Protéger vos ressources et vos réseaux avec le pare-feu applicatif  ISA
Download
1 / 105

Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006 - PowerPoint PPT Presentation


  • 80 Views
  • Uploaded on

Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006. Qu’est ce que ?. Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006' - jess


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Qu est ce que
Qu’est ce que ? applicatif ISA

  • Un site Web très orienté technique

    • http://www.microsoft.com/france/technet/default.mspx

  • Une newsletter personnalisable

    • http://www.microsoft.com/france/technet/presentation/flash/default.mspx

  • Des séminaires techniques toute l’année, partout en France

    • http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

  • Des webcasts et e-démos accessibles à tout instant

    • http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

  • Un abonnement

    • http://www.microsoft.com/france/technet/presentation/cd/default.mspx


Logistique
Logistique applicatif ISA

Pause en milieu de session

Vos questions sont les bienvenues.

N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Merci d’éteindre

vos téléphones

Commodités


Agenda
Agenda applicatif ISA

  • Introduction

  • Présentation générale d’ISA Server

  • Sécuriser les applications Web publiées

  • Optimiser et sécuriser les réseaux d’agences

  • Faciliter les déploiements

  • Ressources utiles

  • Questions / Réponses


Quelques chiffres
Quelques chiffres applicatif ISA

  • Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group)

  • Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05)

  • Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web

    • +59% entre le dernier semestre 2004 et le premier semestre 2005

    • +109% entre le premier semestre 2004 et le premier semestre 2005

  • Forte augmentation des incidents sur les sites Web (Source :

    Etudes CSI/FBI 2004 & 2005)

    • 2004 : 89% des interviewés déclarent 1 à 5 incidents

    • 2005 : 95% des interviewés déclarent plus de 10 incidents

  • 90% des applications Web seraient vulnérables (source : étude

    WebCohort Application DefenseCenter'spenetrationtesting effectuée de janvier 2000 à janvier 2004)


Organisation de la d fense flux sortants de l entreprise
Organisation de la défense – Flux sortants de l’entreprise

Accès

maitrisés

  • Proxy applicatif avec :

  • Authentification obligatoire

  • Filtrage des destinations

  • Analyse & filtrage du contenu

  • Reporting de l’activité


Organisation de la d fense flux entrants dans l entreprise
Organisation de la défense – Flux entrants dans l’entreprise

Accès

maitrisés

  • Pare-feu applicatif / VPN avec :

  • Authentification multi-facteurs

  • Single Sign On

  • Filtrage des destinations

  • Analyse & filtrage du contenu

  • Mise en quarantaine VPN

  • Support des fermes de serveurs


Diff rentes vues d un paquet tcp ip
Différentes vues d’un paquet TCP/IP l’entreprise

IP Header

Source Address,Dest. Address,TTL, Checksum

IP Header

Source Address,Dest. Address,TTL, Checksum

TCP Header

SequenceNumberSource Port,Destination Port,Checksum

TCP Header

SequenceNumberSource Port,Destination Port,Checksum

Application Layer Content

????????????????????????????????????????

Application Layer Content

<html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><linkrel="stylesheet"

Pare feu “traditionnel”

  • Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire”

  • La décision de laisser passer est basée sur les numéros de ports

Pare feumulticouches (3,4,7)

  • Les entêtes du paquet et le contenu sont inspectés

    Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP)

  • Les décisions de laisser passer sont basées sur le contenu


Isa server en quelques mots
ISA Server en quelques mots l’entreprise

Pare-feu

multicouches

(3,4 et 7)

Filtrage extensible

Proxy cache

Reverse proxy

Proxy applicatif

Passerelle VPN

- VPN nomades

- VPN site à site

www.vpnc.org


Les diff rentes versions d isa 2006
Les différentes versions d’ISA 2006 l’entreprise

  • Inclus toutes les fonctionnalités de :

    • Pare-feu (niveaux 3,4,7)

    • Passerelle VPN

    • Proxy cache

  • sur un même serveur

  • 1 licence par processeur physique (4 maximum)

  • Également disponible sous la forme d’appliance

  • Ajoute la haute disponibilité et la tolérance de panne

  • Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes)

  • Ajoute l’administration centralisée au niveau entreprise


Disponible en appliance
Disponible en « appliance » l’entreprise

  • Network Engines NS Appliances

    • http://www.networkengines.com/sol/nsapplianceseries.aspx

  • Autres OEMs :


