par Sean Daily
Avec Proxy Server 1.0, Microsoft faisait sa première incursion dans deux nouveaux marchés alors balbutiants : la sécurité Internet et l'accès rapide au Web. Bien que n'assurant que des fonctions de sécurité de base et ne supportant pas plusieurs protocoles Internet répandus, la version initiale de Proxy Server connut un rapide succès parmi les organisations basées sur NT qui avaient besoin d'un contrôle d'accès des utilisateurs aux services Internet, d'une fonctionnalité de pare-feu Internet et de l'accès rapide au Web.Dans Proxy Server 2.0, Microsoft a remédié à plusieurs défauts de la première version en incluant la possibilité de contrôler le trafic entrant et sortant et en ajoutant le support d'un plus grand éventail de protocoles Internet et d'applications pour les clients supportant les proxy. Microsoft a également amélioré les fonctionnalités de sécurité du produit pour inclure une fonction sophistiquée de filtrage de paquets qui permet aux administrateurs de définir et de contrôler le flux de types de trafic spécifiques à travers le système Proxy Server. Pour beaucoup de grandes organisations, les principaux avantages de Proxy Server sont la capacité de s'appuyer sur la base de données des comptes d'utilisateurs NT pour contrôler l'accès des utilisateurs aux services Internet et la possibilité d'utiliser les fonctions de mise en mémoire cache pour optimiser les performances des connexions Internet. Mais malgré ses améliorations en matière de sécurité, il manque à Proxy Server 2.0 beaucoup de fonctions assurées par les autres pare-feux. Les grandes organisations sont donc nombreuses à douter de pouvoir en faire leur pare-feu primaire.
Etre accepté comme produit de sécurité Internet autonome, tel était donc le défi à relever pour Proxy Server. Microsoft a ainsi ciblé la prochaine version sur l'intégration des fonctions de sécurité qui font défaut à Proxy Server 2.0 et s'est fixé comme objectif de remédier également à un certain nombre d'autres inconvénients de Proxy Server 2.0, tels que l'absence de support de protocoles très répandus et l'obligation d'installer un logiciel sur le client pour l'accès à Proxy Server. La phase Beta 1 et béta 2 de la lignée de Proxy Server 2.0 ont été baptisées Comet par Microsoft, mais la beta 3 porte le nom de Microsoft Internet Security and Acceleration (ISA) Server, qui exprime mieux les capacités du produit et sa cible : le marché des pare-feux Internet.
ISA Server : le proxy pare-feu de Windows 2000
Bien que descendant de Proxy Server, le nouveau produit est beaucoup plus qu’une
simple mise à niveau de son prédécesseur. ISA Server introduit une mine de nouvelles
fonctions et améliore considérablement les fonctions existantes de Proxy Server.
Nouvelles fonctions pare-feu. ISA Server supporte un robuste
jeu de fonctions pare-feu capables de concurrencer la plupart des produits de
sécurité du marché. Outre le support du filtrage du trafic au niveau des paquets,
des circuits et des applications, ISA Server supporte l’inspection des paquets
en fonction de l’état (c’est-à -dire la capacité d’examiner la transmission des
données à travers le pare-feu dans le contexte de son protocole et de l’état
de la connexion). ISA Server peut également s’appuyer sur AD (Active Directory)
de Windows 2000 ou sur la SAM de NT pour sécuriser des fonctions et des services
individuels au niveau des utilisateurs et des groupes – exploit que la plupart
des pare-feux ne peuvent réaliser parce que fonctionnant sur des adresses IP
ou utilisant une base de données distincte pour l’authentification des utilisateurs.
ISA Server offre nativement des fonctions pour détecter, prévenir et signaler
plusieurs types d’attaques, dont les attaques Windows dite out-of-band (par
exemple WinNuke), Ping of Death et les bombes UDP. ISA Server offre aussi de
véritables services NAT (Network Address Translation) pour la traduction des
adresses réseau, grâce à la fonction SecureNAT, qui permet aux clients LAN de
désigner leurs passerelles par défaut sur ISA Server, et à l’accès sécurisé
et transparent à l’Internet sans logiciel client.
Bien que descendant de Proxy Server, ISA Server est beaucoup plus qu’une
simple mise à niveau de son prédécesseur
Administration basée sur les stratégies. Cette autre fonction
d’ISA Server est importante. Elle permet aux administrateurs de définir des
éléments de stratégie tels qu’utilisateurs et groupes, protocoles clients, planifications,
sites, et groupes de contenus et de les utiliser pour gérer divers paramètres
grâce aux stratégies ISA Server (par exemple stratégies d’accès aux protocoles
clients, stratégies d’accès aux sites, stratégies d’utilisation de la bande
passante). Les stratégies peuvent être créées au niveau d’une grappe de postes
ou à celui d’une entreprise pour les réseaux supportant AD. (Les stratégies
de niveau entreprise permettent d’appliquer des stratégies de sécurité au niveau
de l’entreprise grâce à AD).
