> Tech > 1.2 Présentation des filtres applicatifs d’ISA Server 2004

1.2 Présentation des filtres applicatifs d’ISA Server 2004

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Cette analyse plus poussée, nommée filtrage applicatif consiste à inspecter non plus l'en-tête mais aussi le contenu des paquets IP. Ainsi, contrairement à beaucoup de pare-feu d'entreprise, ISA Server 2004 permet d'analyser les données directement au niveau de la couche application comme le montre le schéma de la figure 3.

1.2 Présentation des filtres applicatifs d’ISA Server 2004

Les filtres applicatifs d’ISA 2004 se scindent en deux catégories :

• Les filtres d’applications qui sont, par défaut, au nombre de 12. Ils sont exécutés directement par le service Pare-feu et offrent de nombreux avantages comme la possibilité de faire fonctionner des protocoles nécessitant plusieurs connexions (tel le protocole FTP, ou bien la plupart des protocoles de streaming), la possibilité de filtrer le contenu et de détecter les intrusions. Le filtre SMTP permet notamment de mettre en place une stratégie limitant l’envoi et la réception de courrier non sollicité (SPAM).

• Les filtres Web qui sont, par défaut, au nombre de 5. Ils s’attaquent uniquement au trafic HTTP et permettent soit d’activer certaines fonctions spécifiques (authentification RADIUS via HTTP, authentification OWA basée sur les formulaires, authentification SecureID via HTTP…) soit de mettre en place des fonctionnalités de filtrage puissantes sur le trafic HTTP. Il est par exemple possible de bloquer l’envoi ou la réception de certains documents (exécutables, fichiers multimédias…) ou d’empêcher l’accès Internet à certaines applications (eMule, Kazaa, BitTorrent, Morpheus…), mais aussi de se protéger des virus, chevaux de Troie et autres spywares (blocages de méthodes, de champs et de signatures).

Non content d’offrir de nombreux filtres traitant les protocoles les plus sensibles du point de vue de la sécurité (HTTP, SMTP et RPC !!!), le kit de développement d’ISA Server permet la création de nouveaux filtres s’appliquant à n’importe quel trafic IP ou bien la modification de filtres existants. Certaines sociétés proposent déjà des filtres additionnels pour ISA Server 2004. On peut notamment citer :

• BitDefender for MS ISA Server (*) qui permet de détecter les fichiers infectés par des virus au travers du trafic HTTP ou du trafic FTP.
• Policy Patrol Web (*) qui offre un filtrage d’URL et de fichiers avancé ainsi qu’une fonction de détection des virus au travers d’un filtre d’application pour ISA 2004 propriétaire.
• etc… (*)

Ces produits ne sont cités ici qu’à titre d’exemple ! Nous ne les avons pas testés et ne pouvons donc pas émettre de jugement de valeur à ce niveau. Si vous êtes à la recherche d’outils permettant d’étendre les possibilités d’ISA Server 2004, vous pouvez consulter la rubrique ISA Server Software Addons de l’excellent site www.isaserver.org.

Dans la suite de cet article, nous nous focaliserons sur un filtre fourni en standard avec Microsoft ISA Server 2004 : Le filtre HTTP. Pour saisir l’importance de ce filtre et l’impact de sa configuration sur le trafic réseau entrant et sortant de votre organisation, il est nécessaire d’avoir une bonne connaissance du protocole HTTP en lui-même. C’est pourquoi la partie suivante présente le fonctionnement de ce protocole de manière détaillée.

Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité

État des lieux de la réponse à incident de cybersécurité

Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010