Isa server un produit extensible
ISA Server : un produit extensible l’entreprise

Haute disponibilité

Reporting

Appliances

Antivirus

Authentification

Filtrage applicatif

Accélérateurs

SSL

Contrôle d’URLs

Plus de partenaires :

http://www.microsoft.com/isaserver/partners/default.asp


Les 3 piliers d isa server 2006
Les 3 piliers d’ISA Server 2006 l’entreprise

Sécuriser les applications Web publiées

Optimiser et sécuriser les réseaux d’agence

Enrichir et faciliter les déploiements

  • ISA Server 2006 Entreprise Edition disponible sous la forme d’appliance

  • Déploiement automatisé via clé USB

  • Assistant « Branch Office » lancé automatiquement

  • Fournir un accès fiable et sûr à tous les périphériques disposant d’un navigateur Web

  • Forte intégration avec Exchange (5.5 -> 12) et Sharepoint / WSS

  • Plus de standards supportés pour l’authentification

  • Améliorer la sécurité des réseaux d’agences

  • Optimiser la consommation de la bande passante

  • Faciliter l’administration distante


D monstration
Démonstration l’entreprise


S curiser les applications web publi es

Sécuriser les applications Web publiées l’entreprise

SharePoint, Exchange et autres serveurs Web


Publications web owa sps wss
Publications Web : OWA, SPS, WSS l’entreprise

  • Publication assistée pour les applications classiques Microsoft :

    • Sharepoint Server / Windows Sharepoint Services

    • Exchange Server

      (5.5 à 2007)

      • Intégration dans l’assistant de RPC/HTTP

      • Support des fonctionnalités de proxy d’Exchange Server 2007


Publier des serveurs de courrier
Publier des serveurs de courrier l’entreprise

  • Web accès

    • Outlook Web Access

    • RPC sur HTTP

    • Outlook Mobile Access

    • Exchange ActiveSync

  • Autres types d’accès

    • SMTP

    • MS-RPC

    • POP3

    • IMAP4

    • NNTP


Int gration avec exchange server
Intégration avec Exchange Server l’entreprise

  • Sélection dans les assistants de configuration de la version d’Exchange utilisée

    • Fonctionne également avec des fermes de serveurs

  • Sélection des méthodes d’accès

  • Couplé à Exchange Server 2007, ISA Server 2006 permet également un accès complet (pas uniquement en lecture) à :

    • Des librairies SharePoint

    • Des partages réseaux

  • Utilise pour cela une interface OWA spécifique

    • Ce n’est pas celle disponible avec l’onglet “Document” d’Outlook Web Access 2007 (cf. captures d’écrans suivantes)


Owa exchange 2007
OWA Exchange 2007 l’entreprise



Publier des serveurs sharepoint
Publier des serveurs SharePoint l’entreprise

  • Assistant de publication spécifique à Sharepoint / WSS

  • Support des fermes de serveurs

  • Pré-authentification et délégation d’authentification (dont NTLM…) auprès des serveurs Sharepoint

  • Avertissement concernant les paramétrages complémentaires à effectué sur Sharepoint (AAM)

  • Traduction de liens (réécriture d’URLs) automatique



Meilleure gestion des certificats
Meilleure gestion des certificats l’entreprise

  • Plusieurs certificats possibles sur un même port d’écoute (mais toujours un certificat par adresse IP)

  • Console des certificats avec vérification de leur validité, de leur magasin… (cf. slides suivantes)

  • Objectifs :

    • Limiter les problèmes d’installation des certificats SSL sur ISA

    • Aider le dépannage sur les certificats déjà installés sur ISA ou les serveurs publiés

« Public Key Infrastructure (PKI) and especially SSL Certificates are the most commonly misunderstood security features among our customers » - Microsoft PSS


Vue g n rale des certificats
Vue générale des certificats l’entreprise

  • 4 types de certificats utilisés en fonction de leur emplacement

    • Front-End – Certificat sur la machine ISA. Utilisé pour établir une connexion SSL avec des clients distants

    • Remote Client – Certificat sur le poste client utilisé pour authentifier pour authentifier ce client distant sur ISA Server (optionnel)

    • Back-End– Certificat installé sur un le serveur à publier et utilisé pour établir une connexion SSL entre ce serveur et le serveur ISA

    • ISA Client– Certificat sur ISA Server utilisé pour authentifié ISA sur le serveur publié (optionnel)


Configuration d un certificat front end
Configuration d’un certificat Front-end l’entreprise

Pour bien fonctionner ce certificat doit :

  • Avoir pour rôle “Server Authentication”

  • Être installé dans le magasin local Ordinateur

    • Sous branche Personnel

  • Avoir une clé privée associée

  • Être installé sur tous les membres d’un groupe (en cas d’utilisation sur une édition Entreprise)

  • Avec ISA Server 2004 édition Entreprise, si un seul de ces pré-requis n’est pas respecté, alors l’administrateur reçoit le message d’erreur suivant :

    … ou alors le certificat n’est pas visible dans l’interface utilisateur.