Intégration avec RRAS et VPN. L’une des améliorations majeures
offertes par ISA Server est l’intégration transparente du logiciel avec RRAS
et les services de VPN de Windows 2000. Contrairement à l’intégration de RAS
et RRAS sous NT 4.0 dans Proxy Server, l’établissement d’un VPN avec un serveur
de VPN RRAS distant est un processus absolument sans difficulté aucune avec
ISA Server. Pour faciliter l’installation, un assistant de configuration de
VPN facile à utiliser va même jusqu’à lancer l’installation de RRAS, s’il n’est
pas encore installé pour des configurations de VPN locaux.
Mise en mémoire cache intelligente. ISA Server offre des fonctions
actives de mise en mémoire cache qui permettent aux administrateurs de mettre
en cache proactivement le contenu de sites Web très sollicités. Les mises à
jour peuvent également être planifiées pour s’exécuter automatiquement à des
moments déterminés pendant la journée.
Filtres d’applications intelligents. Les filtres d’applications
intelligents permettent de définir des filtres pour contrôler le trafic traversant
ISA Server à un niveau spécifique à une application. Par exemple, pour filtrer
le trafic de la messagerie électronique en bloquant certains types de contenus
ou pour traiter uniquement les données audio et vidéo.
Filtrage IP dynamique. Beaucoup de pare-feux peuvent alléger
la charge de gestion des administrateurs en ouvrant dynamiquement les ports
du pare-feu pour les sessions actives d’un client sur l’Internet et en les refermant
une fois la session terminée. ISA Server dispose d’une fonction de filtrage
dynamique de ce type, pour éviter à l’administrateur d’aller jusqu’au pare-feu
ouvrir manuellement des ports chaque fois que des clients du réseau utilisent
un nouveau protocole.
Capacités de montée en charge. Dans les grandes entreprises,
l’évolutivité est une fonction importante pour un serveur de mise en cache Web,
car les performances risquent de se détériorer lorsqu’il s’agit de mettre en
cache un grand nombre de données. Pour traiter des situations de ce type et
répondre aux besoins des réseaux d’entreprises, ISA Server possède une fonctionnalité
d’équilibrage des charges dynamique grâce au protocole CARP (Cache Array Routing
Protocol), également supporté par Proxy Server. CARP améliore les performances
dans les batteries ISA Server en envoyant automatiquement les requêtes des clients
au serveur ayant le plus de chances d’héberger le contenu demandé. L’utilisation
par ISA Server des services NLB (Network Load Balancing) de Windows 2000 faisant
appel à des grappes multi-serveurs améliore les capacités d’équilibrage des
charges dynamiques du produit et la disponibilité générale des systèmes ISA
Server. ISA Server peut également être configuré pour des connexions multiples
ou de renfort (également baptisées itinéraires) avec d’autres systèmes ISA Server,
ce qui améliore la disponibilité des serveurs.
ISA Server permet de configurer des règles définissant la bande passante
pouvant être consommée par les divers protocoles et types de trafics
Les règles d’utilisation de la bande passante. NLB n’est pas
la seule nouvelle fonction de Windows 2000 exploitée par ISA Server. Grâce aux
fonctions de contrôle de la bande passante et de Qualité de service (QoS) de
Windows 2000, ISA Server permet de configurer des règles définissant la quantité
de bande passante pouvant être consommée par les divers protocoles et les types
de trafics traversant un serveur ISA entre l’Internet et le réseau local. Cette
fonction accroît le contrôle de la disponibilité et de l’utilisation d’une connexion
Internet d’entreprise, par rapport à Proxy Server.
Amélioration du reporting. ISA Server produit des rapports
très complets sur l’accès des utilisateurs et les événements de sécurité. Il
peut être programmé pour exécuter automatiquement ces rapports et les délivrer
à des intervalles spécifiés (par exemple quotidiennement, hebdomadairement,
mensuellement).
Service portier H323. ISA Server contient un composant portier
H323, qui permet aux administrateurs de gérer les appels de téléphonie IP entre
applications fonctionnant sous le protocole H323 (par exemple, Microsoft NetMeeting
3.0). Une fois créés les régistrations des enregistrements DNS SRV pour annoncer
les services portier, les clients peuvent se connecter à ISA Server, enregistrer
leurs noms avec le service portier et établir des connexions avec d’autres terminaux
H323.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
