Transcript Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006

Protéger vos ressources et vos
réseaux avec le pare-feu
applicatif ISA Server 2006
1
Qu’est ce que
?
• Un site Web très orienté technique
– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable
– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en France
– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des webcasts et e-démos accessibles à tout instant
– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement
– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
2
Logistique
Pause en milieu de
session
Vos questions sont les
bienvenues.
N’hésitez pas !
Feuille d’évaluation à
remettre remplie en fin
de session
Merci d’éteindre
vos téléphones
Commodités
3
Agenda
•
•
•
•
•
•
•
Introduction
Présentation générale d’ISA Server
Sécuriser les applications Web publiées
Optimiser et sécuriser les réseaux d’agences
Faciliter les déploiements
Ressources utiles
Questions / Réponses
4
Quelques chiffres
•
Environ 70% de toutes les attaques Web se passent au niveau de la couche
Application (Source : Gartner Group)
•
Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau
application (Source : Symantec Internet Threat Report VIII, sept 05)
•
Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des
applications Web
– +59% entre le dernier semestre 2004 et le premier semestre 2005
– +109% entre le premier semestre 2004 et le premier semestre 2005
•
Forte augmentation des incidents sur les sites Web (Source :
Etudes CSI/FBI 2004 & 2005)
– 2004 : 89% des interviewés déclarent 1 à 5 incidents
– 2005 : 95% des interviewés déclarent plus de 10 incidents
•
90% des applications Web seraient vulnérables (source : étude
WebCohort Application Defense Center's penetration testing effectuée de janvier
2000 à janvier 2004)
5
Organisation de la défense – Flux
sortants de l’entreprise
Vision utilisateur
Un accès Internet :
à Adapté au métier / au poste
à Facile d’utilisation
à Ne nécessitant pas de réauthentification
Internet
Réseau de l’entreprise
Accès
maitrisés
Proxy applicatif avec :
• Authentification obligatoire
• Filtrage des destinations
• Analyse & filtrage du contenu
• Reporting de l’activité
Un accès Internet :
à Authentifié et intégré à l’infrastructure existante
à Contrôlé / Sûr
à Facile à administrer
à Journalisé / Surveillé
à Analysé
Vision IT / Manager
6
Organisation de la défense – Flux
entrants dans l’entreprise
Périmètre de l’entreprise
Vision IT / Manager
Vision utilisateur
Un accès aux ressources depuis Internet :
à Adapté au métier / au poste
à Facile d’utilisation / Peu contraignant
à Si possible utilisable via des protocoles et
applications standards (navigateur Web)
Internet
Pare-feu applicatif / VPN avec :
• Authentification multi-facteurs
• Single Sign On
• Filtrage des destinations
• Analyse & filtrage du contenu
• Mise en quarantaine VPN
• Support des fermes de serveurs
Ressources / Réseaux de l’entreprise
Accès
maitrisés
Une ouverture des services sur Internet :
à Contrôlée / Sûre
Limité aux utilisateurs authentifié
à Garantissant une surface d’attaque
minimale sur les applications exposées
à Offrant l’accès aux outils utilisés par les
populations mobiles
à Intégrée à l’infrastructure existante
à Facile à administrer
à Journalisée / Surveillée
7
Différentes vues d’un paquet TCP/IP
Pare feu “traditionnel”
•
•
Seul l’entête du paquet est analysé. Le contenu au niveau de la
couche application est comme une “boite noire”
La décision de laisser passer est basée sur les numéros de ports
IP Header
TCP Header
Source Address,
Dest. Address,
TTL,
Checksum
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer
Content
????????????????????
????????????????????