  • Configuration d un certificat avec isa server 2006
    Configuration d’un certificat avec ISA Server 2006 l’entreprise

    • Le gestionnaire de certificats d’ISA Server 2006 offre les améliorations suivantes :

      • Affiche les certificats mal installés

        • Certificat installé dans le magasin de l’utilisateur (et non dans le magasin Ordinateur)

        • Certificats sans clé privée

      • Affiche l’état des certificats sur chaque membre d’un groupe de serveurs

      • Affiche les certificats expirés avec un message d’avertissement

      • Préviens quand le nom d’un certificat ne correspond pas au nom public utilisé dans la publication


    Certificat correctement install
    Certificat correctement installé l’entreprise

    ISA 2006





    Certificat expir
    Certificat expiré l’entreprise


    Certificats sur le back end
    Certificats sur le Back-End l’entreprise

    • Les problèmes de certificats sur les serveurs à publier (Back-end) sont difficiles à dépanner

      • Message HTTP 500 – Internal Server Error

    • ISA Server utilise les alertes pour les problèmes de configuration de ces certificats

    • Les certificats sur les serveurs publiés :

      • Doivent être approuvés (trusted) par ISA Server (ISA 2006)

      • Ne doivent pas être expirées (ISA 2006)

      • Avoir un nom correspondant au nom utilisé par ISA pour se connecter sur le serveur Back-End (ISA 2006)


    Certificats sur le back end am liorations apport es par isa 2006
    Certificats sur le Back-End, améliorations apportées par ISA 2006

    • ISA Server 2006 ajoute des alertes concernant les certificats sur les serveurs publiés:

      • Certificat ayant moins de 45

        jours avant la date d’expiration

        • Valable également pour les certificats installés sur la machine ISA (Front-End) !

      • Certificat dont le nom ne correspond pas à l’adresse publique utilisée pour la publication

    • Support des certificats de type wildcard (*) sur les Back-End



    D finition de l authentication
    Définition de l’authentication ISA 2006

    Quel type de crédentiels l’utilisateur doit posséder ?

    Comment l’utilisateur présente ses crédentiels?

    Comment et vers qui ISA Server valide ces informations de sécurités (crédentiels)?

    Comment ISA Server fourni les crédentiels au serveur publié ?


    Les diff rentes combinaisons en terme d authentification
    Les différentes combinaisons en terme d’authentification ISA 2006

    One Time Password (OTP)

    Certificate

    Password

    HTTP

    (Basic, Digest, Integrated)

    HTML Forms (FBA)

    Mutual SSL/TLS

    Active Directory (Windows)

    Active Directory (LDAP)

    RADIUS

    RADIUS OTP

    RSA SecurID

    RSA SecureID

    HTTP (Basic)

    HTTP (Integrated)

    Kerberos Constrained Delegation


    Processus d authentification
    Processus d’authentification ISA 2006

    Authentification

    sur le port d’écoute?

    Affiche le contenu publié

    Demande

    des crédentiels

    Requête cliente

    sur un site web

    Oui

    Non

    la règle est

    pour “tous les

    utilisateurs” ?

    Non

    Trouve la règle

    de publication

    correspondante

    Demande

    des crédentiels

    Oui

    AuthN nécessaire

    Sur le backend?

    Demande

    des crédentiels

    Oui

    Non


    Authentification et isa 2006
    Authentification et ISA 2006 ISA 2006

    • ISA Server accepte les authentifications clientes suivantes:

      • Authentification HTTP

        (reçue dans l’entête HTTP) :

        • Basique

        • Digest

        • Intégrée Windows.

      • Authentification par formulaire (FormsBasedAuthentication) : SecurID, RADIUS, Active Directory, Active Directory LDAP, RADIUS OTP

      • Certificat Client

      • Pas d’authentification




    Authentification ldap
    Authentification LDAP ISA 2006

    • L’authentification LDAP permet à ISA Server 2006 de valider les informations de sécurité (crédentiels) d’un utilisateur sur un contrôleur de domaine Active Directory sans nécessiter son appartenance au domaine.

