Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France.
Download ReportTranscript Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France.
Protection des ressources de
l'entreprise : ISA Server 2004 &
filtrage applicatif
Stanislas Quastana, CISSP
Architecte Infrastructure
Microsoft France
Agenda
Introduction
Présentation d’ISA Server 2004
Protection des accès sortants
Protections des accès entrants
Protections des réseaux internes et VPN
Synthèse
Ressources utiles
Questions / Réponses
Introduction
Quelques chiffres
95% de toutes les failles évitables avec une configuration
alternative (CERT 2002)
Environ 70% de toutes les attaques Web se passent au
niveau de la couche Application (Gartner Group)
Sur les 10 attaques les plus répandues, 8 sont effectuées au
niveau application (Symantec Corp)
De décembre 2003 à décembre 2004, +80% d’augmentation
du nombre de vulnérabilités d’application Web découvertes
(Symantec Corp)
Impact sur les entreprises
Attaques au niveau de la
couche application
Usurpation d’identité
Site web défiguré
Accès non autorisés
Modification des données
et journaux
Vol d’informations
propriétaire
Interruption de service
Implications
Mise en conformité
Litiges
Partage de fichiers illicites
Piratage
Responsabilités juridiques
des entreprises et des RSSI
En France le RSSI a
obligation de moyens
ISO 17799
Bâle 2 (EU)
Data Protection Act (EU)
HIPAA (US)
Sarbanes Oxley (US)
Défense en profondeur
Défenses du périmètre
Défenses du réseau
Défenses des machines
Défenses des applications
Données et Ressources
Sécurité physique
Politiques de sécurité
L’accès à une couche
inférieure nécessite de passer
au préalable par
les couches supérieures.
Tous les éléments
constituant la sécurité de la
plateforme sont ainsi répartis
au sein de cette approche par
couche
La gestion des accès aux
réseaux fait partie des
premières couches de
protection d’une infrastructure
Les pare-feu sont un
élément de protection du
périmètre et du réseau
Un paquet IP vu par un pare-feu
« traditionnel »
Seul l’entête du paquet est analysé
Le contenu au niveau de la couche application est comme une “boite noire”
IP Header
TCP Header
Source Address,
Dest. Address,
TTL,
Checksum
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer
Content
????????????????????
????????????????????
La décision de laisser passer est basée sur les numéros de ports
Le trafic légitime et les attaques applicatives utilisent les mêmes ports
(ex : 80)
Réseau
Internet
Trafic HTTP attendu
Trafic HTTP non prévu
Attaques
Trafic non-HTTP
d’entreprise
Top 10 des attaques : 80%
d’attaques au niveau de la couche 7
SQL Server
DCOM RPC
SMTP
HTTP
Top attacks (source : Symantec Corporation)
Le problème
Les pare-feux traditionnels se focalisent sur le filtrage de
paquets et le statefull inspection
Aujourd’hui, la plupart des attaques contournent ce type de
protection. Quelques exemples :
Code Red & Nimda sur les serveurs IIS 4 et 5
OpenSSL/Slapper
Blaster, Welchia sur le RPC Endpoint Mapper de Windows
Slammer sur les serveurs SQL (ou MSDE)
Santy-A sur les forums phpBB (Linux et Windows)
Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité
d’une application Web
Les ports et protocoles ne permettent plus de contrôler ce
que font les utilisateurs
Le filtrage de paquets & le statefull inspection ne sont
plus suffisants pour se protéger des attaques actuelles
Quel pare-feu utiliser ?
Les pare-feu applicatif sont aujourd’hui nécessaires
pour se protéger des attaques évoluées car ils
permettent une analyse approfondie du contenu
des paquets réseaux.