Pare feu multicouches (3,4,7)

Les entêtes du paquet et le contenu sont inspectés
Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP)

Les décisions de laisser passer sont basées sur le contenu
IP Header
Source Address,
Dest. Address,
TTL,
Checksum
TCP Header
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer Content
<html><head><meta httpquiv="content-type"
content="text/html; charset=UTF8"><title>MSNBC - MSNBC Front
Page</title><link rel="stylesheet"
8
ISA Server en quelques mots
Pare-feu
multicouches
(3,4 et 7)
Proxy cache
Filtrage extensible
Reverse proxy
Proxy applicatif
Passerelle VPN
- VPN nomades
- VPN site à site
www.vpnc.org
9
Les différentes versions d’ISA 2006
•Inclus
toutes les
fonctionnalités de :
• Pare-feu (niveaux 3,4,7)
• Passerelle VPN
• Proxy cache
•sur un même serveur
•1 licence par processeur
physique (4 maximum)
•Également disponible sous la
forme d’appliance
•Ajoute
la haute
disponibilité et la
tolérance de panne
•Ajoute la capacité à
monter en charge en
utilisant plusieurs serveurs
(groupes)
•Ajoute l’administration
centralisée au niveau
entreprise
10
Disponible en « appliance »
• Network Engines NS Appliances
– http://www.networkengines.com/sol/nsa
pplianceseries.aspx
• Autres OEMs :
11
ISA Server : un produit extensible
Haute
disponibilité
Reporting
Appliances
Antivirus
Authentification
Filtrage
applicatif
Accélérateurs
SSL
Contrôle d’URLs
Plus de partenaires :
http://www.microsoft.com/isaserver/partners/default.asp
12
Les 3 piliers d’ISA Server 2006
Sécuriser les
applications Web
publiées
• Fournir un accès
fiable et sûr à tous
les périphériques
disposant d’un
navigateur Web
• Forte intégration
avec Exchange (5.5
-> 12) et Sharepoint
/ WSS
• Plus de standards
supportés pour
l’authentification
Optimiser et
sécuriser les
réseaux d’agence
Enrichir et faciliter
les déploiements
• Améliorer la sécurité
des réseaux
d’agences
• ISA Server 2006
Entreprise Edition
disponible sous la
forme d’appliance
• Optimiser la
consommation de la
bande passante
• Faciliter
l’administration
distante
• Déploiement
automatisé via clé USB
• Assistant « Branch
Office » lancé
automatiquement
13
Démonstration
14
Sécuriser les applications Web
publiées
SharePoint, Exchange et autres
serveurs Web
15
Publications Web : OWA, SPS, WSS
• Publication assistée pour
les applications
classiques Microsoft :
– Sharepoint Server /
Windows Sharepoint
Services
– Exchange Server
(5.5 à 2007)
• Intégration dans l’assistant
de RPC/HTTP
• Support des
fonctionnalités de proxy
d’Exchange Server 2007
16
Publier des serveurs de courrier
• Web accès
–
–
–
–
Outlook Web Access
RPC sur HTTP
Outlook Mobile Access
Exchange ActiveSync
• Autres types d’accès
–
–
–
–
–
SMTP
MS-RPC
POP3
IMAP4
NNTP
17
Intégration avec Exchange Server
• Sélection dans les assistants de configuration de la
version d’Exchange utilisée
– Fonctionne également avec des fermes de serveurs
• Sélection des méthodes d’accès
• Couplé à Exchange Server 2007, ISA Server 2006 permet
également un accès complet (pas uniquement en lecture)
à:
– Des librairies SharePoint
– Des partages réseaux
• Utilise pour cela une interface OWA spécifique
– Ce n’est pas celle disponible avec l’onglet “Document” d’Outlook
Web Access 2007 (cf. captures d’écrans suivantes)
18
OWA Exchange 2007
19
OWA 2007 au travers d’ISA 2006
20
Publier des serveurs SharePoint
• Assistant de publication
spécifique à Sharepoint / WSS
• Support des fermes de serveurs
• Pré-authentification et
délégation d’authentification
(dont NTLM…) auprès des
serveurs Sharepoint
• Avertissement concernant les
paramétrages complémentaires
à effectué sur Sharepoint (AAM)
• Traduction de liens (réécriture
d’URLs) automatique
21
Certificats et publications
22
Meilleure gestion des certificats
• Plusieurs certificats possibles sur un même port d’écoute
(mais toujours un certificat par adresse IP)
• Console des certificats avec vérification de leur validité, de
leur magasin… (cf. slides suivantes)
• Objectifs :
– Limiter les problèmes d’installation des certificats SSL sur ISA
– Aider le dépannage sur les certificats déjà installés sur ISA ou les
serveurs publiés
« Public Key Infrastructure (PKI) and especially SSL
Certificates are the most commonly misunderstood
security features among our customers » - Microsoft PSS
23
Vue générale des certificats
• 4 types de certificats utilisés en fonction de leur emplacement
– Front-End – Certificat sur la machine ISA. Utilisé pour établir une
connexion SSL avec des clients distants
– Remote Client – Certificat sur le poste client utilisé pour authentifier
pour authentifier ce client distant sur ISA Server (optionnel)
– Back-End – Certificat installé sur un le serveur à publier et utilisé pour
établir une connexion SSL entre ce serveur et le serveur ISA
– ISA Client – Certificat sur ISA Server utilisé pour authentifié ISA sur le
serveur publié (optionnel)
24
Configuration d’un certificat Front-end
Pour bien fonctionner ce certificat doit :
– Avoir pour rôle “Server Authentication”
– Être installé dans le magasin local Ordinateur
• Sous branche Personnel
– Avoir une clé privée associée
– Être installé sur tous les membres d’un groupe (en cas d’utilisation
sur une édition Entreprise)
• Avec ISA Server 2004 édition Entreprise, si un seul de ces
pré-requis n’est pas respecté, alors l’administrateur reçoit le
message d’erreur suivant :
… ou alors le certificat n’est pas visible dans l’interface
utilisateur.
