Pour que les modifications prennent effet, il faut absolument les appliquer. Cliquez sur Appliquer au dessus des diffrentes rgles.
Dans le volet de droite et dans la section Tches de tlchargement de contenu cliquez sur Crer une rgle de cache.
Un assistant se lance et vous demande de nommer la rgle. Donnez-lui un nom explicite et cliquez sur Suivant.
Dterminer la date partir de laquelle dbutera la tche de tlchargement ainsi que lheure puis la frquence de rptition et cliquez sur Suivant.
Spcifiez lURL partir de laquelle sera tlcharg le contenu ainsi que les limites de la tche de tlchargement et cliquez sur Suivant.
Dterminez les conditions de tlchargement du contenu mettre en cache et la dure de vie du contenu puis cliquez sur Suivant.
Voil, vous savez maintenant comment activer la mise en cache ainsi que crer une rgle de cache et une tche de tlchargement de contenu de cache.
Slectionnez longlet Tches, et cliquez sur Crer une rgle daccs au groupe.
Un assistant se lance et vous demande de nommer la rgle. Donnez-lui un nom explicite et cliquez sur Suivant.
Dterminez laction raliser par la rgle. Slectionnez Autoriser et cliquez sur Suivant.
Choisissez maintenant les protocoles pour lesquels cette rgle sapplique. Cliquez sur Ajouter puis dans la nouvelle fentre choisissez le protocole DNS et cliquez sur Ajouter. Une fois tous les protocoles slectionns cliquez sur Fermer.
Choisissez les sources pour lesquelles sappliquera la rgle. Cliquez sur Ajouter. Dans la fentre des entits rseaux slectionnez Interne et cliquez sur Ajouter, puis sur Fermer. Validez les sources en cliquant sur Suivant.
Choisissez les destinations pour lesquelles sappliquera la rgle. Cliquez sur Ajouter. Dans la fentre des entits rseaux slectionnez Externe et cliquez sur Ajouter, puis sur Fermer. Validez les destinations en cliquant sur Suivant.
Choisissez les utilisateurs pour lesquels sapplique cette rgle. Laissez la valeur par dfaut (Tous les utilisateurs) et cliquez sur Suivant.
Dterminez laction raliser par la rgle. Slectionnez Autoriser et cliquez sur Suivant.
Ajoutez les protocoles HTTP, HTTPS, FTP puis cliquez sur Suivant.
Slectionnez Interne pour les sources de rgle daccs et cliquez sur Suivant.
Slectionnez Externe pour les destinations de rgle daccs et cliquez sur Suivant.
Laissez la valeur par dfaut (Tous les utilisateurs) et cliquez sur Suivant.
Dterminez laction raliser par la rgle. Slectionnez Autoriser et cliquez sur Suivant.
Ajoutez les protocoles IMAP4, IMAPS, POP3, POP3S, SMTP, SMTPS puis cliquez sur Suivant.
Slectionnez Interne pour les sources de rgle daccs et cliquez sur Suivant.
Slectionnez Externe pour les destinations de rgle daccs et cliquez sur Suivant.
Laissez la valeur par dfaut (Tous les utilisateurs) et cliquez sur Suivant.
Pour que les modifications prennent effet, il faut absolument les appliquer. Cliquez sur Appliquer au dessus des diffrentes rgles.
Slectionnez la rgle que vous voulez activer et faite un click droit. Slectionnez Activer.
Slectionnez la rgle que vous voulez dsactiver et faite un click droit. Slectionnez Dsactiver.
Slectionnez la rgle que vous voulez supprimer et faite un click droit. Slectionnez Supprimer.
Confirmez que vous voulez bien supprimer la rgle en cliquant sur Oui.
Dterminez laction raliser par la rgle. Slectionnez Refuser et cliquez sur Suivant.
Slectionnez Interne pour les sources de rgle daccs et cliquez sur Suivant.
Slectionnez Externe pour les destinations de rgle daccs et cliquez sur Suivant.
Laissez la valeur par dfaut (Tous les utilisateurs) et cliquez sur Suivant.
Il serait judicieux de dplacer la rgle de refus avant les rgles Autoriser afin dtre sur que notre protocole ne sera pas autoris par une autre rgle. Pour effectuer cette action un simple gliss-dplac suffit.
Slectionnez la rgle pour laquelle vous voulez activez le filtrage den-tte HTTP. Faites un click droit et cliquez sur Configurer HTTP.
Spcifier les en-ttes qui seront analyses, et dfinir les en-ttes qui seront bloques.
Rpter la procdure pour les diffrents en-ttes bloquer. Cliquez ensuite sur OK pour valider.
Voil, vous savez maintenant comment crer, supprimer, activer, dsactiver une rgle de protocole et mettre en place le filtrage den-tte http.
Ordre 4
Stratgie Groupe
Action Refuser
Protocoles AOL Instant Emule FTP ICQ 2000 IRC MSN Messenger
Ouvrez longlet de droite pour faire apparatre la bote outils. Dans le menu Planifications, slectionnez Heures de travail<. Les options Heures de travail et Week-end sont des options prdfinis par ISA Server 2004.
