Les éléments de stratégie

le verrons ultérieurement

Les différents types d’éléments sont :
• Protocoles
• Utilisateurs
• Types de contenus
• Planifications
• Objets de réseau

Un certain nombre d’éléments existent par défaut ce qui évite à l’administrateur de devoir tous les re-définir. On peut créer et visionner les éléments de stratégie dans l’ongle boîte à outils située dans le menu de la fenêtre de droite (ce menu s’affiche si l’on sélectionne stratégie de pare-feu dans l’arborescence).

Par défaut le nombre de protocoles préfinis est impressionnant. Ils sont classés par groupe ce qui facilite grandement les recherches. Ainsi si l’on souhaite paramétrer une règle pour autoriser ou refuser l’accès aux pages Web il faudra aller chercher dans le conteneur Web qui contient notamment les protocoles HTTP et HTTPS.

Cette classification se révèle très utile à l’usage. En effet, cela évite de devoir faire des recherches sur Internet lorsqu’on ne connaît pas le numéro de port et/ou les plages de ports utilisées par une application donnée.

On peut citer quelques dossiers intéressants :
• VPN et IPSec qui permettent d’autoriser l’accès VPN (IKE, IPSec, L2TP, PPTP,…)
• Terminal distant donne accès aux principaux protocoles d’administration à distance (RDP, Telnet, SSH,…)
• Messagerie instantanée qui permet d’autoriser ou d’interdire rapidement l’accès aux principales applications (ICQ, AIM, MSN, IRC…)

Bien entendu on peut rajouter des définitions de protocoles à la liste présente au départ si le besoin s’en fait sentir.

L’onglet Utilisateurs permet de créer des groupes d’utilisateurs qui seront utiles lors de la création des règles du pare-feu. La grande nouveauté à ce niveau est la gestion des comptes contenus sur les serveurs RADIUS ou sur les serveurs gérant l’authentification via le protocole SecureID en plus des comptes de domaine Active Directory.

Un certain nombre de types de contenus existent par défaut, ce qui permet de simplifier la création de règles sur les contenus. On peut citer documents web, images, audio ou bien encore vidéo.

Les éléments de stratégie « Types de contenus » se révèlent très utiles pour permettre à des utilisateurs de surfer tout en les empêchant de télécharger certains fichiers (comme les vidéos par exemple). Les deux planifications types présentes par défaut sont simplistes et devront être retouchées afin de correspondre aux horaires de votre entreprise. Il ne faudra pas hésiter ici à créer plusieurs autres planifications comme pause ou repas qui permettront de paramétrer des règles d’accès spécifiques à certains moments de la journée.

Les objets réseaux sont très importants pour le paramétrage des différentes règles du serveur ISA. Les ensembles de réseaux et les réseaux sont crées automatiquement lors de la sélection d’un modèle réseau. Par exemple si vous choisissez le modèle pare-feu de périmètre les réseaux Interne, Externe, Clients VPN et Clients VPN en quarantaine seront ajoutés.

Le réseau hôte local est toujours présent, il représente le serveur ISA. Le "réseau" clients VPN en quarantaine contient l’ensemble des clients VPN dont la connexion a été refusée car leurs niveaux de sécurité n’étaient pas satisfaisant. Cette mise en quarantaine des clients "non sécurisés" est une nouveauté de la version 2004 d’ISA server.

Nous aborderons la configuration de la mise en quarantaine dans le chapitre dédié au serveur VPN. Une autre catégorie d’objet de réseau intéressante est la possibilité de créer des ensembles d’URL et des ensembles de noms de domaines. Cela va permettre de bloquer ou d’autoriser certains sites ou certaines pages. Si le nombre de sites web auquel vos utilisateurs doivent accéder est faible, il est fortement recommandé de créer un élément de stratégie nommé sites autorisés ce qui permettra à vos utilisateurs d’accéder uniquement à ces sites.