25
Configuration d’un certificat avec ISA
Server 2006
• Le gestionnaire de certificats d’ISA Server 2006
offre les améliorations suivantes :
– Affiche les certificats mal installés
• Certificat installé dans le magasin de l’utilisateur (et non dans le
magasin Ordinateur)
• Certificats sans clé privée
– Affiche l’état des certificats sur chaque membre d’un
groupe de serveurs
– Affiche les certificats expirés avec un message
d’avertissement
– Préviens quand le nom d’un certificat ne correspond pas
au nom public utilisé dans la publication
26
Certificat correctement installé
ISA 2006
27
Certificat pas installé sur tous les
membres d’un groupe
28
Certificat dans le mauvais magasin
29
Certificat sans clé privée
30
Certificat expiré
31
Certificats sur le Back-End
• Les problèmes de certificats sur les serveurs à publier
(Back-end) sont difficiles à dépanner
– Message HTTP 500 – Internal Server Error
• ISA Server utilise les alertes pour les problèmes de
configuration de ces certificats
• Les certificats sur les serveurs publiés :
– Doivent être approuvés (trusted) par ISA Server (ISA 2006)
– Ne doivent pas être expirées (ISA 2006)
– Avoir un nom correspondant au nom utilisé par ISA pour se
connecter sur le serveur Back-End (ISA 2006)
32
Certificats sur le Back-End,
améliorations apportées par ISA 2006
• ISA Server 2006 ajoute des
alertes concernant les certificats
sur les serveurs publiés:
– Certificat ayant moins de 45
jours avant la date d’expiration
• Valable également pour les
certificats installés sur la machine
ISA (Front-End) !
– Certificat dont le nom ne
correspond pas à l’adresse
publique utilisée pour la publication
• Support des certificats de type
wildcard (*) sur les Back-End
33
Authentification et ISA Server 2006
34
Définition de l’authentication
Quel type de crédentiels l’utilisateur doit
posséder ?
Comment l’utilisateur présente ses crédentiels?
Comment et vers qui ISA Server valide ces
informations de sécurités (crédentiels)?
Comment ISA Server fourni les crédentiels au
serveur publié ?
35
Les différentes combinaisons en
terme d’authentification
Password
HTTP
(Basic, Digest,
Integrated)
Active
Directory
(Windows)
HTTP (Basic)
Active
Directory
(LDAP)
HTTP
(Integrated)
One Time
Password
(OTP)
Certificate
HTML Forms
(FBA)
Mutual
SSL/TLS
RADIUS
RADIUS OTP
Kerberos
Constrained
Delegation
RSA SecurID
RSA SecureID
36
Processus d’authentification
Authentification Oui Demande
sur le port d’écoute? des crédentiels
Non
Trouve la règle
de publication
correspondante
la règle est
pour “tous les
utilisateurs” ?
Non
Demande
des crédentiels
Oui
AuthN nécessaire Oui Demande
Sur le backend?
des crédentiels
Non
Affiche le contenu publié
Requête cliente
sur un site web
37
Authentification et ISA 2006
• ISA Server accepte les authentifications clientes
suivantes:
– Authentification HTTP
(reçue dans l’entête HTTP) :
• Basique
• Digest
• Intégrée Windows.
– Authentification par formulaire (Forms Based
Authentication) : SecurID, RADIUS, Active Directory,
Active Directory LDAP, RADIUS OTP
– Certificat Client
– Pas d’authentification
38
Type d’authentification sur ISA (Front-End)
Front-end HTTP
(ISA)
Basic
Digest
Negotiate
Client SSL Ignore
Accept

Demande de certificat; bascule sur demande
d’authentification (login password) si aucun fourni
Require
Demande de certificat; échec de la règle si aucun n’est fourni
 Obtient une authentification à 2 facteurs en combinant avec
une demande de crédentiels sur l’authentification au niveau
du port d’écoute

Formulaire Par port d’écoute ou par règle
HTML
 Username + password
 Username
+ passcode
 Username + password + passcode
Navigateurs uniquement. Les applications qui ne sont
pas des navigateurs doivent utiliser l’authentification
HTTP basic
39
Type d’authentification et serveurs
back-end (publiés)
Back-end None
HTTP
Bloquer
Laisser traverser
Basic
Négocié
essaie
Kerberos, puis se rabat sur NTLM
Kerberos Supports S4U2Proxy delegation
Domaines
Windows 2003 uniquement
Exploring S4U Kerberos Extensions in
Windows Server 2003
http://msdn.microsoft.com/msdnmag/issues/0
3/04/SecurityBriefs/
40
Authentification LDAP
• L’authentification LDAP permet à ISA Server 2006 de
valider les informations de sécurité (crédentiels) d’un
utilisateur sur un contrôleur de domaine Active Directory
sans nécessiter son appartenance au domaine.