    • Peut utiliser (DC) or Global Catalog (GC)

    • Plus intéressant que RADIUS:

      • Peut fonctionner directement avec un contrôleur de domaine AD sans nécessiter l’installation d’un serveur IAS (Internet Authentication Server = Radius sous Windows 2000 / 2003)

      • Supporte la vérification d’accès basée sur les groupes de sécurité AD

      • Supporte les connexions sécurisées (LDAPS). Avec Radius, nécessité d’utiliser IPSec


    Authentification radius one time password otp
    Authentification RADIUS One Time Password (OTP) ISA 2006

    • Nécessite un produit tiers qui inclus

      • Périphérique / logiciel utilisé par l’utilisateur pour générer les passcodes

      • Un serveur Radius (ou IAS) qui va vérifier les passcodes

    • A la place du couple username+password, le formulaire d’ISA form collecte username+passcode

    • ISA transmet le couple username+passcode au serveur Radius. Le Passcoderemplace ici le mot de passe

    • A la différence d’une authentification standard, ISA ne vérifie pas le passcode chaque fois (one-time !). Donc une fois que le serveur Radius autorise l’utilisateur, ISA remplace le cookie par un qui dit “l’utilisateur est authentifié”

    • ISA Server peut aussi collecter le mot de passe (password). Celui-ci est utilisé pour la délégation auprès des serveurs publiés et jamais par le serveur Radius


    Radius one time passcode
    RADIUS One Time Passcode ISA 2006

    GET /

    HTTP/1.1 302 redirect

    Location: .../CookieAuth.dll?Logon?...

    GET /CookieAuth.dll?Logon?...

    HTTP/1.1 200 OK

    <logon form with asks for passcode...>

    GET /

    also password

    www-authenticate: <username+password>

    POST /CookieAuth.dll?Logon?...

    <body includes username+passcode>

    also password

    HTTP/1.1 302 redirect

    Location: http://ISA/

    Set-Cookie: encrypted username+passcode

    Web server (Sharepoint, OWA, etc)

    also password

    (verifies credentials - username+passcode)

    GET /

    Cookie: encrypted username+passcode

    also password

    HTTP/1.1 200 OK

    Set-Cookie: encrypted username, "passcode was OK!"

    also password

    GET /

    Cookie: encrypted username, "passcodewas OK!"

    RADIUS, ACE/Server

    also password


    Authentification par formulaire forms based authentication fba
    Authentification par formulaire ISA 2006Forms-based Authentication (FBA)

    • Quand le client accède à ISA Server, il est redirigé sur un formulaire d’authentification

    • Le client saisi ses crédentiels et les POSTe sur ISA

    • ISA vérifie les crédentiels et redirige le client vers le site publié. La redirection 302 incluse la mise en œuvre d’un cookie chiffré qui contient les crédentiels.

    • Le client requête le site (url publiée) cette fois-ci avec le cookie

    • ISA récupère le cookie, comprend les crédentiels et les utilise pour l’autorisation, la délégation et la journalisation


    Authentification par formulaire principe de fonctionnement
    Authentification par formulaire ISA 2006Principe de fonctionnement

    GET /

    HTTP/1.1 302 redirect

    Location: .../CookieAuth.dll?Logon?...

    GET /CookieAuth.dll?Logon?...

    GET /

    www-authenticate: ...

    (Basic / NTLM / Kerberos)

    HTTP/1.1 200 OK

    <logon form...>

    POST /CookieAuth.dll?Logon?...

    <body includes username+password>

    Serveur Web (Sharepoint, OWA, etc)

    HTTP/1.1 302 redirect

    Location: http://ISA/

    Set-Cookie: cadata...="encrypted username+password"

    (verifie crédentiels)

    GET /

    Cookie: cadata...="encrypted username+password "

    Serveurd’authentification (Active Directory, LDAP, RADIUS, RSA ACE/Server)


    Authentification par formulaire forms based authentication fba1
    Authentification par formulaire ISA 2006Forms-based Authentication (FBA)

    • Fonctionne pour tous les sites web publiés sur ISA

      • Premium: navigateurs avec fonctions avancés (=IE)

      • Basic: autres navigateurs

      • Mobile: navigateurs avec une faible résolution

    • 3 formulaires pour chaque classe :

      • Logon

      • Logoff

      • SecurID

    • Langages

      • 26 langues disponibles

      • Choisi en fonction des paramètres de langue du navigateur

      • Modifiable


    Formats des formulaires
    Formats des formulaires ISA 2006

    • Username et password

    • Username et passcode

    • Combinaison (nécessite les 2)

      • ID+passcode: pour SecurID ou RADIUS OTP

        • Validé par ISA Server

      • ID+password: pour la délégation

        • Validé par le back-end

    • Les clients qui ne sont pas des navigateurs reçoivent une demande d’authentification basique

      • Office, RPC sur HTTP, Exchange ActiveSync, Acrobat, …

      • Basé sur les chaînes user-agent

      • Configurable via COM - FPCUserAgentMappings


    Formulaires pr d finis
    Formulaires prédéfinis ISA 2006

    • Générique ISA Server

    • Exchange


    Authentification par formulaire option de configuration
    Authentification par formulaire ISA 2006Option de configuration


    Gestion des sessions
    Gestion des sessions ISA 2006

    • Paramétrages distincts pour les machines privées ou publiques

      • Cookie persistants : oui ou non?

