isa server 2004 : sp2, appliances & isa server 2006 pierre chesné ingénieur système stanislas...
TRANSCRIPT
ISA Server 2004 : SP2, appliances& ISA Server 2006
ISA Server 2004 : SP2, appliances& ISA Server 2006
Pierre Chesné Ingénieur Système
Stanislas Quastana, CISSP
Architecte Infrastructure
Agenda
AppliancesAppliances
Service Pack 2 ISA Server 2004Service Pack 2 ISA Server 2004
ISA Server 2006 (Wolverine) ISA Server 2006 (Wolverine)
Ressources utilesRessources utiles
Questions / RéponsesQuestions / Réponses
Qu’est-ce qu’une “Appliance” ?
““Boîte noire” qui intègre une ou plusieurs Boîte noire” qui intègre une ou plusieurs fonctionnalités précises comme un pare-feu fonctionnalités précises comme un pare-feu ou autres.ou autres.
Solution clé en main (Matériel + Logiciels) :Solution clé en main (Matériel + Logiciels) :Windows Server 2003 SP1 Standard EditionWindows Server 2003 SP1 Standard EditionISA Server 2004 SP1 Standard EditionISA Server 2004 SP1 Standard EditionMatériel spécialiséMatériel spécialisé
Format rackFormat rackInterface réseaux en façadeInterface réseaux en façadeCarte accélératrice SSLCarte accélératrice SSLAlimentation redondanteAlimentation redondante……
Fonctionnalités supplémentaires : Fonctionnalités supplémentaires : Produits tiersProduits tiersFiltres supplémentairesFiltres supplémentaires
(ISA Server 2004)
Anatomie d’une appliance
Filtrage Filtrage applicatifapplicatif
AntivirusAntivirus AuthentificationAuthentification
Contrôle d’URLsContrôle d’URLs
AccélérateursAccélérateursSSLSSL
ReportingReportingHaute Haute
disponibilitédisponibilité
Plus de partenaires :http://www.microsoft.com/isaserver/partners/default.asp
AppliancesAppliances
Pourquoi une Appliance ?
Facilité de déploiement (moins Facilité de déploiement (moins d’erreurs)d’erreurs)Le constructeur est responsable: (tests, Le constructeur est responsable: (tests, intégration), et intégration), et supportesupporte l’appliance l’appliance (matériel & logiciel )(matériel & logiciel )Le constructeur peut donner accès à Le constructeur peut donner accès à des mises à jours fonctionnelles et des des mises à jours fonctionnelles et des nouvelles versions testées et validées nouvelles versions testées et validées (ex: Network Engine)(ex: Network Engine)Solution souvent moins onéreuse – Solution souvent moins onéreuse – licences comprises (Windows, ISA et licences comprises (Windows, ISA et produits tiers) et absence de CALs.produits tiers) et absence de CALs.
Les constructeurs Celestix (MSA Serie Appliance)
Pyramid Computer (ValueServer)
SecureGuard (Isa 110/760/1300)
Wortmann (Terra Securum M 500/1000R/2000R)
Corrent (SR 125/225/325)
Whale (Intelli. Appli. Gateway-Isa)
Hewlett-Packard (DL 320)
Network Engines (NS6250/6300
/6400/8200/8400)
L’appliance de démonstration
NS 6400 (Network Engines)NS 6400 (Network Engines)Pentium IV 2.8 GHzPentium IV 2.8 GHz
1 Go de RAM1 Go de RAM
60 Go de disque dur60 Go de disque dur
6 interfaces réseaux en façade 6 interfaces réseaux en façade Dont une pour l’administrationDont une pour l’administration
Démonstration
Démonstration
Prise en main de l’interface NEWS
(Network Engine Web Server)
Agenda
AppliancesAppliancesService Pack 2 ISA Server 2004Service Pack 2 ISA Server 2004ISA Server 2006 (Wolverine) ISA Server 2006 (Wolverine) Ressources utilesRessources utilesQuestions / RéponsesQuestions / Réponses
Objectifs du SP2 ISA Server 2004
Corriger des problèmes fonctionnels post SP1Corriger des problèmes fonctionnels post SP1
Améliorer certaines fonctionsAméliorer certaines fonctions
Etablir une connectivité sécurisée pour les Etablir une connectivité sécurisée pour les réseaux agences réseaux agences
Optimiser l’utilisation de la bande passante Optimiser l’utilisation de la bande passante sur des lignes à bas débit sur des lignes à bas débit
Déploiement “Branch Office”
Agence Siège
Problématiques des architectures de type réseau d’agence
Faible bande passante (64 kbps -512 Faible bande passante (64 kbps -512 kbps).kbps).