• Peut utiliser (DC) or Global Catalog (GC)
• Plus intéressant que RADIUS:
– Peut fonctionner directement avec un contrôleur de domaine AD
sans nécessiter l’installation d’un serveur IAS (Internet
Authentication Server = Radius sous Windows 2000 / 2003)
– Supporte la vérification d’accès basée sur les groupes de sécurité
AD
– Supporte les connexions sécurisées (LDAPS). Avec Radius,
nécessité d’utiliser IPSec
41
Authentification RADIUS One Time
Password (OTP)
• Nécessite un produit tiers qui inclus
– Périphérique / logiciel utilisé par l’utilisateur pour générer les passcodes
– Un serveur Radius (ou IAS) qui va vérifier les passcodes
• A la place du couple username+password, le formulaire d’ISA form
collecte username+passcode
• ISA transmet le couple username+passcode au serveur Radius. Le
Passcode remplace ici le mot de passe
• A la différence d’une authentification standard, ISA ne vérifie pas le
passcode chaque fois (one-time !). Donc une fois que le serveur Radius
autorise l’utilisateur, ISA remplace le cookie par un qui dit “l’utilisateur
est authentifié”
• ISA Server peut aussi collecter le mot de passe (password). Celui-ci est
utilisé pour la délégation auprès des serveurs publiés et jamais par le
serveur Radius
42
RADIUS One Time Passcode
GET /
HTTP/1.1 302 redirect
Location: .../CookieAuth.dll?Logon?...
GET /CookieAuth.dll?Logon?...
HTTP/1.1 200 OK
<logon form with asks for passcode...>
GET /
also password
POST /CookieAuth.dll?Logon?...
www-authenticate:
<body includes username+passcode>
<username+password> Serveur publié
also password
HTTP/1.1 302 redirect
Web server (Sharepoint,
ISA Server
Location: http://ISA/
OWA, etc)
Set-Cookie: encrypted username+passcode
also password
GET /
Cookie: encrypted username+passcode
also password
HTTP/1.1 200 OK
Set-Cookie: encrypted username, "passcode was OK!"
also password
GET /
RADIUS, ACE/Server
Cookie: encrypted username, "passcode was OK!"
also password
43
Authentification par formulaire
Forms-based Authentication (FBA)
• Quand le client accède à ISA Server, il est redirigé sur un formulaire
d’authentification
• Le client saisi ses crédentiels et les POSTe sur ISA
• ISA vérifie les crédentiels et redirige le client vers le site publié. La
redirection 302 incluse la mise en œuvre d’un cookie chiffré qui contient
les crédentiels.
• Le client requête le site (url publiée) cette fois-ci avec le cookie
• ISA récupère le cookie, comprend les crédentiels et les utilise pour
l’autorisation, la délégation et la journalisation
44
Authentification par formulaire
Principe de fonctionnement
GET /
HTTP/1.1 302 redirect
Location: .../CookieAuth.dll?Logon?...
GET /CookieAuth.dll?Logon?...
HTTP/1.1 200 OK
<logon form...>
Navigateur
Web
POST /CookieAuth.dll?Logon?...
ISA Server
<body includes username+password>
GET /
www-authenticate: ...
