> Tech > Architecture mise en place

Architecture mise en place

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Dans le cadre de ce dossier, ISA Server 2004 est installé sur un serveur disposant de deux pattes réseau, une sur le réseau local et l'autre sur un extérieur de type DMZ ou directement sur un réseau public. Ce serveur dispose donc d' interfaces réseau avec chacune 1 adresse IP

Architecture mise en place

et ces deux
interfaces sont connectées à  des réseaux distincts. C’est
donc le cas de la configuration définie comme étant un parefeu
de périmètre ou de périphérie au sein de l’assistant de
configuration d’ISA Server (voir capture configuration ISA).

Les règles de publication, en particulier au niveau des
services WEB, peuvent aussi être définies au travers d’assistants.
ISA Server 2004 intègre dans cette version des assistants
pour la publication Web HTTP et HTTPS ainsi que pour
la publication de serveurs de messagerie.
Dans cet assistant de messagerie
on trouve la publication des différentes
solutions de connexion à  la
messagerie Exchange comme l’accès
Web vers Outlook Web Access
(OWA), l’accès client de messagerie
au travers de POP3, SMTP, IMAP ou
encore RPC avec Outlook 2003 qui
permet l’utilisation de RPC over http.
Enfin il est aussi possible de permettre
la communication inter-serveurs
avec les protocoles SMTP et
NNPT. A noter que le service SMTP
peut être filtré en fonction de différents
paramètres et en particulier effectuer
une analyse des commandes
pour être certain de ne transmettre
que des commandes autorisées vers
le serveur SMTP. Le filtrage est effectué
par un filtre d’application qui est
intégré avec la version d’ISA Server
2004 que nous avons testée. La publication
Web utilise aussi la technologie
de filtre d’application ainsi que la
gestion d’un module de réception
des requêtes HTTP en provenance de chaque réseau
(Listener), et contrairement à  ISA 2000, plusieurs listener
peuvent être définis au sein d’ISA 2004. Chaque module listener,
ou écouteur, analyse ce qui arrive sur le ou les ports
pour lesquels il est configuré et effectue l’application des
règles en fonction de l’entête reçue. Ainsi pour la publication
de plusieurs domaines Internet avec une seule adresse IP, il
suffit de mettre en place un listener et ensuite des règles en
fonction du nom de domaine demandé pour rediriger les requêtes
vers le serveur de publication. Si la requête arrive sur
le listener avec un nom de domaine défini dans les règles, il
effectue alors la transmission de la requête vers le serveur de
publication défini dans la règle. Si la requête ne correspond
à  aucune règle de publication, elle est alors rejetée. Les entêtes
des requêtes Web peuvent aussi être transmises vers le
serveur de publication afin de lui permettre de répondre à 
plusieurs noms de domaines sur le même IIS par exemple au
travers de serveurs virtuels, la gestion étant assurée avec
l’entête de l’URL demandée. Mais ces entêtes peuvent aussi
être remplacées pour réaliser une véritable translation
d’URL. Enfin, il est possible avec ISA d’effectuer une véritable
translation de port pour publier un serveur sur le port 80 en
externe par exemple alors qu’en interne, ce serveur se
trouve sur un port différent comme par exemple 8080.
Toutes ces techniques de translation ou de modification dynamique
des requêtes peuvent être combinées entre elles.
Ainsi la fonction de translation de port peut être associée aux
fonctions de translation d’adresses et aussi à  des translations
d’URL. De plus, les pages d’erreurs peuvent aussi être adaptées
pour répondre aux besoins des entreprises. ISA Server 2004 permet donc la mise en place
d’un véritable frontal pour les serveurs
de publication, dans différentes configurations
de réseau. Parmi les nouveautés,
on trouvera aussi la possibilité
de définir des règles au niveau du protocole
TCP avec ses nombreux ports,
mais aussi au niveau du protocole IP, ce
qui permet le contrôle d’application et
d’outils tels que le ping ou tracert,
mais aussi la création de connexion
VPN qui utilisent le protocole Point-to-
Point Tunneling Protocol (PPTP) ou
encore l’utilisation de trafic de type
IPSec qui peut alors être autorisé à 
passer au travers du serveur ISA.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010