par Jeff Fellinge
L'accès à Internet pose un problème de sécurité aigu aux entreprises de toutes tailles. Alors que l'entreprise dépend de plus en plus d'Internet, il importe de savoir comment les employés l'utilisent. Le courrier électronique et le surfing sur le Web des employés, les attaques d'intrus et les applications dévoreuses de bande passante imposent une lourde charge aux passerelles qui mènent au Web.
ISA (Internet Security and Acceleration) Server de Microsoft - le successeur de Proxy Server 2.0 - résoud admirablement bon nombre de ces problèmes avec son pare-feu double fonction et son cache qui permet de publier des services s'exécutant sur des serveurs internes. La maîtrise complète d'ISA Server est longue et fastidieuse. C'est pourquoi Microsoft a, avec bonheur, simplifié la configuration de base d'un produit relativement complexe et exhaustif. Le laboratoire de sécurité indépendant ICSA (International Computer Society Association) a récemment certifié ISA Server : de quoi attirer encore plus l'attention sur ce produit amélioré. (Pour plus d'informations sur ISA Server et Proxy Server, voir l'encadré « Articles associés des numéros précédents ») Un peu de planification et une bonne connaissance de base d'Internet permettent de configurer rapidement ISA Server pour contrôler l'accès au réseau et réduire l'utilisation de la bande passante. On peut en profiter pour mettre en oeuvre d'autres fonctions : détection d'intrusion dans le réseau, journalisation, reporting et alertes.
Par sa souplesse, ISA Server se prête à diverses topologies. En premier lieu, il faut identifier et documenter clairement le type de connexion et la politique de sécurité visés. Il faut définir comment et où restreindre l’accès aux données de l’entreprise, quels sont les besoins des bureaux distants ou satellites, et si des connexions utilisateurs distantes sont prévues. Il faut aussi réfléchir aux mérites de la fonction « caching » d’ISA Server. Le caching consiste à stocker les objets reçus. Autrement dit, c’est le cache ISA Server – plutôt qu’Internet – qui honore les demandes suivantes d’un objet (une image, une page Web, par exemple). Le caching présente deux avantages : premièrement, il réduit considérablement le temps de téléchargement répétitif d’un objet ; deuxièmement, il réduit l’utilisation de la bande passante Internet puisque l’objet n’est extrait du Web qu’une seule fois. Le caching d’ISA Server améliore celui de Proxy Server 2.0. Nul besoin de configuration personnalisée pour obtenir un caching de base. Bien sûr, pour des installations plus élaborées, ISA Server propose de nombreux moyens pour régler le comportement et les performances de la fonction cache.
Il faut aussi prendre deux décisions d’installation importantes : premièrement, quel mode d’utilisation souhaite-t-on mettre en oeuvre ? On peut installer ISA Server dans l’un des trois modes suivants : Caching, Firewall ou Integrated, ce dernier combinant les fonctions des deux premiers.
Deuxièmement, il faut définir la relation du système ISA Server avec les autres ordinateurs ISA Server présents sur le réseau. ISA Server peut fonctionner indépendamment de ses homologues (si on l’installe comme un serveur autonome) ou comme membre d’une équipe (si on l’installe dans le cadre d’un groupe (array)). Que l’installation soit autonome ou en groupe, les fonctions cache et parefeu sont les mêmes. Mais l’installation autonome présente quelques inconvénients : elle ne s’intègre pas aux services de l’AD (Active Directory), elle limite l’évolutivité et ne prête pas à l’administration centralisée. L’installation autonome est considérée, à tort ou à raison, plus sûre. est vrai qu’elle isole la machine ISA Server de votre domaine réseau Microsoft – à condition qu’elle ne soit pas membre du domaine. Même si des pirates pénètrent dans la machine ISA Server, ils n’auront pas d’accès direct aux informations du compte domaine ou à votre modèle de domaine. Cependant, en raison même l’isolation, il faudra gérer indépendamment les politiques d’accès chaque système ISA Server supplémentaire, et il faudra aussi recourir des méthodes externes pour équilibrer la charge entre les clients. raison de ces limitations, les installations autonomes conviennent mieux de petits déploiements.
Si l’on choisit la configuration en groupe (array), il faut éviter d’installer ISA Server sur un DC (Domain Controler) situé sur le périmètre c’est-à -dire, exposé à Internet). Bien qu’il soit possible de verrouiller un DC pour le placer sur Internet, il vaut mieux réduire au minimum les applications et services exposés en laissant le DC derrière le pare-feu d’ISA Server. Si votre système ISA Server est un serveur membre du domaine primaire (trusted) de la société, il vaut mieux appliquer plusieurs couches de sécurité et utiliser l’équipement existant dans le réseau. Vous pourriez, par exemple, instaurer le filtrage de paquets sur le routeur Internet ou installer de multiples couches de systèmes ISA Server dans une configuration de réseau en périmètre dos à dos. Ce genre de compartimentation peut améliorer nettement la sécurité. On pourrait, par exemple, configurer le groupe ISA Server externe pour le filtrage des paquets et la publication du serveur et configurer le groupe ISA Server interne pour l’authentification des utilisateurs internes et l’application de la politique de sécurité d’accès vers l’extérieur. Dans un tel exemple, le groupe (array) ISA Server externe serait membre d’un domaine de réseau en périmètre indépendant et le groupe ISA Server interne serait membre du domaine d’entreprise. Ces couches accentuent la sécurité en obligeant le trafic qui traverse le réseau à passer par de multiples points de contrôle indépendants. On peut aussi mettre les systèmes ISA Server dans une forêt AD séparée et établir une confiance unidirectionnelle entre cette forêt et votre domaine de production. Cette méthode procure les avantages d’un groupe, sans exposer votre domaine critique ni exiger les serveurs supplémentaires que le modèle compartimenté nécessite. Si vous choisissez ce modèle, surveillez la configuration pour être certain que des services comme l’authentification des applications fonctionnent au travers de ce type de relation de confiance de domaine. Le modèle de configuration choisi dépend du niveau de sécurité souhaité et du budget disponible.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