(Basic / NTLM / Kerberos)
Serveur publié
Serveur Web
(Sharepoint, OWA, etc)
HTTP/1.1 302 redirect
Location: http://ISA/
Set-Cookie: cadata...="encrypted
username+password"
GET /
Cookie: cadata...="encrypted
username+password "
Serveur d’authentification
(Active Directory, LDAP,
RADIUS, RSA ACE/Server)
45
Authentification par formulaire
Forms-based Authentication (FBA)
• Fonctionne pour tous les sites web publiés sur ISA
– Premium: navigateurs avec fonctions avancés (=IE)
– Basic: autres navigateurs
– Mobile: navigateurs avec une faible résolution
• 3 formulaires pour chaque classe :
– Logon
– Logoff
– SecurID
• Langages
– 26 langues disponibles
– Choisi en fonction des paramètres de langue du navigateur
– Modifiable
46
Formats des formulaires
• Username et password
• Username et passcode
• Combinaison (nécessite les 2)
– ID+passcode: pour SecurID ou RADIUS OTP
• Validé par ISA Server
– ID+password: pour la délégation
• Validé par le back-end
• Les clients qui ne sont pas des navigateurs reçoivent une
demande d’authentification basique
– Office, RPC sur HTTP, Exchange ActiveSync, Acrobat, …
– Basé sur les chaînes user-agent
– Configurable via COM - FPCUserAgentMappings
47
Formulaires prédéfinis
Générique ISA Server
 Exchange

48
Authentification par formulaire
Option de configuration
49
Gestion des sessions
• Paramétrages distincts pour les machines privées ou
publiques
– Cookie persistants : oui ou non?
• Les cookies persistants sont stockés sur le disque du client et peuvent
être lus par tous les processus de la machine
• Un cookie de session (=non-persistant) est local au processus en cours
du navigateur. Si l’utilisateur démarre un nouveau navigateur (=
nouveau processus) alors il devra se ré-authentifier
– Timeout – combien de temps?
– Implémenté au niveau du cookie ET dans ISA
• ISA Server gère la durée des sessions
– Durée maximale d’inactivité (idle time)
– Durée maximale d’une session
• Une URL de déconnexion pour chaque application Web
– La session expire quand le client envoie une requête à l’URL de
déconnexion
50
Single Sign On sur les applications Web
• L’utilisateur ne se signe qu’une
fois par session
• Via un même port d’écoute et un
suffixe DNS commun
• ISA gère les time outs et la durée
maximale des sessions
• Exemple : pour
mail.mycompany.com,
sps.mycompany.com et
www.mycompany.com, le
domaine SSO est
.mycompany.com
51
Comment fonctionne le SSO ?
1. Le client se connecte sur mail.mycompany.com,
s’authentifie avec le formulaire ISA
2. Une fois redirigé vers le site, ISA pose un cookie de
domaine
– Set-Cookie: ...; domain=.mycompany.com;...
3. Chaque fois que le client va sur un site dans
*.mycompany.com, il présente le cookie
– Cookie: ...
4. ISA voit le cookie et comprend qui est l’utilisateur
52
Processus Single Sign On
dev
Identification ?
Identification ?
sup.example.com
dev.example.com
www.domain.com
eng.example.com
ID+passDéjà vu
eng
sup
mktg
mycompany.com
Même si les ports d’écoutes
partage le même type
d’authentification et si le SSO
est activé
www.domain.com
53
Délégation de l’authentification
• ISA Server s’authentifie auprès du serveur web publié à
la place de l’utilisateur
• Différents paramètres pour chaque règle de publication
– HTTP (Basic, NTLM, Négocié)
– SecurID
– Kerberos Constrained Delegation
• Implémenté sous la forme d’un nouveau filtre
“Authentication Delegation" filter - authdflt.dll
54
Délégation et méthodes d’authentification
Délégation
avancée
Front-end
Interface
Formulaire
HTML
Provider
Back-end
delegation
Commentaires
WinLogon
LDAP
RADIUS
Aucune (passthrough)
Aucune (block)
HTTP basic
Kerberos S4U2Proxy
Negotiate
Digest
Intégré
WinLogon
None (passthrough)
None (block)
Formulaire avec
passcode
SecurID
None (passthrough)
None (block)
SecurID
 Supports
SSO
Formulaire avec
passcode et mot
de passe
SecurID
None (passthrough)
None (block)
HTTP basic
Kerberos S4U2Proxy
Negotiate
SecurID
 Supports
SSO
Client SSL
WinLogon
N/A
 Combiné
HTTP basic
 Supporte
SSO
 Peut nécessiter un certificat
pour un authentification à 2
facteurs
avec SecureID pour
une authentification à 2
facteurs
55
Démonstration
56
Traduction (réécriture) de liens
57
Publication Web sécurisée
Reverse proxy - principes
http://hrweb
http://portal
https://portal.public.microsoft.com
OWA\Outlook
Home
Computer
https://hrweb.public.microsoft.com
Internal
client
Internal
client
Laptop
Internal
client
ISA 2006 Array
https://mail.public.microsoft.com
SharePoint Web server1 Exchange
Http://portal http://hrweb
Kiosk
58
Réécriture de liens : principes
http://www.example.com
<HREF=http://teams/eng>
?
