Mise en oeuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : principes et bénéfices Frédéric Esnouf Consultant, MVP ISA PI Services Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.
Download ReportTranscript Mise en oeuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : principes et bénéfices Frédéric Esnouf Consultant, MVP ISA PI Services Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.
Mise en oeuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : principes et bénéfices Frédéric Esnouf Consultant, MVP ISA PI Services Stanislas Quastana, CISSP Architecte Infrastructure Microsoft Agenda Introduction Présentation d’ISA Server 2004 VPN site à site VPN nomade Gestion de la quarantaine Synthèse Ressources utiles Questions / Réponses Introduction VPN : définitions VPN : Virtual Private Network RPV : Réseau Privé Virtuel Le VPN nomade : Permet à des utilisateurs connectés depuis un réseau publique (ex: Internet) de se connecter à leur réseau d’entreprise de manière sécurisée. Le VPN site à site : permet d’interconnecter plusieurs réseaux locaux privés au travers d’un réseau publique non sécurisé (ex: Internet) Augmentation des risques avec le développement de la mobilité Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise Postes personnels mais connectés sur le réseau de l’entreprise Postes des intervenants externes Points d’accès Wi-fi non déclarés Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) Accès VPN nomades, réseaux sans fils Défense en profondeur Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Données et Ressources Sécurité physique Politiques de sécurité L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures. Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure Les pare-feu sont un élément de protection du périmètre et du réseau Présentation d’ISA Server 2004 ISA Server 2004 en quelques mots ►2ème génération de pare-feu de Microsoft ►Pare-feu multicouches (3,4 et 7) ►Capacité de filtrage extensible ►Proxy applicatif ►Nouvelle architecture ►Intégration des fonctionnalités de VPN Modèle réseau ISA Server 2004 Nombre de réseaux illimité Type d’accès NAT/Routage spécifique à chaque réseau Les réseaux VPN sont considérés comme des réseaux à part entière La machine ISA est considéré comme un réseau (LocalHost) Stratégie de filtrage par réseau Filtrage de paquet sur toutes les interfaces Internet VPN VPN Quarantaine Local Area Network DMZ_1 CorpNet_n ISA 2004 DMZ_n CorpNet_1 Toutes topologies / stratégies Scénarios de mise en œuvre d’ISA Server 2004 Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel Les versions d’ISA Server 2004 Édition Standard Inclus toutes les fonctionnalités de : Pare-feu (niveaux 3,4,7) Passerelle VPN Proxy cache sur un même serveur Disponible depuis Mai 2004 1 licence par processeur physique Également disponible sous la forme d’appliance Édition Entreprise Ajoute la haute disponibilité et la tolérance de panne Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes) Ajoute l’administration centralisée au niveau entreprise Disponible depuis Mars 2005 1 licence par processeur physique SBS 2003 Le Service Pack 1 de Windows 2003 Small Business Server 2003 met à jour les version Premium avec ISA Server 2004 SP1 Disponible depuis Mai 2005 Disponible en appliance RimApp ROADBLOCK Firewall http://www.rimapp.com/roadblock.htm HP ProLiant DL320 Firewall/VPN/Cache Server http://h18004.www1.hp.com/products/servers/software/ microsoft/ISAserver/index.html Network Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.a spx Celestix Application-Layer Firewall, VPN and Caching Appliance http://www.celestix.com/products/isa/index.htm Pyramid Computer ValueServer Security 2004 http://www.pyramid.de/e/produkte/server/isa_2004.php ► Avantis ISAwall http://www.avantisworld.com/02_securityappliances.asp ► Corrent http://www.corrent.com/Products/products_sr225.html VPN site à site VPN de site à site - principe Interconnecter des sites distants (ex: une agence et la maison mère) au travers d’un réseau publique via un tunnel sécurisé Pour les utilisateurs, les réseaux distants sont vus comme une extension du réseau local Site A Internet VPN Tunnel Site B ISA 2004 - VPN site à site Les sites distants sont