Conception d’un serveur proxy avec Windows server 2003 et ISA Server 2004
Auteur : Bernard PRAT - © Décembre 2008 - Reproduction interdite sans autorisation de l'auteur - contact@prat-bernard.fr
Table des matières : 2/ Installation du système Windows Server 2003 b) Le paramétrage de l’installation de Windows Server 2003 c) Installation des pilotes compatibles d) Configuration des 3 cartes réseaux e) Conception d’un câble réseau RJ45 f) Les Mises à Jours de Windows Server 2003 3/ Installation de Support Tools et Ressources Kit b) Préparation du SE de la machine pare-feu ISA server 2004 c) Installation de ISA Server Service Pack 3 d) Paramétrage des règles système et des règles d’accès DNS et Microsoft Update f) Création de la règle d’accès (http, HTTPS et FTP) vers Internet depuis Intranet
Sujet de ce document : Après ma formation de ASRI à Formeum (CCI de Nîmes), dans le cadre de mon stage au CFA de Marguerittes (Gard), et sous la direction de mon tuteur, Monsieur Fabrice RAYNAUD, j’ai mis au point un serveur proxy. Ce serveur proxy est un PC pentium 4 avec pour OS Windows Server 2003. Il a pour objectif de se placer entre l’extérieur (Internet et le routeur) du centre de formation, et l’intérieur, c'est-à-dire le réseau interne du centre de formation. Ce serveur proxy ayant pour rôle de filtrer les flux à l’aide du pare-feu ISA Server 2004, logiciel que j’ai découvert lors de la conception du serveur. Les étapes étant longues et nombreuses avant d’aboutir à une machine finie et opérationnelle, et les tutoriaux n’étant pas nombreux et très explicites, j’ai mis par écrit cette conception avec des captures d’écrans, afin que cela puisse servir de guide lors du renouvellement d’une telle opération. Un schéma du réseau informatique du CFA de Marguerittes est placé en annexe, en dernière page de ce document. Pour conserver la confidentialité du réseau informatique du CFA, bien évidement, des portions d’adresses IP et de clés sont masquées, et les noms de machines sont modifiés.
|
|
|
|||
|
|||
|
Il nous manque un câble réseau suffisamment long, qui sera connecté à la carte réseau que nous avons renommé ROUTEUR. Pour cela M. RAYNAUD m’a fourni une bobine de câble catégorie 5e, une pince à sertir et des fiches 8 voies.
Une fois Windows Server 2003 lancé, il faut procéder ensuite aux mises à jours du système via une connexion sur le site de Windows Update de Microsoft.
Dans un premier temps on peut activer le pare-feu :
Cliquer sur : Menu Démarrer > Panneau de Configuration > Pare-feu Windows.
Dans l’onglet Général cliquer sur « Activé » et cliquer sur « Ok ».
Dans un second temps il faut configurer la connexion Internet :
Pour se connecter à Internet, il faut paramétrer le navigateur Internet Explorer. On lance Internet Explorer. On clique dans Outils > Options Internet > Paramètres du réseau local > Paramètres Réseau :
- Dans « configuration automatique » il faut cocher « Détecter automatiquement les paramètres de connexion » ;
- Dans « serveur proxy » il faut cocher « Utiliser un serveur Proxy… » et mentionner pour adresse « http://monadresseproxy », pour Port « 8080 ».
Nos possédons déjà le fichier du Service Pack 2, donc nous pouvons procéder à son installation. (L’installation de SP2 contient le SP1, car les services pack sont cumulatifs). L’installation du service pack 2 de Windows Server 2003 demande un redémarrage de la machine. Il faut accepter le redémarrage.
Windows Update
Après redémarrage et connexion à la machine nous pouvons lancer le téléchargement des derniers correctifs depuis Windows Update.
Lors du lancement de Windows Update depuis le site du même nom via IE, on a droit à un avertissement lié à la sécurité renforcée d’IE qui est activée de base sur Windows serveur 2003. On peut cocher sur « Ne plus afficher ce message » et cliquer sur « Ok » pour fermer cette fenêtre.