59
Réécriture de liens : principes
http://www.example.com
<HREF=http://teams/eng>
<HREF=http://teams.example.com/eng

60
Réécriture de liens
traduction de liens
• Bénéfices
– Permet de ne pas divulguer
des noms internes (urls,
nom NetBios de serveur…)
– Permet à des utilisateurs
externes d’utiliser des liens
sans pour autant avoir à
réécrire les applications
Web (àéconomies)
• Nouveautés ISA 2006
– Activée automatiquement
– Moteur de réécriture plus
rapide
– Multi-langues
61
Réécriture de liens dans des
groupes de serveurs ISA (arrays)
• Réécriture de liens même
si le contenu web est sur
un autre groupe
• Permet d’augmenter la
disponibilité
– En cas de panne d’un
groupe dans une région, le
dictionnaire de récriture
reste disponible sur les
autres groupe
62
Dictionnaire global - Entreprise

Réécriture de liens inter-groupes
Calculated Enterprise Dictionary
From
To
http://portal https://portal.public.microsoft.com
http://hrweb https://hrweb.public.microsoft.com
http://owa
https://mail.public.microsoft.com
Global Dictionary
Global Dictionary
From
To
http://portal https://portal.public.microsoft.com
http://hrweb https://hrweb.public.microsoft.com
Array 1
From
http://owa
To
https://mail.public.microsoft.com
Array 2
63
Démonstration
64
Publication de batteries
(fermes) de serveurs Web
65
Meilleur support des environnements à
équilibrage de charge
•
•
•
•
Intégration dans les assistants de publication d’ISA
Utilise des objets de type « batterie de serveurs »
Affinité des sessions par adresse IP ou cookies
Préservation du contexte des applications
– Simple affinité uniquement
• Ne nécessite pas l’utilisation de NLB sur les serveurs publiés
– Élimine les problèmes de NAT et autres routages
– Ne se base plus sur les adresses IP d’ISA, permettant ainsi une meilleure
répartition sur les serveurs publiés
• 2 types de répartition
– Basée sur des cookies (ex : OWA par défaut)
– Basé sur l’adresse IP Source (ex: RPC/HTTP par défaut)
66
WPLB par adresse IP du client
vs. Cookie
• WPLB : Web Publishing Load Balancing
= Publication Web avec répartition de charge
• WPLB basé sur l’adresse IP du client
– La même adresse IP du client obtient toujours le même serveur
– Fonctionne même si le client ne supporte pas les cookies (ou si il
les bloque)
• WPLB basé sur les cookie (affinité de session)
– Plusieurs clients sont répartis sur plusieurs serveurs, même si ils
sont derrière un NAT ou un proxy
– L’affinité est maintenue même si le client est derrière un proxy
utilisant CARP (il n’est pas nécessaire de créer des exceptions
CARP)
67
Exemple de cookie pour le WPLB
68
Batteries de serveurs
• Définie comme un objet réseau
• Utilisable dans les règles de
publication
69
Configuration
1. Création d’un objet ‘ferme de serveur”
– Liste des serveurs
– Vérificateurs de connectivité
2. Créer une règle de publication Web en faisant référence
à la ferme
3. La règle a également un "Internal site name"
– Nom utilisé par les clients et serveurs internes pour la ferme
• Doit permettre la résolution vers un des serveurs
4. ISA va l’utiliser comme nom d’entête d’hôte lors du
transfert des requêtes vers la ferme de serveurs (à
moins que l’option “Forward original host header” soit
cochée)
5. ISA va réécrire les liens contenant ce nom avec le nom
publique
70
Surveillance - Vérificateurs de
connectivité
• ISA surveille la santé (status) d’une ferme de serveurs web avec les
vérificateurs de connectivité
• Quand le serveur cible n’est pas joignable, les requêtes sont relayées
vers un autre serveur
– Les clients avec une session en cours sur le serveurs qui est “tombé”
perdent leur session en cours
• Les vérificateurs sont créés implicitement pour la ferme
• Les mêmes options que les vérificateurs créés manuellement sont
disponibles : ping, TCP, HTTP, HTTPS
• Le vérificateur doit correspondre au type de serveur publié
– exemple: en cas de pontage SSL, utilisé le vérificateur HTTPS pour vérifier
les erreurs relatives à ce type de connexion (expiration de certificats…)
71
Surveillance - test de connectivité
72
Management - Purge
• Si vous voulez mettre hors service un serveur pour des
raisons de maintenance, il faut au préalable le purger
(drain) :
– Aucune nouvelle requête ne doit être relayée vers un serveur
purgé
– Note : ISA ne peut pas savoir combien de sessions sont encore en
cours sur le serveur web (elles peuvent être conservées dans un
cookie du navigateur). L’administrateur doit vérifier l’activité du
serveur et décider quand l’arrêter.