gérés comme des objets réseau par ISA 2004 Par défaut : aucune relation (routage ou NAT) n’est établie avec les autres réseaux Stratégie par défaut : refuser tout le trafic (sécurisé par défaut) Utilisation et amélioration de Windows RRAS Configuration dans l’interface d’administration d’ISA Server 2004 VPN site à site et tolérance de panne NLB X Internet VIP: 10.0.0.1 VIP: 20.0.0.1 Site 1 VIP: 192.167.0.1 X VIP: 192.168.0.1 Avec 2 groupes de serveurs ISA 2004 Entreprise Edition NLB Site 2 ISA 2004 – VPN site à site ISA Server 2004 propose 3 protocoles VPN pour établir des tunnels entre 2 sites : Point-to-Point Tunneling Protocol (PPTP) Layer Two Tunneling Protocol (L2TP) over Internet Protocol security (IPSec) Internet Protocol security (IPSec) en mode tunnel : permet l’interconnexion avec des solutions tierces Support de NAT-T avec Windows Server 2003 Interopérabilité Avec le support de IPSec en mode tunnel, il est désormais possible d’interconnecter ISA Server 2004 avec des passerelles VPN tierces comme : Cisco Pix & VPN Concentrator Des machines Linux Check Point Software VPN-1 Gateway Jupiner Netscreen Nortel Contivity … ISA Server 2004 a été certifié par le VPN Consortium (www.vpnc.org) pour l’interopérabilité basique. Liens utiles sur les VPN site à site ISA 2004 & VPN guidance http://www.microsoft.com/isaserver/techinfo/guidance/2004/vpn.asp Creating IPSec Tunnel Mode Site to Site VPNs with ISA Server 2004 Firewalls http://www.isaserver.org/tutorials/2004ipsectunnelmode.html How-To Configuring IPSec Tunnel Mode VPN Between ISA Server 2004 and Cisco Pix v6.3.1 http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/ipsectunnelmodevpn .mspx How to Configuring IPSec Tunnel Mode VPN Between ISA Server 2004 and SmoothWall Express 2.0 http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/ipsecvpnexpress.ms px How to Configuring IPSec Site-to-Site Connections Between ISA Server 2004 and Third-Party Gateways http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/sitetositeipsec.mspx Establishing an IPSec site-to-site tunnel between an ISA 2004 Firewall and a DLink DI-804HV IPSec VPN Router http://www.isaserver.org/articles/2004isadlink.html Démonstration VPN nomade VPN nomade - principe Permettre à des utilisateurs connectés sur un réseau publique (ex: Internet) de se connecter à leur réseau d’entreprise de manière sécurisée. Internet Internal company network VPN tunnel ISA 2004 – VPN Nomade détails Basé sur RRAS de Windows 2000/2003 Le client VPN est celui fourni en standard sur les systèmes d’exploitation Windows. Possibilité de créer un kit de connexion plus élaboré avec le CMAK (Connection Manager Administration Kit) fourni dans Windows 2000/2003. Protocoles supportés: L2TP/IPSec PPTP Authentification sur la passerelle ou via un serveur RADIUS Support des méthodes d’authentification EAP (Smart cards, SecureID …) Support du NAT-T de Windows Server 2003 ISA 2004 – VPN Nomade ISA 2004 est configuré par défaut avec un objet réseau “VPN Client” Il contient tous les clients VPN connectés (construit dynamiquement) Par défaut, ce réseau est routé avec les réseaux internes et NATé avec les réseaux externes Par défaut, la règle de pare-feu active est : Refuser tout trafic (Sécurisé par défaut) Les stratégies d’accès se font par utilisateur ou groupe d’utilisateurs possibilité d’avoir différents types de profils d’utilisateur avec des règles d’accès distinctes Configuration de l’accès distant directement dans la console d’administration ISA 2004 Sécuriser les connexions VPN nomades (1/2) Exiger une authentification forte à 2 voire 3 facteurs Ce que je sais : mot de passe, code PIN Ce que je possède : SmartCard, jeton, calculette… Ce que je suis : reconnaissance biométrique Augmenter le niveau de chiffrement des communications 3DES AES Journaliser, surveiller et analyser l’activité des utilisateurs connectés en VPN Sécuriser les connexions VPN nomades (2/2) Vérifier lors de la connexion la conformité du poste client VPN: Mécanisme d’analyse Mise en quarantaine Limiter les accès autorisés pour les sessions VPN Seules les ressources nécessaires sont accessibles L’ensemble du réseau interne ne devrait pas être accessible Utiliser du filtrage