Augmentation du trafic Augmentation du trafic
Accroissement du pourcentage du Accroissement du pourcentage du contenu web sur ces liaisons contenu web sur ces liaisons
Certains contenus Web sont Certains contenus Web sont dynamiques et ne sont pas dynamiques et ne sont pas toujours « cachables » avec des toujours « cachables » avec des technologies de mise en cachetechnologies de mise en cache
Ex : BITSEx : BITS
Apports du SP2 d’ISA Server 2004
Intègre de 70 correctifs fonctionnelsIntègre de 70 correctifs fonctionnels
Permet la compatibilité d’ISA 2004 avecPermet la compatibilité d’ISA 2004 avecWindows 2003 R2Windows 2003 R2
SQL Server 2005SQL Server 2005
Offre de nouvelles fonctionnalités :Offre de nouvelles fonctionnalités :Compression HTTPCompression HTTP
BITS CachingBITS Caching
Diffserv (Differentiated Services)Diffserv (Differentiated Services)
Utilisation de la compression HTTP
Site centralSite central
Jean BouinJean Bouin
Sept DeniersSept Deniers
La compression HTTP
Documentée dans les RFC 1951 & 1952Documentée dans les RFC 1951 & 1952
Uniquement sur de l’HTTP 1.1Uniquement sur de l’HTTP 1.1
GetGet “AcceptEncoding = Accept-Encoding: gzip, “AcceptEncoding = Accept-Encoding: gzip, deflate”deflate”
Reponse “ContentEncoding = Content-Encoding: Reponse “ContentEncoding = Content-Encoding: gzip”gzip”
Dans l’entête HTTP de la requête du client
Dans l’entête HTTP de la réponse du serveur
La compression HTTP dans ISAAjout de 2 nouveaux filtres WebAjout de 2 nouveaux filtres Web
Filtre de compression / décompressionFiltre de compression / décompressionFiltre de cache et de contenu compresséFiltre de cache et de contenu compressé
Inspection du contenu compressé Inspection du contenu compressé Le filtre de compression est le premier dans l’ordre de Le filtre de compression est le premier dans l’ordre de traitementtraitement
Le cache supporte le contenu Http compressé Le cache supporte le contenu Http compressé grâce au second filtregrâce au second filtre
Attention : l’utilisation de la compression peut Attention : l’utilisation de la compression peut affecter les performances du serveur (CPU)affecter les performances du serveur (CPU)
Contrôle de la compression HTTP
Source ou DestinationSource ou DestinationRéseauRéseauGroupe d’ordinateursGroupe d’ordinateurs
ContenuContenuDocuments htmlDocuments htmlTexteTexteImagesImages……
Attention le paramétrage de la compression HTTP se Attention le paramétrage de la compression HTTP se fait au niveau du serveur et non au niveau des règlesfait au niveau du serveur et non au niveau des règles
Important : le trafic HTTPs n’est pas compresséImportant : le trafic HTTPs n’est pas compressé
Démonstration
Démonstration
Paramétrage des options
de compression dans ISA Server 2004 SP2
Gestion de priorité pour les flux HTTPSupport de Differentiated Services (DiffServ)Support de Differentiated Services (DiffServ)
Documentée dans les Documentée dans les RFC 2474, 2475RFC 2474, 2475Utilise le champ TOS (Type Of Services) des Utilise le champ TOS (Type Of Services) des paquets IPv4paquets IPv4
Cf. slide suivanteCf. slide suivante
Il faut que l’infrastructure le supporte (routeur)Il faut que l’infrastructure le supporte (routeur)Paramétrable en fonction :Paramétrable en fonction :