Il faut installer l’ActiveX de Windows Update pour autoriser la vérification du poste. Valider l’acceptation de l’installation de la dernière version de Windows Update.
L’agent de Windows Update se télécharge et s’installe. En cliquant sur le bouton « Personnaliser » il est possible d’afficher la liste des correctifs manquants sur le système.
On sélectionne les correctifs souhaités et on clique sur « Installer les mises à jour ». Une fenêtre s’affiche, on clique sur « Accepter », et le système installe l’ensemble des mises à jours.
Le téléchargement de 44 mises à jours de Windows Update prend environs 40 minutes, l’une d’elle devrait être
On peut installer si besoin le Disc Windows Right Management Services 1.0 et ensuite le Disc Windows System Ressource Manager, fournis sur les 2 derniers CD du pack Windows Server 2003.
Support Tools est disponible sur le CD1 de Windows Server 2003, dans SUPPORT > TOOLS > SUPTOOLS.MSI
On double-clique sur le .MSI pour lancer l’installation. Accepter le contrat de licence. Cliquer sur « Next ». Cliquer sur « Install Now » en conservant le chemin d’installation par défaut (C:\Program Files\ Support Tools\).
Le Ressources Kit Windows Server 2003 (rktools.exe – 11.8 MB), est disponible en téléchargement sur le Download Center du site de Microsoft (version US).
Le Ressources Kit Windows Server 2003, au même titre que Support Tools (qui est destiné principalement aux administrateurs réseau, portant le nom de fichier suptools.msi), est un ensemble d’outils, de logiciels pour les administrateurs, les développeurs, permettant aussi de contrôler l’Active Directory, la politique de groupe, les registres et la sécurité de Windows Server 2003. Il est recommandé de l’installer.
A ce niveau là nous avons constitué le socle de base du serveur.
ISA serveur 2004 est un pare-feu, et joue aussi le rôle de Proxy et de serveur VPN. Créé par Microsoft et sorti durant le mois de Juillet 2004, ce logiciel apparaît pour Microsoft comme l’élément clef de sa politique de sécurité. Comparativement à la version ISA Server 2000, la version ISA Server
- 1 seul mode d’installation, alors que la version 2000 en comptait 3 (Mode cache, mode pare-feu et mode intégré) ;
- Les stratégies ISA Server 2004
- L’activation ou non de la mise en cache se paramètre dans la console de gestion, et n’est plus tributaire du mode d’installation choisi au départ ;
- L’interface a subit une refonte totale au niveau graphique, et une réelle évolution en terme d’ergonomie.
L’ancienne console MMC (Microsoft Management Console) version 2000 possède une lourde interface composée d’une arborescence compliquée et des menus mal conçus.
- La grande nouveauté de ISA Server est l’assistant graphique de configuration réseau pour le paramétrage des règles de routage/NAT entre les différents réseaux connectés au serveur ISA.
Le nouvel utilitaire de configuration de ISA Server 2004 conserve un système à 2 fenêtres. La nouvelle fenêtre de gauche est composée de 4 menus principaux :
- Surveillance ;
- Stratégie de pare-feu ;
- Réseaux privés virtuels (VPN) ;
- Configuration (composé de 4 sous-menus : Réseaux, Cache, Add-ins et Général).
Les autres options de configuration sont ensuite accessibles par le biais de la fenêtre de droite grâce à un système d’onglets très bien pensé.
|
Nous sommes donc sur la machine srvisa.LANCFAEDU.local, machine sur laquelle nous allons installer ISA Server 2004, qui va nous servir de passerelle entre le réseau interne et le monde Internet.
Entre cette machine et le monde Internet nous avons de positionné un routeur.
