6. Mise en place d'un serveur VPN
6.1 Introduction
Avec ISA Server 2000, il est possible de mettre en place un
serveur VPN directement dans la console de gestion ISA. Cependant ce même
serveur doit être paramétré comme un serveur VPN « classique » c’est-à-dire dans
la console « routage et accès distant ». Avec l’introduction d’ISA Server 2004,
on doit réaliser l’intégralité de la configuration du serveur VPN dans la
console de gestion ISA.
Comme nous allons le voir dans la suite de ce chapitre, cette
nouveauté permet une configuration plus aisée et surtout bien plus sécurisée.
6.2 Un paramétrage simplifié
|
 |
Pour commencer, la fenêtre de paramétrage des réseaux
privés virtuels peut être accédée directement à partir de l’arborescence
de la console du serveur ISA.
Cette fenêtre va permettre de mettre en place un
serveur VPN en quelques clics. En effet, lorsque l’on sélectionne une
topologie réseau avec l’assistant de configuration réseau, les
paramètres du VPN sont automatiquement réglés pour une mise en
production rapide. |
Ainsi lorsque l’on a choisi la topologie réseau pare-feu
de périmètre, un serveur VPN est configuré afin d’écouter les éventuelles
requêtes faites sur la carte réseau externe en utilisant le protocole PPTP et la
méthode d’authentification MS-CHAP V2.0. De plus le serveur VPN assigne les
adresses IP aux clients VPN en utilisant un serveur DHCP et accepte un maximum
de 5 connexions.
En résumé, pour rendre le serveur VPN fonctionnel lorsque
l’on a choisi la topologie réseau pare-feu de périmètre, il faut
simplement activer le serveur VPN (qui est paramétré automatiquement, mais pas
activé) et choisir les groupes et/ou les utilisateurs qui ont le droit de se
connecter à distance. On peut donc utiliser le serveur VPN intégré à ISA en
trois clics de souris.
Bien entendu, les options du serveur VPN peuvent être
modifiées à loisir. Pour cela il faut utiliser l’onglet Tâches qui apparaît
sur la fenêtre de configuration du VPN. Nous allons voir que le serveur VPN d’ISA
possède des fonctions non implémentées dans celui intégré à Windows Server 2003.
6.3 De
nouvelles options
 |
Le menu Tâches, ci-contre, permet de paramétrer toutes les
options du serveur VPN. L'option Configurer l'accès des clients VPN lance
une fenêtre composée de quatre onglets :
-
Général : activer/désactiver l’accès des clients au serveur VPN et sélectionner le nombre de connexions simultanées (le nombre
de connexion par défaut est de 5).
-
Groupes : choisir les groupes qui ont
l'autorisation d'établir une connexion distante via le serveur VPN.
-
Protocoles : permet de choisir le protocole de
tunnelling que l'on souhaite utiliser. Les choix disponibles sont PPTP
et L2TP/IPSec (le protocole choisi par défaut est PPTP).
-
Mappage des utilisateurs : permet d'appliquer les
règles de stratégie d'accès au pare-feu définies par défaut aux
client VPN qui s'authentifient avec un protocole d'authentification
non Windows (par exemple avec le protocole RADIUS ou le protocole EAP).
|
Les quatre options situées dans Configuration VPN générale (Sélectionnez
les réseaux, Sélectionnez les attributions d'adresses, Sélectionnez les méthodes
d'authentification et Spécifier la configuration RADIUS) renvoient toutes à
la même fenêtre qui se compose logiquement de quatre onglets.
|
Le premier onglet nommé Réseaux d'accès
(accessible en cliquant sur Sélectionnez les réseaux d'accès)
permet de choisir à partir de quelle interface le serveur VPN sera
accessible par les clients et/ou les autres serveurs VPN.
Dans le cas du pare-feu de périmètre, le
paramètre par défaut est le réseau externe.
Cela est normal puisque avec cette topologie, on
possède deux réseau : un réseau interne (le réseau privé de
l'entreprise) et un réseau public (Internet). On souhaite bien entendu
faire bénéficier les clients externes de l’accès à distance et non
l’inverse. |
 |
 |
L'onglet Attribution d'adresses (accessible en cliquant sur
Sélectionnez les réseaux d'accès) permet de forcer le serveur VPN
a assigner lui-même les adresses IP aux clients VPN parmi une plage
d’adresses prédéfinies ou bien à utiliser les adresses fournies par un
serveur DHCP.
Dans le second cas, on doit sélectionner l’interface sur
laquelle le serveur VPN essayera de contacter un serveur DHCP et choisir
(en cliquant sur le bouton Avancé) si les adresses IPs des
serveur DNS et WINS seront dynamiques (c'est-à-dire attribuées par le
serveur DHCP en même temps que l’adresse IP du client) ou bien
statiques. |
|
L'onglet Authentification (accessible en cliquant sur
Sélectionnez les méthodes d'authentification) propose un large choix
de protocoles pour permettre l'authentification des clients d'accès
distant.
Le protocole sélectionné par défaut est MS-CHAP v2. On peut
aussi utiliser EAP. D'autres méthodes, moins sécurisées, sont présentes
mais uniquement à titre de compatibilité. On peut citer MS-CHAP, CHAP,
SPAP et PAP.
