7. Conclusion
7.1 Nos impressions sur la Beta1 d'ISA Server 2006
A l'heure actuelle ISA Server 2006 se positionne plus comme
étant un "gros service pack" pour
ISA 2004 plutôt qu'un produit entièrement nouveau ! En effet toutes les
fonctionnalités de la version 2004 ont été implémentées de manière identique; et
hormis le système de publication, le non initié aura du mal à voir une
différence entre les deux produits. Cela est en partie du au fait que l'interface d'ISA
2004, excellente au demeurant, a été conservée telle quelle (aucune modification
n'a été faite dans l'arborescence par défaut).
Il est aussi dommage que certains défauts d'ISA Server 2004
que nous avions signalés dans nos précédents articles, n'aient pour l'instant
pas été corrigés ! Voici une petite liste des erreurs ergonomiques et autres
"bugs" qui restent à l'ordre du jour dans cette Beta1 :
-
Il est toujours impossible modifier à la volée plusieurs en-têtes
HTTP avec le filtre HTTP (on ne peut en modifier qu'un seul) !
-
Rien a été fait pour simplifier l'utilisation du filtre
HTTP qui est pourtant un élément très important en termes de sécurité ! Il
serait par exemple très simple de préconfigurer la liste des méthodes HTTP,
des en-têtes HTTP et des signatures logicielles les plus utilisées !
-
Toujours au niveau du filtre HTTP, il est impossible
d'autoriser UNIQUEMENT une liste de signatures HTTP (on peut seulement
bloquer certaines signatures; toutes les autres signatures étant autorisées
par défaut...)
-
La procédure pour implémenter la mise en quarantaine des
clients VPN est toujours aussi fastidieuse et Microsoft n'a intégré aucun
script de vérification de la conformité au sein d'ISA ! De plus il serait
une bonne idée de retravailler le système de quarantaine de manière à ce que
la vérification de la conformité des postes soit faite côté serveur plutôt
que côté client (à l'instar de ce que proposent certains plugins pour ISA
Server comme QSS de Frédéric Esnouf) !
-
Lors du déploiement d'ISA Server 2006 édition entreprise,
il n'est pas possible de créer à l'avance une grappe de serveurs ISA, puis
d'ajouter le premier serveur ISA dans cette grappe si il est dans un groupe
de travail et que le protocole LDAP over SSL est utilisé ! La seule solution
est de créer la grappe de serveurs durant l'installation du premier serveur
ISA de la grappe. Il est dommage que ce "bug" n'ait pas été corrigé.
-
Au niveau du filtre FTP, il serait aussi intéressant
de pouvoir configurer la liste des commandes FTP autorisées et bloquées
plutôt que de se limiter au choix entre "Accès total" et "Lecture seule".
-
Il est impossible de mettre en place une configuration
spécifique à chaque règle pour le filtreur de message SMTP (la configuration
est générale pour toute les règles).
-
La configuration des exceptions et des limites de
requêtes HTTP pour une même adresse IP par minute ne fonctionne pas (cf.
section 6.4).
-
Etc.
7.2 Que pouvons-nous attendre pour l'avenir ?
Cependant ne boudons pas notre plaisir car toutes les modifications opérées
dans cette nouvelle version
vont dans le bon sens et permettent de faciliter l'administration. On peut
notamment citer la gestion des certificats avec le système d'alerte permettant
de prévenir l'administrateur lorsqu'un certificat arrive à expiration, les nouveaux
assistants de publication ainsi que le système de gestion des flux qui permet de
se protéger contre les attaques de type DoS/DDoS. La possibilité de gérer la répartition de charge
d'une ferme de serveurs Web au niveau du serveur ISA est aussi une bonne chose.
De plus d'autres fonctionnalités devraient apparaître d'ici la
commercialisation du produit ! Certaines rumeurs font état de la gestion des
tunnels VPN / SSL pour l'accès des clients... De plus un nouveau filtre Web sera
certainement inclut dans les versions ultérieures du produit. En effet Microsoft
a récemment acquis le filtre DynaComm i:filter de la société
FutureSoft. Ce composant devrait offrir des fonctionnalités de filtrage avancées :
comme la possibilité de se protéger des sites "douteux" par le biais d'une liste
noire (URL blackilist), la
possibilité de restreindre la durée de navigation de chaque utilisateur (par exemple
limiter les utilisateurs à surfer 2 heures par jour au maximum)... Pour obtenir
plus d'informations sur ce filtre, vous pouvez consulter directement
le site de FutureSoft ou bien cette interview
sur le site de Microsoft.
Bien entendu nous vous tiendrons au courant de toutes les
évolutions d'ISA Server 2006 par le biais de notre rubrique actualités et par de
prochains articles ! :)
 Sommaire
1. Présentation du produit
1.1 Présentation d'ISA Server et bref historique
1.2 Les nouveautés offertes par ISA Server 2006
1.3 Les différentes éditions d'ISA Server 2006
1.4 L'intégration aux Appliances : un enjeu important pour l'avenir
1.5 Vers un produit plus fiable et plus complet ?
1.6 Essayez ISA Server 2006 gratuitement !
2. Déploiement d'ISA Server 2006
2.1 Configuration minimale
2.2 Installation d'ISA Server 2006 édition standard
2.3 Installation d'ISA Server 2006 édition entreprise
2.4 Les différents scénarii de mise à jour vers ISA 2006
2.5 Mise à jour vers ISA Server 2006 SE à partir d'ISA Server 2004 SE SP2
2.6 Mise à jour vers ISA Server 2006 EE à partir d'ISA Server 2004 EE SP2
3. Gestion de la publication sous ISA Server 2006
3.1 Présentation des nouveaux assistants de publication
3.2 Gestion des certificats sur les ports d'écoute Web
3.3 Gestion de la traduction de liens dans ISA 2006
3.4 Publication d'une ferme de serveurs Web
4. Mise en place de l'authentification dans le cadre d'une publication
4.1 Introduction au mécanisme d'authentification
4.2 Intégration de l'authentification basées sur les formulaires
4.3 Implémentation de l'ouverture de session unique (SSO) sur un port
d'écoute Web
4.4 Rappels sur les différentes méthodes d'authentification intégrée à ISA
2006
5. Déploiement d'ISA Server 2006 dans un site distant
5.1 Problématique du déploiement d'ISA Server 2004 EE dans un site distant
5.2 Déploiement automatisé d'ISA Server 2006 SE/EE dans un site distant
5.3 Procédure de déploiement pas-à-pas d'un serveur ISA 2006 dans un site
distant
5.4 Intégration des nouveautés du Service Pack 2 d'ISA Server 2004
6. Protection de l'accès Web et fonctionnalités de monitoring associées
6.1 La problématique
6.2 La réduction du flood
6.3 Test des fonctionnalités de monitoring
6.4 Un produit encore en version beta...
7. Conclusion
7.1 Nos impressions sur la Beta1 d'ISA Server 2006
7.2 Que pouvons-nous attendre pour l'avenir ?
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout savoir sur ISA Server 2006 (Beta1 - Codename Wolverine)