Petit contrôle au niveau des propriétés sur
« Favoris réseau », aller dans « Avancé > Paramètres Avancés… »
On voit dans la partie haute de la fenêtre dans « Connexions » :
- LAN
- ROUTEUR
En interface interne (LAN) on vérifie si tous les services sont cochés comme ci-dessous :
En interface externe (ROUTEUR) on va désactiver tous les clients pour les réseaux Microsoft, ainsi que tout ce qui est partage d’imprimantes et de fichiers, car on n’a pas besoin d’exposer ce type de service vers Internet. Donc on va décocher tous ces services dans la partie basse de la fenêtre, comme présenté ci-dessous.
Ainsi du côté externe on aura que les propriétés de Protocole Internet TCP/IP d’activées pour la carte nommée ROUTEUR.
Installation depuis le CD Windows Servers Applications :
ISA Server (Microsoft Internet Security & Acceleration Server 2004), comprenant :
- Le CD1 Standard Edition (August 2004),
- Le CD2 Standard Edition SP1 (May 2005),
- Le CD3 Standard Edition SP2 (April 2006).
Pour plus de facilités on copiera le contenu des CD d’installations dans un dossier du disque dur Sauvegarde D:\ de notre machine.
Après avoir accepté le contrat de licence, on entre les « informations client ». Les informations du nom d’utilisateur et de l’organisation devraient s’inscrire par défaut et correspondre aux informations rentrées précédemment lors de l’installation de Windows Server 2003.
Pour l’inscription de la licence Key, elle est automatiquement générée durant l’installation depuis celle de Windows Server 2003 (PXXX2 – DXXXD – KXXX7 – 8XXXG – FXXXT), il suffit juste de valider.
Pour le choix du type d’installation nous sélectionnerons « Personnalisée ».
Dans le choix des services à installer nous avons :
- 
Services de Pare-feu : Contrôle l’accès et le trafic entre les réseaux ;
Journalisation avancée : Correspond à l’installation du moteur de base de donnée MSDE ;
- Gestion ISA Server : Console d’administration qui permet d’administrer le serveur ;
- Partage d’installation du client de Pare-feu : Permet d’offrir une installation centralisée. Nous installerons ce composant sur le disque dur local.
- 
Filtreur de messages : Nous n’installerons pas pour le moment cette fonctionnalité. Elle pourra être installée plus tard.
Nous installerons seulement les éléments sélectionnés.
Ensuite nous définissons le réseau interne. Le réseau interne est l’ensemble des classes d’adresses IP qui sont utilisées dans l’entreprise au sein du réseau local.
On clique sur ajouter.
- Soit on donne la plage d’adresse IP
( de XXX.XXX.XXX.XXX à XXX.XXX.XXX.XXX ) ;
- Soit on clique sur « Sélectionner la carte réseau », fonction qui permet d’obtenir les plages d’adresses depuis les tables de routages de Windows en cochant les cartes réseaux.
Nous nous contenterons de taper la plage d’adresses locales dans la partie gauche de la fenêtre, en donnant les adresses de début et de fin. Dans notre cas, cette plage d’adresses IP est de 10.10.XXX.XXX à 10.10.XXX.XXX
On clique sur « Ajouter > », notre plage s’affiche en partie droite de la fenêtre, puis on clique sur « Ok ». On clique sur « Suivant ».
Une case à cocher est proposée. En la cochant on autorise les ordinateurs exécutants des versions antérieures précédentes du logiciel client de pare-feu à se connecter. On n’a pas besoin de cocher cette case si on a une infrastructure neuve avec les derniers produits. Dans le cas contraire on peut la cocher. On clique sur « Suivant ».
Un message nous indique que des services vont être redémarrés, voir désactivés.
Les services tels que IIS et SNMP vont être arrêtés.
Il est précisé que si ICF (Pare-feu de connexion Internet) et ICS (partage de connexion Internet sont activés, ils vont être désactivés.
On clique sur « Suivant ».
On clique enfin sur « Installer ».