Enfin, il est possible d’utiliser une clé pré
partagée si l’on
utilise le protocole L2TP/IPsec. |
 |
 |
Une des principales nouveautés d’ISA Server 2004 est
la possibilité de pouvoir utiliser un serveur RADIUS pour authentifier
les clients d’accès distants.
L'onglet RADIUS (accessible en cliquant sur
Sélectionnez la configuration RADIUS) propose d'activer cette
fonctionnalité. Dans le cas où ce paramètre est sélectionné on peut
choisir d'enregistrer les évènements liés à l'établissement et à la
fermeture des sessions VPN dans le journal du serveur RADIUS.
Pour spécifier la liste de serveurs RADIUS a contacter il
faut cliquer sur le bouton Serveurs RADIUS et entrer les serveurs
dans l'ordre de priorité avec lequel ils doivent être utilisés. |
6.4 La fonction de mise en quarantaine
Une des fonctionnalités les plus innovantes d'ISA Server 2004
reste la mise en quarantaine des clients VPN. En effet, la mise en place
d'un serveur VPN pose un gros problème en ce qui concerne la sécurité malgré le
fait que le processus d'authentification et que les échanges soient cryptés. La
faille provient souvent des machines clientes car elles sont souvent
infectées par divers virus, vers, chevaux de Troie et autres logiciels espions.
Ces virus, par le biais du réseau privé virtuel, finissent par se retrouver sur
le réseau de l'entreprise, ruinant ainsi tous les efforts des administrateurs
réseau !
La fonction de mise en quarantaine permet d'isoler les
clients ne répondant à certains critères dans un réseau spécifique nommé
clients VPN en quarantaine. Les critères de sélections doivent être définis
dans un script qui s'exécute après l'authentification des clients. Ce script
n'est pas fourni par Microsoft avec ISA Server et doit donc être développé
par l'administrateur ce qui offre une plus grande flexibilité. Il est tout de
même dommage que Microsoft ne se soit pas donné la peine de fournir des scripts
prédéfinis pour certains scénarios. On peut notamment créer un script vérifiant
si le pare-feu du client est actif et si son antivirus et son système sont à
jour.
En raison de la difficulté de mise en place de ce service et
de l'envergure du sujet, nous traiterons la configuration de la mise en
quarantaine dans un autre article qui lui sera dédié.
6.5 Conclusion
ISA Server 2004 apporte son lot de nouveautés en ce qui
concerne la configuration du serveur VPN. Parmi celles-ci, on peut citer
-
le support de l'authentification RADIUS et SecureID
-
la fonction de mise en quarantaine
-
le protocole IPSec tunnel mode qui permet de créer
un lien de site à site entre un serveur ISA et n'importe quel type de
serveur
VPN (routeur, machine Unix,...)
 Sommaire
1. Présentation Générale d'ISA Server 2004
1.1 Introduction
1.2 Nouveautés par rapport à la version 2000
1.3 Configuration requise
1.4 Les différentes versions disponibles
1.5
Évaluer ISA Server 2004 gratuitement
2. Installation et configuration initiale
2.1 Installation du logiciel
2.2 Une interface entièrement repensée
2.3 L'assistant modèle réseau
2.4 Le chaînage de pare-feu et le chaînage web
3. Paramétrage du pare-feu
3.1 Introduction
3.2 Les éléments de stratégie
3.3 La création des règles de
pare-feu
3.4 Ordre d'application des règles
3.5 Les règles de stratégie système
3.6 Le filtrage applicatif
3.7 Conclusion
4. Exemples de configuration
4.1 Introduction
4.2 Autoriser l'accès à Internet pour les clients du réseau interne
4.3 Interdire
complètement l'accès à MSN Messenger
4.4 Interdire l'accès à MSN Web Messenger
4.5 Conclusion
5.
Implémentation de la mise en cache
5.1 Introduction
5.2 Configuration de la mise en cache d'un serveur Web
5.3 Conclusion
6. Mise en place d'un serveur VPN
6.1 Introduction
6.2 Un
paramétrage simplifié
6.3 De nouvelles options
6.4 La fonction de mise en quarantaine
6.5 Conclusion
7. Configuration des ordinateurs clients
7.1 Introduction
7.2 Configurer un client SecureNAT
7.3 Configurer un client du
Proxy Web
7.4 Utilisation du protocole WPAD pour
paramétrer automatiquement les clients du Proxy Web
7.5 Déploiement et configuration des clients pare-feu
7.6 Interopérabilité avec le client pare-feu d'ISA 2000
7.7 Conclusion
8. Surveillance et monitoring d'ISA Server 2004
8.1 Introduction
8.2 Vue d'ensemble du tableau de bord
8.3 Configuration et utilisation des
vérificateurs de connectivité
8.4 Gestion de la journalisation
8.5 Génération de rapports
8.6 Conclusion
9. Migration d'ISA Server 2000 vers ISA Server 2004
9.1 Prérequis
9.2 Sauvegarde des paramètres du serveur ISA en vue d'une migration
9.3 Mise à niveau du serveur
9.4 Importation des paramètres précédemment sauvegardés dans ISA Server 2004
10. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Présentation d’ISA Server 2004