        • Les cookies persistants sont stockés sur le disque du client et peuvent être lus par tous les processus de la machine

        • Un cookie de session (=non-persistant) est local au processus en cours du navigateur. Si l’utilisateur démarre un nouveau navigateur (= nouveau processus) alors il devra se ré-authentifier

      • Timeout – combien de temps?

      • Implémenté au niveau du cookie ET dans ISA

    • ISA Server gère la durée des sessions

      • Durée maximale d’inactivité (idle time)

      • Durée maximale d’une session

    • Une URL de déconnexion pour chaque application Web

      • La session expire quand le client envoie une requête à l’URL de déconnexion


    Single sign on sur les applications web
    Single Sign On sur les applications Web ISA 2006

    • L’utilisateur ne se signe qu’une fois par session

    • Via un même port d’écoute et un suffixe DNS commun

    • ISA gère les time outs et la durée maximale des sessions

    • Exemple : pour mail.mycompany.com, sps.mycompany.com et www.mycompany.com, le domaine SSO est .mycompany.com


    Comment fonctionne le sso
    Comment fonctionne le SSO ? ISA 2006

    • Le client se connecte sur mail.mycompany.com, s’authentifie avec le formulaire ISA

    • Une fois redirigé vers le site, ISA pose un cookie de domaine

      • Set-Cookie: ...; domain=.mycompany.com;...

    • Chaque fois que le client va sur un site dans *.mycompany.com, il présente le cookie

      • Cookie: ...

    • ISA voit le cookie et comprend qui est l’utilisateur


    Processus single sign on
    Processus Single Sign On ISA 2006

    dev

    Identification ?

    eng

    sup

    Identification ?

    www.domain.com

    dev.example.com

    sup.example.com

    eng.example.com

    Déjà vu

    ID+pass

    mktg

    mycompany.com

    Même si les ports d’écoutes partage le même type d’authentification et si le SSO est activé

    www.domain.com


    D l gation de l authentification
    Délégation de l’authentification ISA 2006

    • ISA Server s’authentifie auprès du serveur web publié à la place de l’utilisateur

    • Différents paramètres pour chaque règle de publication

      • HTTP (Basic, NTLM, Négocié)

      • SecurID

      • KerberosConstrainedDelegation

    • Implémenté sous la forme d’un nouveau filtre “AuthenticationDelegation" filter - authdflt.dll



    D monstration1
    Démonstration ISA 2006



    Publication web s curis e reverse proxy principes
    Publication Web sécurisée ISA 2006Reverse proxy - principes

    http://hrweb

    http://portal

    https://portal.public.microsoft.com

    OWA\Outlook

    https://hrweb.public.microsoft.com

    https://mail.public.microsoft.com


    R criture de liens principes
    Réécriture de liens : principes ISA 2006

    http://www.example.com

    <HREF=http://teams/eng>

    ?


    R criture de liens principes1
    Réécriture de liens : principes ISA 2006

    http://www.example.com

    <HREF=http://teams/eng>

    <HREF=http://teams.example.com/eng


    R criture de liens traduction de liens
    Réécriture de liens ISA 2006traduction de liens

    • Bénéfices

      • Permet de ne pas divulguer des noms internes (urls, nom NetBios de serveur…)

      • Permet à des utilisateurs externes d’utiliser des liens sans pour autant avoir à réécrire les applications Web (économies)

    • Nouveautés ISA 2006

      • Activée automatiquement

      • Moteur de réécriture plus rapide

      • Multi-langues


    R criture de liens dans des groupes de serveurs isa arrays
    Réécriture de liens dans des groupes de serveurs ISA (arrays)

    • Réécriture de liens même si le contenu web est sur un autre groupe

    • Permet d’augmenter la disponibilité

      • En cas de panne d’un groupe dans une région, le dictionnaire de récriture reste disponible sur les autres groupe


    Dictionnaire global entreprise
    Dictionnaire global - Entreprise (arrays)

