SUPINFO International University

SUPINFO Institute of Information Technology
Laboratoire Microsoft
  Laboratoire Microsoft |  Blog  |  Forum |  FaqXP |  CertifExpress 




Tous les Articles du Laboratoire Microsoft

Tout savoir sur ISA Server 2006 (Beta1 - Codename Wolverine)
Accueil > Articles > Serveurs
Auteur 
Matthieu MARTINEAU
PI SERVICES (GOLD PARTNER MICROSOFT)
Ingénieur systèmes et réseaux

 Tous les articles de cet auteur
Vincent TROTTIER
MGI CONSULTANTS
Ingénieur systèmes & réseaux

 Tous les articles de cet auteur

4,1/5
Bien


135323
541/2241

1. Présentation du produit

1.1 Présentation d'ISA Server et bref historique

ISA signifie Internet Security & Acceleration Server. C’est un produit de la gamme serveur de Microsoft cumulant plusieurs rôles :

  • Pare-feu multicouches

  • Serveur de proxy

  • Serveur VPN

ISA est le descendant direct de Microsoft Proxy Server 1.0 (sorti en 1996) qui n’était à l’origine qu’un serveur de proxy conçu pour fonctionner sous Windows NT 4.

La version 2.0 de Proxy Server apporte principalement la gestion de la mise en cache distribuée via des groupes de serveurs. Cette édition permet de mettre en place un équilibrage de la charge réseau et une tolérance de panne au niveau de l’accès Web (FTP et HTTP), fonctionnalité innovante dans le domaine des proxys à l’époque de la sortie du produit (pour cela Microsoft a développé un protocole spécifique, dont il est propriétaire nommé CARP) !

La troisième mouture de Proxy Server se veut plus ambitieuse que ses prédécesseurs car le but n’est pas seulement d’accélérer l’accès Web (fonction de serveur proxy) mais aussi de le sécuriser (fonction de pare-feu et de serveur VPN). Cette version, nommée ISA Server 2000 propose de puissantes fonctions de surveillance (détection d’intrusions, rapports HTML, alertes…), de filtrage (filtres de paquets, règles de sites et de contenu…) et de gestion de la bande passante.

La dernière édition de proxy server, nommée ISA Server 2004 apporte de nombreuses améliorations : configuration simplifiée (nouvelle console MMC, gestion simplifiée des règles, multiples assistants de configuration), sécurité renforcée (filtrage au niveau applicatif, mise en quarantaine des clients VPN, support des méthodes d'authentification RSA SecureID et RADIUS...) et fonctionnalités supplémentaires sont de la partie (compression HTTP, sauvegarde au format XML, mode tunnel IPSec, monitoring en temps réel... ).

 

1.2 Les nouveautés offertes par ISA Server 2006

ISA Server 2006 est une évolution logique d'ISA Server 2004. A ce titre, toutes les fonctionnalités incluses dans ISA Server 2004 SP2 (gestion du QoS avec Diffserv, mise en cache du protocole BITS, compression HTTP...) sont reprises dans la nouvelle version du produit. Voici une liste non exhaustive des principales nouveautés et améliorations apportées depuis la version 2004 :

  • Intégration de l'authentification par formulaire Web pour les règles de publication Web

  • Implémentation d'un système d'ouverture de session unique (SSO) lorsque plusieurs sites Web sont publiés (OWA, SharePoint...)

  • Nouveaux assistants de publication pour les serveurs Web, SharePoint et les serveurs de messagerie

  • Meilleure gestion des certificats sur les ports d'écoute Web

  • Intégration de filtres Web supplémentaires

  • Intégration d'un assistant permettant de configuration automatiquement une connexion VPN dans un site distant

  • Synchronisation entre les serveurs ISA et les serveurs CSS améliorée

  • Nouveau système de gestion des flux permettant de détecter des attaques DoS

 

1.3 Les différentes éditions d'ISA Server 2006

A l'instar des versions précédentes d'Internet Security & Acceleration, ISA 2006 est disponible en édition Standard mais aussi en édition Entreprise. Comme aujourd'hui avec ISA 2004, les deux versions seront très proches hormis quelques fonctionnalités réservées à la version entreprise. Voici la liste des spécificités de cette dernière version :

  • Support de plus de quatre processeurs physiques

  • Système de stockage centralisé permettant d’appliquer une configuration uniforme sur de nombreux serveurs ISA

  • Support du Network Load Balancing (NLB) avec basculement automatique (y compris sur les liaisons VPN site-à-site)

  • Support de la mise en cache hiérarchisée via le protocole CARP (Cache Array Routing Protocol)

 

1.4 L'intégration aux Appliances : un enjeu important pour l'avenir

Introduction

Pour augmenter les ventes de son pare-feu, mais aussi pour séduire les amateurs de pare-feu "matériels", Microsoft s'est associé avec de grands constructeurs pour fournir des "appliances" basées sur Windows Server 2003 et ISA Server 2004. On peut citer Hewlett Packard (HP), Celestix, Corrent, Network Engines, RimApp ou bien encore SecureGuard. Une liste complète des partenaires de Microsoft sur les appliances ISA Server 2004 est disponible ici.