Fates un clic droit sur Heures de travail pour ouvrir la fentre de Proprits. Dfinissez les plages dhoraires o la rgle daccs Refuser sappliquera. Dans notre cas, du lundi au vendredi de 8h 12h et de 13h 17h. Validez.
Fates un clic droit pour ouvrir les Proprits du protocole MSN Messenger, FTP, Emule.
Dans longlet Planification de la fentre Proprits de MSN Messenger, FTP, Emule, choisissez Heures de travail dans la liste droulante. Validez.
Votre planification est maintenant effective. Laccs MSN Messenger Emule, aux FTP est maintenant refus aux Etudiants de SUPINFO pendant les heures de travail dfinies (8h-12h et 13h-17h).
Vous savez maintenant comment met-on place une planification de rgle daccs.
6. Dfinition dexception
Dans notre situation, nous crons des rgles de stratgie qui sappliquent tout le rseau interne. Nous souhaitons appliquer certaines stratgies juste aux tudiants et dautres juste ladministration et aux formateurs. Pour rsoudre cette tche, nous dfiniront des plages dadresses rserves dune part ladministration et aux formateurs, puis aux tudiants de SUPINFO dautre part. Voici lintrt de crer des adresses de rservation pour ladministration et les formateurs au niveau du serveur DHCP.
6.1.Mise en place dune plage dadresse rserve aux formateurs avec tous les ports autoriss toute heure.
6.1.1.Cration de la plage dadresse pour ladministration et les formateurs.
Cliquez sur Boite outils, ensuite cliquez sur Objets de rseau. Dans le sous menu cliquez Nouveau, puis Plage dadresses.
Donnez un nom votre plage dadresse pour lidentifier en tant que plage dadresse reprsentant ladministration et les formateurs, puis ladresse de dbut et ladresse de fin.
Dans le sous menu Objets de rseau, cliquez Nouveau, puis Plage dadresses.
Donnez un nom votre plage dadresse pour lidentifier en tant que plage dadresse reprsentant les tudiants de SUPINFO, puis ladresse de dbut et ladresse de fin.
Ici nous voulons autoriser ladministration et les formateurs avoir accs tous les protocoles qui sont limits aux tudiants, toute heure.
Slectionnez longlet Tches, et cliquez sur Crer une rgle daccs au groupe.
Dterminez laction raliser par la rgle. Slectionnez Autoriser et cliquez sur Suivant.
Ajoutez les protocoles AOL, Emule, FTP, ICQ, IRC, MSN Messenger puis cliquez sur Suivant.
Choisissez les sources pour lesquelles sappliquera la rgle. Cliquez sur Ajouter. Dans la fentre des entits Plages dadresses slectionnez Administrateurs et formateurs SUPINFO et cliquez sur Ajouter, puis sur Fermer. Validez les sources en cliquant sur Suivant.
Slectionnez Externe pour les destinations de rgle daccs et cliquez sur Suivant.
Laissez la valeur par dfaut (Tous les utilisateurs) et cliquez sur Suivant.
6.1.4.Cration dune rgle dautorisation pour les tudiants SUPINFO avec restriction.
Ici nous voulons autoriser tudiants avoir accs tous les protocoles tel que ftp, Emule, MSN Messenger hors des heures de cours.
Slectionnez longlet Tches, et cliquez sur Crer une rgle daccs au groupe.
Dterminez laction raliser par la rgle. Slectionnez Refuser et cliquez sur Suivant.
Ajoutez les protocoles AOL, Emule, FTP, ICQ, IRC, MSN Messenger puis cliquez sur Suivant.
Choisissez les sources pour lesquelles sappliquera la rgle. Cliquez sur Ajouter. Dans la fentre des entits Plages dadresses slectionnez Etudiants SUPINFO et cliquez sur Ajouter, puis sur Fermer. Validez les sources en cliquant sur Suivant.
Slectionnez Externe pour les destinations de rgle daccs et cliquez sur Suivant.
Laissez la valeur par dfaut (Tous les utilisateurs) et cliquez sur Suivant.
Fates un clic droit pour ouvrir les Proprits du protocole MSN Messenger, FTP, Emule. Dans longlet Planification de la fentre Proprits de MSN Messenger, FTP, Emule, choisissez Heures de travail dans la liste droulante. Validez.
Votre planification est maintenant effective. Laccs MSN Messenger Emule, aux FTP est maintenant refus aux Etudiants de SUPINFO pendant les heures de travail dfinies (8h-12h et 13h-17h).
6.2.Dsactivation du cache
Lors des devoirs sur Auralog ou OCTC etc il est important de dsactiver les rgles de cache et les tches de tlchargement de contenu afin de ne pas surcharger la bande passante dInternet ce qui vitera de perturber les sessions dvaluation des tudiants.
Dans le volet de droite et dans la section Tches de rgles de cache cliquez sur Dsactiver les rgles slectionnes.
Dans le volet de droite et dans la section Tches de tlchargement de contenu cliquez sur Dsactiver les tches slectionnes.
Tche active
Tche dsactive