Comprendre ce qu’il y a dans la partie données est
désormais un pré requis
Néanmoins, le remplacement n’est pas forcément
la meilleure solution
Réseau
public
Vers réseau interne,
DMZ, …
Pare-feu
traditionnel
Pare-feu niveau
Application
Présentation d’ISA Server 2004
ISA Server 2004 en quelques mots
►2ème
génération de pare-feu de Microsoft
►Pare-feu multicouches (3,4 et 7)
►Capacité de filtrage extensible
►Proxy applicatif
►Nouvelle architecture
►Intégration des fonctionnalités de VPN
La vue d’un paquet IP par ISA
Les entêtes du paquet et le contenu sont inspectés
Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)
IP Header
Source Address,
Dest. Address,
TTL,
Checksum
TCP Header
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer Content
<html><head><meta httpquiv="content-type"
content="text/html; charset=UTF8"><title>MSNBC - MSNBC Front
Page</title><link rel="stylesheet"
Les décisions de laisser passer sont basées sur le contenu
Seul le trafic légitime et autorisé est traité
Internet
Trafic HTTP Attendu
Trafic HTTP non attendu
Attacks
Trafic non HTTP
Réseau
d’entreprise
Architecture d’ISA Server 2004
Application
layer filtering
Web
filter
Policy
Store
Web
filter
Web Filter API (ISAPI)
SMTP
Filter
Web Proxy Filter
Protocol layer
filtering
RPC
Filter
DNS
Filter
App
Filter
Application Filter API
Policy
Engine
3
2
Kernel mode
data pump:
Performance
optimization
Firewall service
User
Mode
Kernel
Mode
Firewall Engine
TCP/IP Stack
4
NDIS
1
Packet layer
filtering
Les filtres d’ISA Server 2004
Filtres applicatifs
FTP : permet de bloquer les envois
SMTP : gestion des commandes et filtrage des messages (contenu,
extension, taille…)
POP3 : détection d’intrusion
RTSP, MMS, PNM, H.323: Streaming
DNS: détection d’intrusions, transfert de zones
RPC: publication de serveurs, filtrage sur les interfaces
PPTP : permet la traversée de connexions VPN (Tunneling)
SOCKS V4
Web Proxy : gestion de HTTP, HTTPs (filtres web…)
Filtres Web
Filtre HTTP : analyse du contenu
des requêtes web (entêtes et données)
Authentification RSA SecureID
Authentification Radius
Authentification OWA Web Forms
Translateur de liens : réécriture d’URL
ISA Server 2004 : un produit évolutif
Filtrage applicatif
Haute disponibilité
Antivirus
Détection d’intrusion
Reporting
Accélérateurs SSL
Contrôle d’URLs
Authentification
+ d’une trentaine
de partenaires !!!
Plus de partenaires sur :
http://www.microsoft.com/isaserver/partners/default.asp
Modèle réseau ISA Server 2004
Nombre de réseaux illimité
Type d’accès NAT/Routage
spécifique à chaque
réseau
Les réseaux VPN sont
considérés comme des
réseaux à part entière
La machine ISA est
considéré comme un
réseau (LocalHost)
Stratégie de filtrage par
réseau
Filtrage de paquet sur
toutes les interfaces
Internet
VPN
VPN
Quarantaine
Local Area
Network
DMZ_1
CorpNet_n
ISA 2004
DMZ_n
CorpNet_1
Toutes topologies / stratégies
Structure des règles de pare-feu ISA
• Ensemble de règles ordonnées
•Règles systèmes puis règles utilisateur
• Plus logique et plus facile à comprendre (versus ISA
Server 2000 notamment)
• Autoriser
• Interdire
• Utilisateur(s)
• Groupe(s)
• Réseau(x)
• Adresse(s) IP
• Machine(s)
action sur traffic pour utilisateur depuis source vers destination avec conditions
• Protocole IP
• Port(s) TCP/UDP
• Réseau(x)
• Adresse(s) IP
• Machine(s)
• Serveur publié
• Site Web publié
• Planning
• Filtre applicatif
Scénarios de mise en œuvre d’ISA
Server 2004
Pare feu de périmètre
Multi réseaux
DMZ
Protection des applications et réseaux internes
Passerelle de filtrage applicatif
Serveurs Web
Serveurs de messagerie
Protection des réseaux internes
Accès sécurisé et optimisé à Internet
Stratégies d’accès
Cache Web
Réseaux multi sites
Sécurisation sites distants
Intégration du VPN
IPSec en mode Tunnel
Les versions d’ISA Server 2004
Édition Standard
Inclus toutes les
fonctionnalités de :
Pare-feu (niveaux
3,4,7)
Passerelle VPN
Proxy cache
sur un même serveur
Disponible depuis Mai
2004
1 licence par processeur
physique
Également disponible
sous la forme
d’appliance
Édition Entreprise
Ajoute la haute
disponibilité et la tolérance
de panne