URLURLDomaineDomaineRéseauRéseauTaille du contenuTaille du contenu
Differentiated Services
Protocol
IP Options
Destination Address
Source Address
TTL Header Cheksum
Identification Flags Frag Offset
Ver4 IHL TOS Total Length
0 1 2 3 4 5 6 7
Differentiated Services Codepoint (DSCP)
Differentiated Services
0 1 2 3 4 5 6 7
Differentiated Services Codepoint (DSCP)
Bits de 0 à 2 : Class Selector
Bits de 3 à 5 : Priorité dans les classes
Bits 6 et 7 : Pas utilisés
001010
001100
001110
010010
010100
010110
011010
011100
011110
100010
100100
100110
Classe 1
Classe 2 Classe 3 Classe 4
Garantie d’acheminement croissante
Tau
x d
e r
eje
t cro
issan
t
Démonstration
Démonstration
Paramétrage de la gestion
de priorité http dans ISA
Server 2004 SP2
Démonstration DiffServ
Agence Siège
Mise en cache BITS(Scénario branch office)
`
`
La mise en cache BITS est supportée avec :
• Windows Update / Microsoft Update
• Windows Server Update Services (WSUS)
`
ISA Server agence
ISA Server Site Central
WAN
Faible débit
BITS CachingBackground Intelligent Transfer ServiceBackground Intelligent Transfer Service
Documenté dans la RFC 2616Documenté dans la RFC 2616
Utilisé avec :Utilisé avec :Automatique updateAutomatique update
Windows updateWindows update
Microsoft updateMicrosoft update
VérifieVérifieRange: request headerRange: request header
Content-range: response headerContent-range: response headerA paramétrer sur les postes clients
Démonstration
Démonstration
Configuration de la mise
en cache de BITS dans
ISAServer 2004 SP2
Agenda
AppliancesAppliances
Service Pack 2 ISA Server 2004Service Pack 2 ISA Server 2004
ISA Server 2006 (Wolverine) ISA Server 2006 (Wolverine)
Questions / RéponsesQuestions / Réponses
Les 3 piliers d’ISA Server 2006
Sécuriser les applications Web publiées
Optimiser et sécuriser les réseaux d’agence
Enrichir et faciliter les déploiements
• Fournir un accès fiable et sûr à tous les périphériques disposant d’un navigateur Web
• Forte intégration avec Exchange (5.5 -> 12) et Sharepoint / WSS
• Plus de standards supportés pour l’authentification
• Améliorer la sécurité des réseaux d’agences
• Optimiser la consommation de la bande passante
• Cf. ISA 2004 SP2
• Faciliter l’administration distante
• ISA Server 2006 Entreprise Edition disponible sous la forme d’appliance
• Déploiement automatisé via clé USB
• Assistant « Branch Office » lancé automatiquement
La plateforme de démonstration
Authentification et ISA Server 2006ISA Server accepte les authentifications clientes suivantes:ISA Server accepte les authentifications clientes suivantes:
Authentification par formulaire (Forms Based Authentication) : Authentification par formulaire (Forms Based Authentication) : SecurID, RADIUS, Active Directory, SecurID, RADIUS, Active Directory, Active Directory LDAPActive Directory LDAP, , RADIUS OTPRADIUS OTP
Formulaire mot de passe (Active Directory et Radius)Formulaire mot de passe (Active Directory et Radius)
Formulaire passcode (SecureID et Radius OTP)Formulaire passcode (SecureID et Radius OTP)
Formulaire mot de passe et passcodeFormulaire mot de passe et passcode
Certificat ClientCertificat Client
Authentification HTTP Authentification HTTP
(reçue dans l’entête HTTP) : (reçue dans l’entête HTTP) : BasiqueBasique
Digest Digest
Intégrée Windows. Intégrée Windows.