Cette installation peut prendre quelques minutes, cela dépend de la puissance de notre machine. L’installation se fait en 3 étapes :
- L’installation des composants de base (création de l’espace de stockage d’ISA Server, création des services, …) ;
- Les composants supplémentaires (par exemple le filtreur de messages sur le protocole HTTP ou le protocole SMTP) ;
- L’initialisation du système.
L’installation est terminée. Nous pouvons cocher la case afin de lancer directement la console ISA Server à la fermeture de l’assistant d’installation, et cliquer le bouton « Terminer ».
A ce stade, le logiciel ISA Server est opérationnel.
Nous allons fermer ISA Server, et le mettre à jours :
Nous avons eu de fourni sur CD-Rom les SP1 et SP2 de ISA Server, et nous les avons installé.
Il faut aussi télécharger sur le site de Microsoft le Service Pack 3 de ISA Server nommé :
ISA2004SE-KB924406-x86-FRA.msp
Ensuite il faut l’installer en double cliquant sur le fichier d’installation.
L’installation des Services Pack nécessite le redémarrage de la machine les recevant.
La prochaine étape consiste à permettre que notre machine puisse accéder à Microsoft Update. ISA Server refuse tout le trafic par défaut pour tous les utilisateurs, par conséquent nous devons créer les règles adéquates.
Mais avant cela il faudra paramétrer aussi les règles systèmes, et vers le DNS.
Auteur : Bernard PRAT - © Décembre 2008 - Reproduction interdite sans autorisation de l'auteur - contact@prat-bernard.fr
Lors de cette étape, après avoir paramétré ISA Server, en lui définissant de nouvelles règles de pare-feu, nous pourrons la mettre à jour avec les derniers correctifs de sécurité.
On lance ISA Server.
Dans la colonne de gauche on se place sur Stratégie de Pare-Feu. La partie centrale comporte un onglet portant le nom de « Stratégie de Pare-feu ».
La première et seule règle de stratégie de pare-feu existante par défaut sur ISA Server (visible en partie centrale, « tout le trafic est refusé depuis tout le réseau à destination de tous les réseaux ».
Il faut que les flux DNS depuis notre serveur SRVISA soient bien sûr ouverts et puisse envoyer des requêtes DNS vers le fournisseur d’accès.
L’objectif est de dire au serveur DNS « Si tu ne sais pas résoudre les noms que je te demande, alors vas les demander aux serveurs qui sont hébergés par le fournisseur d’accès. »
On va créer de nouveaux objets en déployant le volet de droite de la « Boîte à outils ». On va sur « Objets de réseau », on clique sur « Nouveau > Ordinateurs ».
Une fenêtre nommée « Nouvel élément de règle d’ordinateur ». On indique les éléments suivants :
- Nom : Carte Externe ROUTEUR
- Adresse IP de l’ordinateur : 10.11.XXX.XXX
Le champ description est facultatif, on le laissera vide.
On clique sur « Ok ».
Un volet au dessus s’est déployé, proposant d’Appliquer pour « enregistrer les modifications et mettre la configuration à jour ».
ATTENTION : On ne clique pas tout de suite sur le bouton « Appliquer ».
On créé un « Nouvel élément de règle d’ordinateur ». On indique les éléments suivants :
- Nom : Carte Interne LAN
- Adresse IP de l’ordinateur : 10.10.XXX.XXX
Le champ description est facultatif, on le laissera vide.
On clique sur « Ok ».
Cette fois-ci on clique sur le bouton Appliquer du volet haut, afin d’enregistrer les modifications et mettre la configuration à jour.
Vous cliquez sur « Ok » pour fermer cette fenêtre.
On va enregistrer de la même façon un troisième ordinateur que l’on va appeler « DNS FAI 1 – Préféré », donnant l’adresse IP du serveur DNS du fournisseur d’accès Internet NEUF/CEGETEL.
On créé un « Nouvel élément de règle d’ordinateur ». On indique les éléments suivants :
- Nom : DNS FAI 1 – Préféré
- Adresse IP de l’ordinateur : 194.6.XXX.XXX
Le champ description est facultatif, on le laissera vide.