    • Réécriture de liens inter-groupes

    Calculated Enterprise Dictionary

    http://portal

    https://portal.public.microsoft.com

    http://hrweb

    https://hrweb.public.microsoft.com

    http://owa

    https://mail.public.microsoft.com

    Global Dictionary

    Global Dictionary

    http://portal

    https://portal.public.microsoft.com

    http://owa

    https://mail.public.microsoft.com

    http://hrweb

    https://hrweb.public.microsoft.com

    Array 2

    Array 1


    D monstration2
    Démonstration (arrays)



    Meilleur support des environnements quilibrage de charge
    Meilleur support des environnements à équilibrage de charge

    • Intégration dans les assistants de publication d’ISA

    • Utilise des objets de type « batterie de serveurs »

    • Affinité des sessions par adresse IP ou cookies

    • Préservation du contexte des applications

      • Simple affinité uniquement

    • Ne nécessite pas l’utilisation de NLB sur les serveurs publiés

      • Élimine les problèmes de NAT et autres routages

      • Ne se base plus sur les adresses IP d’ISA, permettant ainsi une meilleure répartition sur les serveurs publiés

    • 2 types de répartition

      • Basée sur des cookies (ex : OWA par défaut)

      • Basé sur l’adresse IP Source (ex: RPC/HTTP par défaut)


    Wplb par adresse ip du client vs cookie
    WPLB par adresse IP du client vs. Cookie charge

    • WPLB : Web PublishingLoadBalancing

      = Publication Web avec répartition de charge

    • WPLB basé sur l’adresse IP du client

      • La même adresse IP du client obtient toujours le même serveur

      • Fonctionne même si le client ne supporte pas les cookies (ou si il les bloque)

    • WPLB basé sur les cookie (affinité de session)

      • Plusieurs clients sont répartis sur plusieurs serveurs, même si ils sont derrière un NAT ou un proxy

      • L’affinité est maintenue même si le client est derrière un proxy utilisant CARP (il n’est pas nécessaire de créer des exceptions CARP)



    Batteries de serveurs
    Batteries de serveurs charge

    • Définie comme un objet réseau

    • Utilisable dans les règles de publication


    Configuration
    Configuration charge

    • Création d’un objet ‘ferme de serveur”

      • Liste des serveurs

      • Vérificateurs de connectivité

    • Créer une règle de publication Web en faisant référence à la ferme

    • La règle a également un "Internal site name"

      • Nom utilisé par les clients et serveurs internes pour la ferme

        • Doit permettre la résolution vers un des serveurs

    • ISA va l’utiliser comme nom d’entête d’hôte lors du transfert des requêtes vers la ferme de serveurs (à moins que l’option “Forward original host header” soit cochée)

    • ISA va réécrire les liens contenant ce nom avec le nom publique


    Surveillance v rificateurs de connectivit
    Surveillance - Vérificateurs de connectivité charge

    • ISA surveille la santé (status) d’une ferme de serveurs web avec les vérificateurs de connectivité

    • Quand le serveur cible n’est pas joignable, les requêtes sont relayées vers un autre serveur

      • Les clients avec une session en cours sur le serveurs qui est “tombé” perdent leur session en cours

    • Les vérificateurs sont créés implicitement pour la ferme

    • Les mêmes options que les vérificateurs créés manuellement sont disponibles : ping, TCP, HTTP, HTTPS

    • Le vérificateur doit correspondre au type de serveur publié

      • exemple: en cas de pontage SSL, utilisé le vérificateur HTTPS pour vérifier les erreurs relatives à ce type de connexion (expiration de certificats…)



    Management purge
    Management - Purge charge

    • Si vous voulez mettre hors service un serveur pour des raisons de maintenance, il faut au préalable le purger (drain) :

      • Aucune nouvelle requête ne doit être relayée vers un serveur purgé

      • Note : ISA ne peut pas savoir combien de sessions sont encore en cours sur le serveur web (elles peuvent être conservées dans un cookie du navigateur). L’administrateur doit vérifier l’activité du serveur et décider quand l’arrêter.