• Une fois que le serveur est “remonté”, il faut le reprendre
(resume)
73
Purger / Reprendre un serveur
74
Surveillance de l’état des serveurs
• Actif
• Purgé
• Supprimé
• Hors service
75
Surveillance de l’état des serveurs
Active Etat normal quand un serveur est ajouté à une
ferme. Va accepter les requêtes entrantes
Draining Termine les requêtes en cours de traitement. Ne
va pas accepter les nouvelles requêtes
Out of Changement automatique d’état si le serveur
service ISA détecte que le serveur ne répond plus
Removed Suppression de la ferme et dans l’interface
utilisateur. N’accepte pas de requêtes.
• Quand un serveur en panne (arrêté) revient en ligne, il
accepte de nouvelles requêtes. Les requêtes précédentes
restent sur le serveur qui avait repris la main
76
Surveillance
• ISA n’a pas en standard l’outil permettant de surveiller la
distribution de la charge entre les membres d’une ferme
– Il est cependant possible de vérifier les journaux pour voir combien
de sessions vont vers un serveur
– La lecture des journaux et des compteurs de performances des
serveurs Web sont également une bonne source d’information
77
Démonstration
78
Optimiser et sécuriser les
réseaux d’agences
79
Utilisation de la compression HTTP
Site central
Jean Bouin
Sept Deniers
80
La compression HTTP
• Documentée dans les RFC 1951 & 1952
• Uniquement sur de l’HTTP 1.1
Get “AcceptEncoding = Accept-Encoding: gzip, deflate”
Reponse “ContentEncoding = Content-Encoding: gzip”
Dans l’entête HTTP de la requête du client
Dans l’entête HTTP de la réponse du serveur
81
La compression HTTP dans ISA
• 2 filtres Web
– Filtre de compression / décompression
– Filtre de cache et de contenu compressé
• Inspection du contenu compressé
– Le filtre de compression est le premier dans l’ordre de traitement
• Le cache supporte le contenu Http compressé grâce au
second filtre
• Attention : l’utilisation de la compression peut affecter les
performances du serveur (CPU)
82
Contrôle de la compression HTTP
• Source ou Destination
– Réseau
– Groupe d’ordinateurs
• Contenu
– Documents html
– Texte
– Images
– …
• Le paramétrage se fait au niveau du port d’écoute (nouveauté ISA
Server 2006) ou pour la globalité du serveur
– Le paramétrage n’est pas possible au niveau des règles
• Important : le trafic HTTPs n’est pas compressé
83
Compression HTTP côté client
• Les clients HTTP 1.1
demandent
automatiquement la
compression
• Paramètre à activer sur le
navigateur
84
Démonstration
85
Gestion de priorité pour les flux HTTP
• Support de Differentiated Services (DiffServ)
• Documentée dans les RFC 2474, 2475
• Utilise le champ TOS (Type Of Services) des paquets
IPv4
– Cf. slide suivante
• Il faut que l’infrastructure le supporte (routeur)
• Paramétrable en fonction :
– URL
– Domaine
– Réseau
– Taille du contenu
86
Differentiated Services
0
1
2
3
4
5
6
7
Differentiated Services Codepoint (DSCP)
Ver4
IHL
TOS
Identification
TTL
Total Length
Flags
Protocol
Frag Offset
Header Cheksum
Source Address
Destination Address
IP Options
87
Differentiated Services
0
1
2
3
4
5
6
7
Differentiated Services Codepoint (DSCP)
Bits de 0 à 2 : Class Selector
Bits de 3 à 5 : Priorité dans les classes
Taux de rejet croissant
Bits 6 et 7 : Pas utilisés
Garantie d’acheminement croissante
Classe 1
Classe 2
Classe 3
Classe 4
001010
010010
011010
100010
001100
010100
011100
100100
001110
010110
011110
100110
88
Démonstration
89
Mise en cache BITS (Scénario réseau d’agences)
`
WAN
Faible débit
ISA Server
agence
ISA Server
Site Central
`
`
La mise en cache BITS est supportée avec
• Windows Update / Microsoft Update
• Windows Server Update Services (WSUS)
90
BITS Caching
•
•
•
Background Intelligent Transfer Service
Documenté dans la RFC 2616
Utilisé avec :
–
–
–
•
Automatique update
Windows update
Microsoft update
Vérifie
– Range: request header
– Content-range: response header
A paramétrer sur les postes clients
91
92
Démonstration
93
Prévention des attaques par saturation
Flood resiliency
• Objectif à Protéger ISA Server contre :
–
–
–
–
–
Propagation de ver