On clique sur « Ok ».
On clique sur le bouton Appliquer du volet haut, afin d’enregistrer les modifications et mettre la configuration à jour.
Vous cliquez sur « Ok » pour fermer la fenêtre qui confirme que la règle a été appliquée.
Cette fois-ci nous allons pouvoir créer une règle :
On place le curseur de la souris sur « Stratégie de Pare-feu » de la colonne de gauche. Bouton droit de la souris > Nouveau > Règle d’accès.
L’assistant de nouvelle règle apparaît.
On définit un nom assez explicite pour la règle d’accès :
- Nom de la règle d’accès : « OK DNS internes vers DNS FAI ».
On clique sur le bouton « Suivant > ».
Pour l’action de la règle on coche « Autoriser ».
On clique sur le bouton « Suivant > ».
Dans la fenêtre Protocoles, on sélectionne Protocoles sélectionnés. On clique ensuite sur « Ajouter …».
Dans la fenêtre « Ajouter des Protocoles » on clique sur « Infrastructure », et on sélectionne « DNS ». Cliquer sur « Ajouter » et « Fermer ».
Si on clique sur DNS pour regarder le détail, en allant sur « Modifier », onglet « Paramètres », on retrouve le port 53 sur les protocoles TCP et UDP.
On clique sur le bouton « Suivant > ».
Dans la fenêtre « Source de la règle d’accès », on indique quelles sont les sources d’où vont émaner le trafic.
On clique ensuite sur « Ajouter …».
Dans la fenêtre « Ajouter des entités réseau » on clique sur « Ordinateurs », et on sélectionne « Carte Externe ROUTEUR » et « Carte Interne LAN ». Cliquer sur « Ajouter » et « Fermer ».
On clique sur le bouton « Suivant > ».
On définit les destinations vers lesquelles le trafic est envoyé.
On clique ensuite sur « Ajouter …».
Dans la fenêtre « Ajouter des entités réseau » on clique sur « Ordinateurs », et on sélectionne « DNS FAI 1 – Préféré».
Cliquer sur « Ajouter » et « Fermer ».
On clique sur le bouton « Suivant > ».
Dans la fenêtre « Ensembles d’Utilisateurs » on désigne pour quels utilisateurs cette règle s’applique. Ici on laisse « Tous les utilisateurs ».
On clique sur le bouton « Suivant > ».
On clique sur le bouton « Terminer ».
On clique sur le bouton « Appliquer » du volet haut, afin d’enregistrer les modifications et mettre la configuration à jour. Puis « Ok » pour fermer la fenêtre d’application.
La nouvelle règle se place automatiquement en première position dans l’ordre de la stratégie de pare-feu.
Dans ISA Server 2004 toutes les règles sont ordonnées.
La lecture de ces règles s’effectue de la première à la dernière règle.
La première règle qui correspond à un trafic réseau va prendre en charge ce trafic réseau.
Maintenant il faut s’assurer que notre machine SRVISA, sache répondre aux requêtes DNS.
Pour contrôler que cela fonctionne correctement, on peut ouvrir une invite de commande et taper :
C:\>ping www.microsoft.com
On doit voir la résolution de requête qui se traduit par :
Envoi d’une requête sur lb1.www.ms.akadns.net [207.46.193.254] avec 32 octets de données
Délai d’attente de la demande dépassé.
…Perte 100%
Le Ping ne fonctionne pas, car au niveau de ISA Serveur seul le flux DNS est accepté. Mais la résolution de nom fonctionne parfaitement.
e) Mise à jour de la machine Pare-feu via Microsoft Update :
A ce stade notre serveur ISA 2004 est correctement patché, les mécanismes de résolution de noms sont fonctionnels et permettent de résoudre des noms sur Interne, et les règles de pare-feu ont été vérifiées et activées en fonction des besoins.
Maintenant nous pouvons mettre à jours le système Windows 2003 au travers d’Internet.
Pour cela il faut que notre navigateur Internet, ici Internet Explorer soit correctement paramétré.