    • Une fois que le serveur est “remonté”, il faut le reprendre (resume)



    Surveillance de l tat des serveurs
    Surveillance de l’état des serveurs charge

    • Actif

    • Purgé

    • Supprimé

    • Hors service


    Surveillance de l tat des serveurs1
    Surveillance de l’état des serveurs charge

    • Quand un serveur en panne (arrêté) revient en ligne, il accepte de nouvelles requêtes. Les requêtes précédentes restent sur le serveur qui avait repris la main


    Surveillance
    Surveillance charge

    • ISA n’a pas en standard l’outil permettant de surveiller la distribution de la charge entre les membres d’une ferme

      • Il est cependant possible de vérifier les journaux pour voir combien de sessions vont vers un serveur

      • La lecture des journaux et des compteurs de performances des serveurs Web sont également une bonne source d’information




    Utilisation de la compression HTTP charge

    Site central

    Jean Bouin

    Sept Deniers


    La compression http
    La compression HTTP charge

    • Documentée dans les RFC 1951 & 1952

    • Uniquement sur de l’HTTP 1.1

      Get“AcceptEncoding = Accept-Encoding: gzip, deflate”

      Reponse “ContentEncoding = Content-Encoding: gzip”

    Dans l’entête HTTP de la requête du client

    Dans l’entête HTTP de la réponse du serveur


    La compression http dans isa
    La compression HTTP dans ISA charge

    • 2 filtres Web

      • Filtre de compression / décompression

      • Filtre de cache et de contenu compressé

    • Inspection du contenu compressé

      • Le filtre de compression est le premier dans l’ordre de traitement

    • Le cache supporte le contenu Http compressé grâce au second filtre

    • Attention : l’utilisation de la compression peut affecter les performances du serveur (CPU)


    Contr le de la compression http
    Contrôle de la compression HTTP charge

    • Source ou Destination

      • Réseau

      • Groupe d’ordinateurs

    • Contenu

      • Documents html

      • Texte

      • Images

    • Le paramétrage se fait au niveau du port d’écoute (nouveauté ISA Server 2006) ou pour la globalité du serveur

      • Le paramétrage n’est pas possible au niveau des règles

    • Important : le trafic HTTPs n’est pas compressé


    Compression http c t client
    Compression HTTP côté client charge

    • Les clients HTTP 1.1 demandent automatiquement la compression

    • Paramètre à activer sur le navigateur



    Gestion de priorit pour les flux http
    Gestion de priorité pour les flux HTTP charge

    • Support de Differentiated Services (DiffServ)

    • Documentée dans les RFC 2474, 2475

    • Utilise le champ TOS (Type Of Services) des paquets IPv4

      • Cf. slide suivante

    • Il faut que l’infrastructure le supporte (routeur)

    • Paramétrable en fonction :

      • URL

      • Domaine

      • Réseau

      • Taille du contenu


    Differentiated services
    Differentiated Services charge

    0

    1

    2

    3

    4

    5

    6

    7

    Differentiated Services Codepoint (DSCP)

    Ver4

    IHL

    TOS

    Total Length

    Identification

    Flags

    Frag Offset

    Protocol

    TTL

    Header Cheksum

    Source Address

    Destination Address

    IP Options


    Differentiated services1
    Differentiated Services charge

    0

    1

    2

    3

    4

    5

    6

    7

    Differentiated Services Codepoint (DSCP)

    Bits de 0 à 2 : Class Selector

    Bits de 3 à 5 : Priorité dans les classes

    Bits 6 et 7 : Pas utilisés

    Garantie d’acheminement croissante

    Classe 4

    Classe 2

    Classe 3

    Classe 1

    100010

    100100

    100110

    010010

    010100

    010110

    011010

    011100

    011110

    001010

    001100

    001110

    Taux de rejet croissant



    Mise charge en cache BITS (Scénarioréseaud’agences)

    WAN

    Faible débit

    ISA Server Site Central

    ISA Server agence

    • La mise en cache BITS est supportéeavec :

    • Windows Update / Microsoft Update

    • Windows Server Update Services (WSUS)


    Bits caching
    BITS Caching charge

    • Background Intelligent Transfer Service

    • Documenté dans la RFC 2616

    • Utilisé avec :

      • Automatique update

      • Windows update

      • Microsoft update

    • Vérifie

      • Range: request header

      • Content-range: response header

    A paramétrer sur les postes clients



    Pr vention des attaques par saturation flood resiliency
    Prévention des attaques par saturation chargeFlood resiliency

    • Objectif  Protéger ISA Server contre :

      • Propagation de ver

      • Bombardement SYN

      • Déni de service (DoS)

      • Déni de service distribué (DDoS)

      • Bombardement HTTP

    • Dans certains cas, les ordinateurs derrière ISA seront également protégés mais ce n’est pas l’objectif principal de cette fonction


    Fonctions de pr vention d attaque par saturation
    Fonctions de prévention d’attaque par saturation charge

    • 1 – Attaques bloquées

      • Propagation de vers

      • Attaques SYN

      • Déni de Service (DoS)