applicatif pour analyser les communications à destination des ressources internes. Possibilité de faire de l’analyse antivirale Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS… Gestion de la quarantaine avec ISA Server 2004 Les attaques viennent aussi de l’interne Étude et statistiques sur la sinistralité informatique en France (2002) Les connexions distantes peuvent également compromettre la sécurité Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPN nomade Dimanche Lundi Jour JourJ+1 J de de l’infection Internet Réseau de l’entreprise N VP l e nn Passerelle VPN u T VPN et quarantaine avec ISA 2004 Dc1-fr.isa-paradise.net Réseau Client VPN @IP = 10.0.0.10 Masque = 255.255.255.0 GW =10.0.0.1 DNS = 10.0.0.10 Certificate server Internet Authentication Services (Radius) 192.168.1.1 LAN VPC 1 10.0.0.1 LAN VPC 2 plage : 192.168.1.x/24 ex Conn PN ion V plage : 10.0.0.x/24 ISA2004STD-fr.isa-paradise.net 10.0.1.1 Réseau Client VPN en quarantaine Exch2k3-fr.isa-paradise.net @IP = 10.0.0.11 Masque = 255.255.255.0 GW =10.0.0.1 DNS = 10.0.0.10 Station-XP1.isa-paradise.net @IP = 192.168.1.11 Masque : 255.255.255.0 Anciennement: 192.168.103.20 Passerelle : 192.168.103.1 DNS : 10.0.0.10 Exchange 2003 Outlook Web Access 2003 Radius Quarantaine – étape par étape Client :connexion ISA 2004: l’utilisateur est connecté au réseau ‘VPN Quarantaine’ Client :Exécute le script d’analyse de configuration Oui Non Client: Conforme? Demande de dé quarantaine ISA2004: déplace connexion dans ‘VPN clients’ L’utilisateur est informé qu’il est refusé Se connecter en VPN à ISA 2004 Utiliser un profil CMAK Installation simple (package de connexion) Spécifie tous les points d’accès RAS Mise à jour automatique Script d’analyse ‘PostConnect’ Outil de création CMAK fourni dans Windows 2003 Mise en œuvre - Dé Quarantaine Composant de mise en Quarantaine coté serveur est commun à toutes les entreprises. Politique de ‘Dé Quarantaine’ spécifique à chaque entreprise. 4 visions et utilisations de la quarantaine Les outils fournis par Microsoft Ce que fait Microsoft en interne (ITG) Avanade VPN Quarantine Solution Frédéric Esnouf Quarantine Security Suite 1- RQC et RQS : les outils Microsoft CLIENT RAS ISA 2004 · Lance un profil CMAC · Lance le script d’analyse (PostConnect) · Détermine si le poste est sécurisé · Execute RQC.exe qui notifie RQS · Possède le composant RQS · RQS retire la session de la quarantaine RQC DeQuarantaine Utiliser RQS et RQC d’ISA 2004, pas ceux de Ressource Kit Windows 2003 Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D1C44356CE37A&displaylang=en RQS Démonstration CMAK,RQC,RQS Station-xp1.isa-paradise.net @IP = 192.168.1.10 Masque = 255.255.255.0 Dc1-fr.isa-paradise.net CMAK +Script +RQC.EXE Tu n LAN VPC 1 « Internet » plage : 192.168.1.x/24 ne @IP = 10.0.0.10 Masque = 255.255.255.0 GW =10.0.0.1 DNS = 10.0.0.10 lV PN 192.168.1.1 Certificate server Radius 10.0.0.1 LAN VPC 2 plage : 10.0.0.x/24 ISA2004STD-fr.isa-paradise.net (Serveur VPN Nomade) RQS.EXE VPN Quarantine Sample Scripts for Verifying Client Health Configurations Sample scripts for validating remote client machine configuration in a VPN quarantine network. http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c8161671b2462&displaylang=en 2- Microsoft IT Secure Remote User Prise en compte de la télédistribution à l’intérieur de l’outil. Interface utilisateur personnalisée Utilisé par tous les employées Microsoft 3- Avanade Quarantine Solution Disponible sous la forme de prestation de service Prototype disponible en téléchargement http://www.avanade.com/_uploaded/pdf/solution/vpnquarantineprototype1.zip Informations complémentaires http://www.avanade.com/solutions/section.aspx?id=8&parentID=2 4- Quarantine Security Suite © Frédéric ESNOUF, MVP ISA Quarantine Security Suite (QSS) Historique du produit QSS V1.0 : Réalisation d’un prototype afin de découvrir les API RRAS et approfondir la notion de quarantaine Avril 2003 Lancement de Windows 2003 QSS V2/FP1 : Adaptation du produit pour ISA 2004. Première version publiée sur Internet. 