Les appliances actuellement basées sur ISA Server 2004 intègrent une version optimisée de Windows Server 2003 ainsi que l'édition standard d'ISA (à l'heure actuelle aucune appliance n'intègre l'édition entreprise).

Pour rappel une appliance est un système prêt à l'emploi et dédié à exécuter une tâche bien précise (serveur Web, serveur d'impression, pare-feu...). Ci-contre l'appliance de la société Network Engines.

 

Un système clés en main ?

Sur une appliance l'administrateur n'a pas directement accès au système et à la console de configuration classique d'ISA Server. En effet la plupart du temps le constructeur de l'appliance développe une interface Web spécifique. La capture d'écran ci-dessous présente l'interface intégrée à l'appliance MSA4000 de Celestix :

Outre ce système d'administration via interface Web, les appliances proposent de nombreux avantages :

  • matériel spécialement sélectionné et soigneusement dimensionné (l'appliance HP Proliant DL320 intègre par exemple un processeur Pentium4 cadencé à 3GHz, 1Go de RAM, un disque dur de 80Go en SATA ainsi que plusieurs cartes réseau gigabit utilisant l'interface PCI-X).

  • sécurité de la configuration garantie par le constructeur (la version de Windows Server 2003 incluse dans les appliances a été configurée par les ingénieurs de la marque de manière à être la plus sécurisée possible; de plus le constructeur fourni généralement un système de mise à jour automatique - cela induit donc un gros gain de temps pour l'administrateur qui n'a pas besoin de se soucier de la sécurité du système)

  • déploiement rapide du service (la plupart des appliances sont opérationnelles en quelques minutes !)


ci-dessus, les appliances de Celestix et de Pyramid Computer

Les appliances sont donc des produits livrés "clés en main" contrairement aux serveurs ISA "classiques" qui nécessitent de longues et fastidieuses phases de configuration. En effet avant d'arriver à un système parfaitement fonctionnel et sécurisé sur un serveur ISA il faut passer par les étapes suivantes :

  1. Prise de renseignements pour dimensionner/construire le serveur en fonction des besoins (nombre de clients, bande passante de la connexion Internet, mise en ouvre de la haute disponiblité...)

  2. Installation matérielle et logicielle du serveur

  3. Sécurisation du pare-feu (principalement au niveau du système d'exploitation)

  4. Configuration d'ISA Server

  5. Optimisation des performances

Avec une appliance, l'utilisateur final n'a pas à se soucier de toutes ces étapes : la seule chose à faire est de raccorder la machine au réseau, puis de la configurer à l'aide de l'interface Web dédiée. De plus le coût du matériel et des licences logicielles pour Windows Server 2003 et ISA se fondent au sein d'une seule et même facture ce qui est plus pratique à gérer.

 

Des options supplémentaires...

Pour se démarquer de la concurrence, la plupart des constructeurs intègrent des matériels spécifiques ou bien incluent des fonctionnalités supplémentaires au sein de leur produits ! Ainsi il n'est pas rare de voir des appliances intégrant en standard un anti-virus, un anti-spam ou bien encore un système de filtrage des URLs (dans le but de bloquer les URLs utilisées à but promotionnel ou malveillant : phishing, trojans, etc.). Le matériel peut aussi être adapté et certains constructeurs comme HP ajoutent des cartes accélératrices SSL pour augmenter les performances du chiffrement, des systèmes ou bien des systèmes de tolérances de panne matériel !

 

Quid des appliances avec ISA 2006 ?

Le marché des appliances étant florissant, le concept des appliances basées sur ISA restera bien sur d'actualité avec la nouvelle mouture du pare-feu de la firme de Redmond ! Cette fois-ci, il sera possible d'acheter une appliance basée sur l'édition standard d'ISA 2006 mais aussi sur l'édition entreprise ! De plus les appliances ISA 2006 intégreront directement Windows Server 2003 R2 plutôt que Windows Server 2003 SP1.

Les appliances intégrant ISA 2006 devraient être encore plus nombreuses que celles basées sur ISA 2004 (actuellement on dénombre une dizaine de marques commercialisant des appliances ISA 2004). En effet, d'autres partenaires devraient rejoindre les constructeurs travaillant actuellement avec Microsoft.