      • Déni de Service distribué (DDoS)

      • Déni de Service (DoS) par bombardement HTTP

    • 2 – Techniques de réduction

    • Limiter les requêtes de connexion TCP par minute par IP

    • Limiter le nombre de connexions TCP simultanées par IP

    • Limiter le nombre de connexion TCP “half-open” par IP

    • Limiter le nombre de requêtes HTTP par minute par IP

    • Limiter les sessions simultanées non-TCP par IP

    • Limiter les nouvelles sessions Non-TCP par minute et par règle

    • Limiter les messages de refus TCP et non-TCP

    • 3 – Contrôle des ressources

      • Saturation des journaux

      • Consommation mémoire

      • Requêtes DNS en cours

    • 4- Remédiation

    • Déclenchement d’alertes avec information sur l’attaque et instruction de remédiation

    • Notification de l’administrateur avec les adresses IP des clients infectés



    Appliances isa 2006 am liorations
    Appliances ISA 2006 : améliorations charge

    • Déploiement facilité

      • Déploiement entièrement automatisable avec une clé mémoire USB

      • Assistant réseau d’agence exécuté automatiquement sur une appliance en agence.

    • La version Entreprise d’ISA Server 2006 sera également disponible en version appliance


    D ploiement en r seau d agence simplifi
    Déploiement en réseau d’agence simplifié charge

    • Le challenge : déployer ISA sur des centaines d’agences

    • Beaucoup de serveurs à déployer

    • Pas d’administrateur local dans les agences

    • ISA Server 2006 dispose d’un assistant spécifique à ce type de déploiement : Assistant Connectivité VPN des sites distants de ISA Server (Appliance Configuration Wizard) .

      • VPN bootstrap amélioré

      • Configuration distante du CSS

      • Rattachement au groupe de serveurs du site central

    • Installation complètement automatisée via des fichiers de réponses

    • Support spécial pour les appliances


    Assistant isa server de connectivit vpn pour r seau d agence
    Assistant ISA Server de connectivité VPN pour réseau d’agence

    Disponible sur le CD-Rom d’ISA Server 2006 :

    .\FPC\Program Files\Microsoft ISA Server\AppCfgWzd.exe


    Assistant pour les r seaux d agence appliance configuration wizard
    Assistant pour les réseaux d’agence d’agenceAppliance Configuration Wizard

    Réseau d’agence

    Siège (Site central)

    Etablissement d’une connexion VPN site à site avec le siège

    Association du serveur ISA de l’agence avec le serveur CSS (Configuration Storage Server) du siège et synchronisation

    Entrée du serveur d’agence dans un groupe de serveurs (array)

    Fichier de réponse

    (unattended)

    Serveur CSS


    D ploiement am lior des css en central
    Déploiement amélioré des CSS en central d’agence

    • Meilleur support des déploiement des CSS en central

    • Pourquoi un CSS en central ?

      • Sécurité : réduction de la surface d’attaque sur les stratégies d’accès

      • TCO réduit : moins de CSS à déployer et à configurer

      • Economie de trafic réseau : seule la configuration spécifique aux agences est téléchargée


    D ploiement am lior des css en central1
    Déploiement amélioré des CSS en central d’agence

    • Un seul CSS sur un site central peut servir des centaines d’ISA 2006 en agences

      • Ajouter un second CSS pour la haute disponibilité

        • Nécessite d’avoir les CSS membres d’un même domaine

    • Performances accrues versus ISA 2004 EE sur les liens à faible débit

      • Ligne bas débit : 64 kbps, 250 ms de latence

      • Installation en quelques minutes (vs quelques heures)

      • Nouveau système de propagation des mises à jours des politiques (moins d’une minute)


    Ressources utiles
    Ressources d’agenceutiles

    • Site Web Microsoft

      • www.microsoft.com/isaserver

      • www.microsoft.com/france/isa

    • Webcasts et séminaires TechNet (Gratuits)

    • Sites externes

      • www.isaserver.org

      • www.isaserverfr.org

      • www.isatools.org

      • www.isascripts.org

      • Isafirewalls.org

    • Newsgroup français

      • Microsoft.public.fr.isaserver

    • Kits de déploiement

    • Blog : Blogs.technet.com/stanislas

    • Kits d’évaluation

      • Version d’évaluation (120 jours)

      • CD (livres blancs et guide déploiement)



    Microsoft France d’agence

    18, avenue du Québec

    91 957 Courtaboeuf Cedex

    www.microsoft.com/france

    0 825 827 829

    [email protected]


    ad