9/2004 : QSS cité sur le livre de Thomas SHINDER. Mai 2004 Lancement de ISA 2004 STD QSS V 3 : Nombreuses modifications pour couvrir les besoins d’un grand nombre d’entreprises Mai 2005 Lancement de ISA 2004 EE QSS : 2 axes majeurs de développement Les utilisateurs nomades finaux Interface du produit de quarantaine très visuelle et personnalisable Les équipes sécurité et réseau Mise à disposition d’un outil simplifiant la mise en œuvre et la gestion de la quarantaine VPN Augmenter la sécurité du réseau sans pénaliser les utilisateurs QSS : Architecture produit Architecture Client / Serveur Sur chaque machine cliente : QSS Security Client (SC) Interaction avec l’utilisateur : l’informer dans sa langue! Analyser le poste : envoi au serveur pour approbation Mise en conformité : « dicté » par QSS AS (politique sécurité) Sur chaque VPN ISA 2004 : QSS Approval Server (AS) Approbation : accepter ou refuser une demande Si non conforme : laisser en quarantaine et « télé corriger » les problèmes via le QSS Security Client Si conforme : retirer l’utilisateur de la quarantaine (ISA) Centralise les mises à jour de la politique de sécurité Quarantaine avec QSS – étape par étape Connecté mais filtré ! Réseau Client VPN QSS AS REPONSE Internet CONFIG QSS SC LAN VPC 2 ISA2004STD-fr.isa-paradise.net Réseau Client VPN en quarantaine Utilisateur distant Utilisateur distant (quarantaine) Utilisateur distant (HORS quarantaine) plage : 10.0.0.x/24 QSS Client - multi langue et « skinable » SC apparaît lorsque le VPN est actif (pas de CMAK) . SC ‘Skinable’ et multi langue Utilisateur informé étape par étape ? QSS Server – définition & mise à jour de la politique de sécurité Quels éléments peuvent être contrôlés ? Antivirus activé et à jour Version du fichier de signature Programmes présents en mémoire Microsoft Antispyware (*) Pare feu de Windows XP = ON Partage de connexion Internet (ICS) = OFF Version de système d’exploitation Correctifs de sécurité Cette liste sera enrichie avec les demandes des clients Pour chaque contrôle, 2 ensembles de paramètres : Les éléments à tester L’action correctrice à déclencher en cas d’échec du test Mise en conformité du poste de travail ‘Skinable’ également ! Démonstration QSS Station-xp1.isa-paradise.net @IP = 192.168.1.10 Masque = 255.255.255.0 Dc1-fr.isa-paradise.net Security Client (SC) Tu n LAN VPC 1 « Internet » plage : 192.168.1.x/24 ne @IP = 10.0.0.10 Masque = 255.255.255.0 GW =10.0.0.1 DNS = 10.0.0.10 lV PN 192.168.1.1 Certificate server Radius 10.0.0.1 LAN VPC 2 ISA2004STD-fr.isa-paradise.net (Serveur VPN Nomade) Approval Server (AS) plage : 10.0.0.x/24 QSS : Comment le tester ou l’acquérir? QSS gratuit (5 connexions maximum) Téléchargeable sur www.esnouf.net QSS Entreprise (>5 connexions simultanées) Mode de licence : nombre de connexions simultanées Exclusivement via des partenaires En France : PI Services (www.PIServices.fr) QSS pour Appliance ISA Pré installé (OEM) Aujourd’hui : RimApp (www.rimapp.com) 4- Synthèse En résumé ISA Server 2004 intègre la gestion des réseaux VPN VPN sites à site, VPN nomade, intégration dans l’interface d’administration, unification des règles de pare-feu, outils de surveillance unifiés Intéropérabilité, authentification et filtrage applicatif Capacité à l’intégrer dans des environnements réseaux hétérogènes (support de IPSec en mode tunnel). Support de multiples méthodes d’authentification (dont Radius). Statefull inspection et filtrage applicatif sur toutes les connexions Mise en quarantaine des postes connectés en VPN Utilisation des outils fournis par Microsoft, développement possible d’une solution personnalisée à votre entreprise, utilisation d’un complément tiers comme Quarantine Security Suite (QSS) Ressources utiles Site Web Microsoft www.microsoft.com/isaserver www.microsoft.com/france/isa Webcast et séminaires TechNet (Gratuits) Sites externes www.isaserver.org www.isaserverfr.org isatools.org www.esnouf.net (QSS) Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement Blogs Blogs.msdn.com/squasta Kits d’évaluation ISA Server Version d’évaluation (120 jours) CD (livres blancs et guide déploiement) Questions / Réponses Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex PI Services 1 - 3 rue du Rempart 93160 Noisy-Le-Grand www.microsoft.com/france www.piservices.fr 0 825 827 829 01 55 85 08 80 [email protected] [email protected]