 

1.5 Vers un produit plus fiable et plus complet ?

La version actuelle d'ISA Server 2006 intègre une section nommée "programme d'amélioration du produit". Le but de ce système de feedback, mis en place avec le Service Pack 2 d'ISA Server 2004, est bien évidemment d'améliorer la qualité et la fiabilité des produits Microsoft. Il est présent au sein de cette beta mais devrait toujours être intégré à la version finale du produit !

Cela montre vraiment la volonté qu'à Microsoft de se détacher de cette image de développeur commercialisant des produits peu fiables et remplis de bugs ! En effet, grâce à ce système l'équipe technique d'ISA 2006 est automatiquement averti au moindre bug rencontré par l'utilisateur. Cela devrait permettre une vitesse de correction des bugs dans un temps record !

Bien entendu, toutes les informations collectées sont totalement anonymes et ne concernent en rien l'identité de l'utilisateur ou bien l'utilisation qu'il fait de sa machine ! Il est tout à fait possible de ne pas participer à ce programme (c'est d'ailleurs le cas par défaut). De plus, ceux qui ont activés l'option peuvent revenir en arrière à tout moment !

 

1.6 Essayez ISA Server 2006 gratuitement !

Une fois n'est pas coutume, la Beta1 du produit est ouverte au public ! Sans doute une autre manière de montrer la volonté d'ouverture de Microsoft qui se rapproche de plus en plus du monde du libre... du moins lorsqu'il s'agit de trouver un maximum de testeurs pour ses produits. Cette version Beta est utilisable pendant 210 jours ce qui est sans doute une indication sur la commercialisation du produit (officiellement durant le 2ème semestre 2006) même si cette page du site officiel de Microsoft mentionne plutôt l'été 2006.

Les deux éditions d'ISA Server 2006 peuvent être téléchargées directement sur le site de Microsoft. Vous devrez bien sur posséder un compte Passport .net pour accéder à la page de téléchargement. Le fichier, d'une taille de 49,9 Mo quelle que soit l'édition considérée est disponible uniquement en version anglaise. Avis aux développeurs, le kit de développement (SDK) est également disponible !

Dans la suite de cet article l'édition Standard sera souvent nommée SE (pour Standard Edition) et l'édition entreprise EE (pour Enterprise Edition).

 

Sommaire

1. Présentation du produit
      1.1 Présentation d'ISA Server et bref historique
      1.2 Les nouveautés offertes par ISA Server 2006
      1.3 Les différentes éditions d'ISA Server 2006
      1.4 L'intégration aux Appliances : un enjeu important pour l'avenir
      1.5 Vers un produit plus fiable et plus complet ?
      1.6 Essayez ISA Server 2006 gratuitement !

2. Déploiement d'ISA Server 2006
      2.1 Configuration minimale
      2.2 Installation d'ISA Server 2006 édition standard
      2.3 Installation d'ISA Server 2006 édition entreprise
      2.4 Les différents scénarii de mise à jour vers ISA 2006
      2.5 Mise à jour vers ISA Server 2006 SE à partir d'ISA Server 2004 SE SP2
      2.6 Mise à jour vers ISA Server 2006 EE à partir d'ISA Server 2004 EE SP2

3. Gestion de la publication sous ISA Server 2006
      3.1 Présentation des nouveaux assistants de publication
      3.2 Gestion des certificats sur les ports d'écoute Web
      3.3 Gestion de la traduction de liens dans ISA 2006
      3.4 Publication d'une ferme de serveurs Web

4. Mise en place de l'authentification dans le cadre d'une publication
      4.1 Introduction au mécanisme d'authentification
      4.2 Intégration de l'authentification basées sur les formulaires
      4.3 Implémentation de l'ouverture de session unique (SSO) sur un port d'écoute Web
      4.4 Rappels sur les différentes méthodes d'authentification intégrée à ISA 2006

5. Déploiement d'ISA Server 2006 dans un site distant
      5.1 Problématique du déploiement d'ISA Server 2004 EE dans un site distant
      5.2 Déploiement automatisé d'ISA Server 2006 SE/EE dans un site distant
      5.3 Procédure de déploiement pas-à-pas d'un serveur ISA 2006 dans un site distant
      5.4 Intégration des nouveautés du Service Pack 2 d'ISA Server 2004

6. Protection de l'accès Web et fonctionnalités de monitoring associées
      6.1 La problématique
      6.2 La réduction du flood
      6.3 Test des fonctionnalités de monitoring
      6.4 Un produit encore en version beta...

7. Conclusion
      7.1 Nos impressions sur la Beta1 d'ISA Server 2006
      7.2 Que pouvons-nous attendre pour l'avenir ?



En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

Tips

Donner des priorites a vos emails sous Outlook 2007

Vous trouvez que Powershell est long a démarrer?

Import Export automatique d''informations de la base de registre

Activer Windows Server 2008 Edition Core

Modifier la clé produit sur Windows Server 2008 Edition Core

Tous les tips Réagir à un tips dans le Forum