Pas d’authentificationPas d’authentification
Combinaison des authentifications
PasswordCertificateOTP
HTML Forms (FBA)
HTTP(Basic, Digest,
Integrated)
Mutual SSL/TLS
Active Directory (LDAP)
Active Directory
(Windows)RSA SecurIDRADIUS RADIUS OTP
Nouveautés – Publications Web (1/2)Publication assistéePublication assistée pour les pour les
applications classiques Microsoft :applications classiques Microsoft :Sharepoint Server / Windows Sharepoint Server / Windows Sharepoint ServicesSharepoint ServicesExchange Server (5.5 à E12)Exchange Server (5.5 à E12)
Intégration dans l’assistant de Intégration dans l’assistant de RPC/HTTPRPC/HTTPSupport des fonctionnalités de proxy Support des fonctionnalités de proxy d’Exchange 12d’Exchange 12
Meilleure gestion des certificatsMeilleure gestion des certificatsPlusieurs certificats possibles sur un Plusieurs certificats possibles sur un même port d’écoute (mais toujours même port d’écoute (mais toujours un certificat par adresse IP)un certificat par adresse IP)Console des certificats avec Console des certificats avec vérification de leur validité, de leur vérification de leur validité, de leur magasin…magasin…
Meilleur support des Meilleur support des environnements « Load Balancés »environnements « Load Balancés »
Affinité des sessions par IP ou Affinité des sessions par IP ou cookiescookiesIntégration dans les assistantsIntégration dans les assistants
Nouveautés – Publications Web (2/2)Single Sign On sur les Single Sign On sur les
applications Webapplications WebL’utilisateur ne se signe qu’une L’utilisateur ne se signe qu’une fois par sessionfois par session
Via un même port d’écoute et Via un même port d’écoute et un suffixe DNS communun suffixe DNS commun
ISA gère les time outs et la ISA gère les time outs et la durée maximale des sessionsdurée maximale des sessions
Exemple : pour Exemple : pour mail.mycompany.com, mail.mycompany.com, sps.mycompany.com et sps.mycompany.com et www.mycompany.com, le www.mycompany.com, le domaine SSO domaine SSO est .mycompany.comest .mycompany.com
Formulaire d’authentificationFormulaire d’authentification (FBA) personnalisable et (FBA) personnalisable et disponible en 26 languesdisponible en 26 langues
Fonctions de Flood Mitigation d’ISA 2006
1 – Attaques bloquées
• Propagation de vers
• Attaques SYN
• Déni de Service (DoS)
• Déni de Service distribué (DDoS)
• Déni de Service (DoS) par bombardement HTTP
2 – Techniques de réduction
• Limiter les requêtes de connexion TCP par minute par IP
• Limiter le nombre de connexions TCP simultanées par IP
• Limiter le nombre de connexion TCP “half-open” par IP
• Limiter le nombre de requêtes HTTP par minute par IP
• Limiter les sessions simultanées non-TCP par IP
• Limiter les nouvelles sessions Non-TCP par minute et par règle
• Limiter les messages de refus TCP et non-TCP
3 – Contrôle des ressources
• Saturation des journaux
• Consommation mémoire
• Requêtes DNS en cours
4- Remédiation
• Déclenchement d’alertes avec information sur l’attaque et instruction de remédiation
• Notification de l’administrateur avec les adresses IP des clients infectés
Ressources utilesSite Web MicrosoftSite Web Microsoft
www.microsoft.com/isaserverwww.microsoft.com/isaserver
www.microsoft.com/france/isawww.microsoft.com/france/isa
Webcasts et séminaires TechNetWebcasts et séminaires TechNet (Gratuits) (Gratuits)
Sites externesSites externeswww.isaserver.orgwww.isaserver.org
www.isaserverfr.orgwww.isaserverfr.org
www.isatools.orgwww.isatools.org
www.isascripts.orgwww.isascripts.org
Newsgroup françaisNewsgroup françaisMicrosoft.public.fr.isaserverMicrosoft.public.fr.isaserver
Kits de déploiementKits de déploiement
BlogsBlogsBlogs.technet.com/stanislasBlogs.technet.com/stanislas
Kits d’évaluationKits d’évaluationVersion d’évaluation (120 jours)Version d’évaluation (120 jours)
CD (livres blancs et guide déploiemeCD (livres blancs et guide déploiement)nt)
Questions / Réponses
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com