Bombardement SYN
Déni de service (DoS)
Déni de service distribué (DDoS)
Bombardement HTTP
• Dans certains cas, les ordinateurs derrière ISA
seront également protégés mais ce n’est pas
l’objectif principal de cette fonction
94
Fonctions de prévention d’attaque par
saturation
1 – Attaques bloquées
2 – Techniques de réduction
• Propagation de vers
• Limiter les requêtes de connexion TCP par minute par IP
• Attaques SYN
• Limiter le nombre de connexions TCP simultanées par IP
• Déni de Service (DoS)
• Limiter le nombre de connexion TCP “half-open” par IP
• Déni de Service distribué (DDoS)
• Limiter le nombre de requêtes HTTP par minute par IP
• Déni de Service (DoS) par
bombardement HTTP
• Limiter les sessions simultanées non-TCP par IP
• Limiter les nouvelles sessions Non-TCP par minute et par règle
• Limiter les messages de refus TCP et non-TCP
3 – Contrôle des ressources
• Saturation des journaux
• Consommation mémoire
• Requêtes DNS en cours
4- Remédiation
• Déclenchement d’alertes avec information sur
l’attaque et instruction de remédiation
• Notification de l’administrateur avec les adresses IP
des clients infectés
95
Facilité de déploiement
96
Appliances ISA 2006 : améliorations
• Déploiement facilité
– Déploiement entièrement automatisable avec une clé
mémoire USB
– Assistant réseau d’agence exécuté automatiquement
sur une appliance en agence.
• La version Entreprise d’ISA Server 2006 sera
également disponible en version appliance
97
Déploiement en réseau d’agence
simplifié
Le challenge : déployer ISA sur des centaines d’agences
• Beaucoup de serveurs à déployer
• Pas d’administrateur local dans les agences
• ISA Server 2006 dispose d’un assistant spécifique à ce
type de déploiement : Assistant Connectivité VPN des sites
distants de ISA Server (Appliance Configuration Wizard) .
• VPN bootstrap amélioré
• Configuration distante du CSS
• Rattachement au groupe de serveurs du site central
• Installation complètement automatisée via des fichiers de
réponses
• Support spécial pour les appliances
98
Assistant ISA Server de connectivité
VPN pour réseau d’agence
Disponible sur le CD-Rom d’ISA Server 2006 :
.\FPC\Program Files\Microsoft ISA Server\AppCfgWzd.exe
99
Assistant pour les réseaux d’agence
Appliance Configuration Wizard
Réseau
d’agence
Siège (Site central)
1.
Fichier de réponse
(unattended)
2.
3.
Serveur CSS
Etablissement d’une connexion VPN site à
site avec le siège
Association du serveur ISA de l’agence
avec le serveur CSS (Configuration Storage
Server) du siège et synchronisation
Entrée du serveur d’agence dans un
groupe de serveurs (array)
100
Déploiement amélioré des CSS en
central
• Meilleur support des déploiement des CSS en
central
• Pourquoi un CSS en central ?
– Sécurité : réduction de la surface d’attaque sur les
stratégies d’accès
– TCO réduit : moins de CSS à déployer et à configurer
– Economie de trafic réseau : seule la configuration
spécifique aux agences est téléchargée
101
Déploiement amélioré des CSS en
central
• Un seul CSS sur un site central peut servir des centaines
d’ISA 2006 en agences
– Ajouter un second CSS pour la haute disponibilité
• Nécessite d’avoir les CSS membres d’un même domaine
• Performances accrues versus ISA 2004 EE sur les liens à
faible débit
– Ligne bas débit : 64 kbps, 250 ms de latence
– Installation en quelques minutes (vs quelques heures)
– Nouveau système de propagation des mises à jours des politiques
(moins d’une minute)
102
Ressources utiles
•
Site Web Microsoft
–
–
•
•
Webcasts et séminaires TechNet (Gratuits)
Sites externes
–
–
–
–
–
•
www.isaserver.org
www.isaserverfr.org
www.isatools.org
www.isascripts.org
Isafirewalls.org
Newsgroup français
–
•
•
•
www.microsoft.com/isaserver
www.microsoft.com/france/isa
Microsoft.public.fr.isaserver
Kits de déploiement
Blog : Blogs.technet.com/stanislas
Kits d’évaluation
–
–
Version d’évaluation (120 jours)
CD (livres blancs et guide déploiement)
103
Questions / Réponses
104
Microsoft France
18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829
[email protected]
105