Ajoute la capacité à
monter en charge en
utilisant plusieurs serveurs
(groupes)
Ajoute l’administration
centralisée au niveau
entreprise
Disponible depuis Mars
2005
1 licence par processeur
physique
SBS 2003
Le Service
Pack 1 de
Windows 2003
Small
Business
Server 2003
met à jour les
version
Premium avec
ISA Server
2004 Standard
SP1
Disponible
depuis Mai
2005
Disponible en appliance
RimApp ROADBLOCK Firewall
http://www.rimapp.com/roadblock.htm
HP ProLiant DL320 Firewall/VPN/Cache Server
http://h18004.www1.hp.com/products/servers/software/
microsoft/ISAserver/index.html
Network Engines NS Appliances
http://www.networkengines.com/sol/nsapplianceseries.a
spx
Celestix Application-Layer Firewall, VPN and
Caching Appliance
http://www.celestix.com/products/isa/index.htm
Pyramid Computer ValueServer Security 2004
http://www.pyramid.de/e/produkte/server/isa_2004.php
►
Avantis ISAwall
http://www.avantisworld.com/02_securityappliances.asp
►
Corrent
http://www.corrent.com/Products/products_sr225.html
Contrôle des accès sortants
Les besoins des entreprises
connectées vus par l’administrateur
« Je veux contrôler (limiter) les protocoles réseaux
utilisés par mes utilisateurs »
« Je veux administrer les accès de manière
centralisée et intégrée avec mon infrastructure
(domaines NT, Active Directory, RADIUS) »
« Je veux empêcher mes utilisateurs de
télécharger des fichiers illégaux ou dangereux »
« Je veux qu’Internet soit un outil de travail et
empêcher mes utilisateurs de surfer sur le Web là
où ils veulent. »
Contrôle des flux et contenus
Les pare-feu permettent une grande granularité
dans la définition des règles d’accès
Filtrage spécifique sur un protocole
Authentification des postes ou utilisateurs
Certains protocoles comme HTTP, FTP ou SMTP
peuvent être restreints sur le contenu (MIME,
extension de fichiers, pièce jointe…)
Hélas, beaucoup de ces mécanismes deviennent
insuffisants/obsolètes face aux méthodes
d’encapsulation…
Quand pare-feu te bloquera
HTTP tu utiliseras…
Http : le protocole universel…
… pour outrepasser un pare-feu ou un proxy
Aujourd’hui, de nombreuses applications utilisent HTTP
comme méthode d’encapsulation des protocoles
propriétaires afin de s’affranchir des ouvertures de ports
spécifiques sur les équipements filtrants :
Messageries instantanées :
MSN Messenger, Yahoo
Messenger, ICQ…
Logiciels P2P : Kazaa, Emule,
Bitorrent, Exeem…
Messagerie : Outlook 2003
(RPC sur HTTP)…
Adware, Spyware : Gator…
Chevaux de Troie
Protection des accès sortants
Analyse HTTP
(URL, entêtes,
contenu…)
IM
P2P
HTTP
IM, https,
P2P, MS
RPC…
HTTP,
FTP…
MS RPC…
Client
http,
https,
FTP
IM,
P2P,
MS RPC…
Internet
ISA Pare
Server
feu2004
traditionnel
Exemples de signature d’applications :
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Filtre applicatif HTTP
Exemple de filtrage en fonction du contenu de l’en-tête
POST http://64.4.1.18/gtw/gtw.dll?SessID=1
HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR
1.1.4322; MSN Messenger 6.2.0133)
Host: 64.4.1.18
Proxy-Connection: Keep-Alive
Connection: Keep-Alive
Pragma: no-cache
Content-Type: application/x-msn-messenger
Content-Length: 7
Common Application Signatures
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplication
signatures.mspx
Démonstration : filtre HTTP
Externe-fr
Analyse HTTP
(URL, entêtes,
contenu…)
Dc1-fr.isa-paradise.net
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
@IP = 192.168.1.10
Masque = 255.255.255.0
GW =192.168.1.1
Serveur Web
Certificate server
Internet Authentication Services (Radius)
192.168.1.1
Externe - LAN VPC 1
10.0.0.1
plage : 192.168.1.x/24
Interne - LAN VPC 2
plage : 10.0.0.x/24
Exch2k3-fr.isa-paradise.net
ISA2004STD-fr.isa-paradise.net
10.0.1.1
DMZ - LAN VPC 3 : plage 10.0.1.x/24
Portable (Host)
192.168.1.100
MembreDMZ.isa-paradise.net
@IP = 10.0.1.2
Masque = 255.255.255.0
GW =10.0.1.1
Serveur Membre
@IP = 10.0.0.11
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Exchange 2003
Outlook Web Access 2003
Radius
Plus fort que http : https
Une fois la session SSL établie, les proxies ou les pare-feu
sont incapables de voir les données échangée.
De nombreuses logiciels utilisent déjà cette solution.
Exemple : Outlook 2003 (RPC over https)
Comment réduire le risque ?
Limiter les accès https : utilisation de listes blanches
Bloquer les requêtes dans la phase de négociation
Déchiffrer le SSL en sortie au niveau du proxy/firewall
(Man In The Middle)
Concept intéressant en terme de sécurité mais pas vraiment en
terme de confidentialité
DNS : un futur « standard » pour
l’encapsulation ?
LA question :
« Est il possible pour le DNS de faire des choses plus intéressantes que
la résolution de noms qualifiés en adresse IP ? »
La réponse est OUI
• droute: DNS Stream Router
• TCP Streaming over DNS
• Utilisable pour du Shell ou de la messagerie instantanée uniquement
• NSTX:
• Uniquement sur Linux
Informations complémentaires :
Attacking Distributed Systems: The DNS Case Study by Dan Kaminsky.
http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Kaminsky.pdf
Contrôle des accès entrants
Ressources exposées
Plateforme Web classique
et risques associés
2 zones réseau (Front End
et Back End) + 2 pare-feu
…mais toujours des
risques en cas d’absence
de filtrage applicatif
Internet
TCP 80 (HTTP)
Le risque ici est
principalement l’attaque
applicative. Par exemple :
injections HTML
injections SQL
Injections PHP
….
Poste client
Pare feu externe (périphérie)
TCP 443 (HTTPS)
Front Office
Serveur Web
TCP 1433 (MS-SQL)
Pare feu interne
Back Office
Serveur de base de données
Augmentation des risques sur les
applications Web
Augmentation des vulnérabilités documentées sur les applications Web depuis 18 mois
( Source : Symantec Corporation : http://ses.symantec.com/pdf/ThreatReportVII.pdf )
Protection des serveurs Web
Filtrage avancé
de HTTP
Délégation
d’authentification
ISA pré authentifie les utilisateurs,
…cepeut
qui déchiffrer
permet auxetattaques
ISA
éliminant les boites de dialogues
L’analyse
des URL par ISA 2004
applicatives,
virus
ou
autres
Si le serveur
Web
fait une demande
inspecter
trafic
SSL
redondantes et n’autorise que le
peut stopper
les attaques Web au
versd’authentification
de se propager
sans
- tout utilisateur sur
trafic valide à passer
périmètre
du réseau, y compris en
Analyse
HTTP
être
détectés…
Internet
peut accéder
à cette demande
cas d’utilisation de SSL
SSL
(URL,
SSLcontenu…) SSL or
HTTP
Internet
Client
ISAPare-feu
Server 2004
traditionnel
Web
Certificat
« Privé
Public»»
+
sa clé privée
SSL passe au travers des parefeu traditionnels sans contrôle
…et d’infecter les serveurs internes !
du fait du chiffrement…
Une fois inspecté le trafic peut être envoyé vers
le serveur interne de nouveau chiffré ou en clair.
Démonstration : publication OWA
Dc1-fr.isa-paradise.net
Externe-fr
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
@IP = 192.168.1.10
Masque = 255.255.255.0
GW =192.168.1.1
Serveur Web
Certificate server
Internet Authentication Services (Radius)
192.168.1.1
Externe - LAN VPC 1
10.0.0.1
plage : 192.168.1.x/24
Interne - LAN VPC 2
plage : 10.0.0.x/24
Exch2k3-fr.isa-paradise.net
ISA2004STD-fr.isa-paradise.net
10.0.1.1
DMZ - LAN VPC 3 : plage 10.0.1.x/24
Portable (Host)
192.168.1.100
MembreDMZ.isa-paradise.net
@IP = 10.0.1.2
Masque = 255.255.255.0
GW =10.0.1.1
Serveur Membre
@IP = 10.0.0.11
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Exchange 2003
Outlook Web Access 2003
Radius
Démonstration : publication FTP
Externe-fr
@IP = 192.168.1.10
Masque = 255.255.255.0
GW =192.168.1.1
Dc1-fr.isa-paradise.net
Filtre FTP
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Serveur Web
Certificate server
Internet Authentication Services (Radius)
Serveur FTP
192.168.1.1
Externe - LAN VPC 1
10.0.0.1
plage : 192.168.1.x/24
Interne - LAN VPC 2
plage : 10.0.0.x/24
Exch2k3-fr.isa-paradise.net
ISA2004STD-fr.isa-paradise.net
10.0.1.1
DMZ - LAN VPC 3 : plage 10.0.1.x/24
Portable (Host)
192.168.1.100
MembreDMZ.isa-paradise.net
@IP = 10.0.1.2
Masque = 255.255.255.0
GW =10.0.1.1
Serveur Membre
@IP = 10.0.0.11
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Exchange 2003
Outlook Web Access 2003
Radius
Protection des accès aux réseaux
de l’entreprise (VPN et Locaux)
Gestion des accès distants et des
équipements connectés
Augmentation des risques avec le
développement de la mobilité
Développement du marché des PC portables et du nombre
de systèmes non administrés dans les réseaux l’entreprise
Postes personnels mais connectés sur le réseau de l’entreprise
Postes des intervenants externes
Points d’accès Wi-fi non déclarés
Ordinateur portables qui ne sont pas à jour (du fait de leur
mobilité) au niveau de correctifs de sécurité,
signature anti-virale…
Connexion à des réseaux tiers « inconnus »
(hot spot wifi, clients, partenaires…)
Accès VPN nomades, réseaux sans fils
Les attaques viennent aussi de l’interne
Étude et
statistiques
sur la
sinistralité
informatique
en France
(2002)
Les attaques internes ne sont pas toujours
déclenchées de manière intentionnelle
Le meilleur exemple est la propagation d’un ver comme
Blaster (exploitation d’une faille RPC) ou Sasser.
Dimanche
Lundi
Jour
JourJ+1
J de
de
l’infection
Internet
Réseau de l’entreprise
Réseau de l’entreprise
Les connexions distantes peuvent
également compromettre la sécurité
Le même exemple de propagation d’un ver comme Blaster
ou Sasser au travers d’un VPN
Dimanche
Lundi
Jour
JourJ+1
J de
de
l’infection
Internet
Réseau de l’entreprise
N
VP
l
e
nn Passerelle VPN
u
T
Une approche de la segmentation
En terme de sécurité, les pare-feux sont couramment
utilisés pour protéger les réseaux d’entreprise des réseaux
publics comme Internet
Aujourd’hui, il est devenu nécessaire de procéder à un
découpage du réseau d’entreprise et d’aller au-delà de la
simple segmentation réseau (VLANs)
La segmentation des réseaux internes revient à
implémenter le principe du pare-feu au cœur du réseau de
l’entreprise en intégrant l’analyse (jusqu’au niveau de la
couche application) des flux
Principes de la segmentation
Classification
Le découpage des
réseaux consiste à définir
des zones de confiances
dans lesquelles des
ressources peuvent être
placées.
Réseau sensible
Réseau de confiance
Réseau « publique »
Ce découpage nécessite
au préalable la définition
d’une classification
adaptée aux besoins et
contraintes de l’entreprise.
Fonctionnement des RPC DCE
Le RPC End Portmapper
Le client accède à
Le
client
demande
Le
client se
Le client
connaît
répond
avec le port et
l’application
viaconnecte
le
estfin
associé
portmapper sur le quel portmet
l’UUIDport
du au
service
à la connexion
reçu
serveur
(port tcp 135) à l’UUID ?
qu’il souhaite
utiliser
234-1111…}
Client RPC
(ex: Outlook)
4402/tcp
135/tcp
Service
Exchange
AD replication
MMC
UUID
4402/tcp
{12341234-1111…
{01020304-4444…
{19283746-7777…
Serveur
Port
4402
3544
9233
RPC
(ex: Exchange)
Du Le
faitserveur
de la fait
nature aléatoire des ports utilisés par les
RPC,
l’implémentation
et le filtrage des RPC est difficile
correspondre
l’UUID
Les services
avecla
leRPC
portobtiennent
courant…
sur
majorité
des pare-feu
des port aléatoires (> 1024)
lors de leurL’ensemble
démarrage,des
le 64,512 ports supérieurs à 1024 ainsi que le port
135 doivent
être ouverts sur des pare feu traditionnels
serveur maintient
une table
Attaques RPC potentielles
Reconnaissance (Fingerprinting)
RPCDump
RPCScan (http://www.securityfriday.com)
Déni de service contre le portmapper
Élévation de privilèges ou attaques sur d’autres services
Ver : Blaster, Welchia
BotNet : GaoBot, Spybot, Randex
Filtrage applicatif RPC - principe
Seul le port TCP 135 (RPC End Portmapper) est ouvert
Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients
(applications RPC) en fonction des besoins
Inspection du trafic vers le RPC End Portmapper au niveau
applicatif
Seuls les UUIDs de l’application RPC sont autorisés à
l’exception de tout autre
Application cliente RPC
ISA Server
2004 avec
filtre RPC
Serveur
application RPC
Démonstration filtrage RPC
Dc1-fr.isa-paradise.net
Externe-fr
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
@IP = 192.168.1.10
Masque = 255.255.255.0
GW =192.168.1.1
Serveur Web
Certificate server
Internet Authentication Services (Radius)
192.168.1.1
Externe - LAN VPC 1
10.0.0.1
plage : 192.168.1.x/24
Interne - LAN VPC 2
plage : 10.0.0.x/24
Exch2k3-fr.isa-paradise.net
ISA2004STD-fr.isa-paradise.net
10.0.1.1
DMZ - LAN VPC 3 : plage 10.0.1.x/24
Portable (Host)
192.168.1.100
MembreDMZ.isa-paradise.net
@IP = 10.0.1.2
Masque = 255.255.255.0
GW =10.0.1.1
Serveur Membre
@IP = 10.0.0.11
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Exchange 2003
Outlook Web Access 2003
Radius
Synthèse
Contrôle des flux applicatifs
ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau
de la couche Application devenu nécessaire pour protéger les infrastructures
Microsoft et non Microsoft.
Un pare-feu supportant un grand nombre de scénarios
Protection des flux sortants vers Internet, des serveurs exposés sur
Internet, des ressources internes par segmentation, filtrage des
connexions VPN.
Produit extensible
Nombreux filtres complémentaires disponible auprès d’éditeurs tiers.
Developpement de filtres adaptés à vos besoins grâce au SDK fourni.
Ressources utiles
Site Web Microsoft
www.microsoft.com/isaserver
www.microsoft.com/france/isa
Webcast et séminaires TechNet (Gratuits)
Sites externes
www.isaserver.org
www.isaserverfr.org
isatools.org
Newsgroup français
Microsoft.public.fr.isaserver
Kits de déploiement
Blogs
Blogs.msdn.com/squasta
Kits d’évaluation ISA Server
Version d’évaluation (120 jours)
CD (livres blancs et guide déploiement)
Questions / Réponses
Microsoft France
18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829
[email protected]