Il faut lancer IE, et aller dans Outils > Options Internet > Onglet Connexions > Paramètres réseau
Sur la fenêtre « Paramètres du réseau local », aller dans la partie « Serveur proxy ».
Cocher la case « utiliser un serveur proxy pour votre réseau local (ces paramètres ne s’appliquent pas aux connexions d’accès à distance ou VPN). », et compléter :
Adresse : 10.10.XXX.XXX Port : 8080
Cocher « Ne pas utiliser de serveur proxy pour les adresses locales ».
En effet, la machine ISA n’a pas besoin d’aller chercher un proxy pour les adresses interne, mais va y aller en direct.
Et cliquer sur le bouton « Ok ».
Maintenant on va sur le site Windows Update en passant par :
Menu Démarrer > Tous les Programmes > Windows Update
Internet Explorer se lance…
A nouveau on a droit à un avertissement lié à la sécurité renforcée d’IE.
On peut cocher sur « Ne plus afficher ce message » et cliquer sur « Ok » pour fermer cette fenêtre.
Valider l’acceptation pour l’installation de la dernière version du client Windows Update.
Une fois le téléchargement et l’installation du client Windows Update cliquez sur le bouton « Personnaliser » il est possible d’afficher la liste des correctifs manquants sur le système.
Sélectionnez les correctifs souhaités et on clique sur « Installer les mises à jour ».
Une fenêtre s’affiche, on clique sur « Accepter » le contrat de licence, et le système installe l’ensemble des mises à jours.
Cliquez sur « Redémarrer » la machine pour que les mises à jour prennent effet.
On lance l’interface d’administration de ISA Server 2004.
Nous arrivons sur nos deux règles de stratégie Pare-Feu.
Pour le moment nous n’avons qu’une règle qui autorise les deux cartes réseaux (externe et interne) à communiquer avec le serveur DNS du fournisseur d’accès Internet.
Nous allons créer une nouvelle règle.
Celle-ci doit régir les protocoles HTTP, HTTPS et FTP vers Internet depuis notre Intranet.
Faites un bouton droit de la souris sur « Stratégie de pare-feu » dans le menu arborescent de notre serveur SRVISA.
Cliquez sur « Nouveau > Règle d’accès ».
L’assistant de « Nouvelle règle d’accès » apparaît…
On va appeler notre nouvelle règle « OK http, https et FTP depuis Intranet ».
On clique sur le bouton « Suivant > ».
Pour cette règle on va autoriser le trafic sous certaines conditions du réseau interne à destination du réseau externe…
On clique sur le bouton « Suivant > ».
On ne va pas bien sur autoriser tout le trafic, mais seulement les protocoles que nous allons sélectionner, donc on déroule le menu et on sélectionne « Protocoles sélectionnés ».
On clique sur le bouton « Ajouter… ».
Dans la fenêtre qui s’ouvre on sélectionne les éléments dans l’arborescence.
Dans les « Protocoles communs » on prend du :
- « HTTP » que l’on ajoute en cliquant sur le bouton « Ajouter »,
- « HTTPS » que l’on ajoute en cliquant sur le bouton « Ajouter »,
Dans « Tous les protocoles » on choisi du :
- « FTP » que l’on ajoute aussi en cliquant sur le bouton « Ajouter ».
On ferme la fenêtre « Ajouter des protocoles » en cliquant sur le bouton « Fermer ».
On clique sur le bouton « Suivant > ».
Notre règle va émaner du trafic interne, donc on clique sur le bouton « Ajouter… » pour « Ajouter une entité réseau »…
Dans la fenêtre qui s’ouvre nous sélectionnons l’élément « Interne » dans l’arborescence « Réseaux ».
On ferme la fenêtre en cliquant sur le bouton « Fermer ».
On clique ensuite sur le bouton « Suivant > ».
Notre règle concerne le trafic à destination du réseau externe.
Les réseaux externes sont tous les réseaux qui ne sont pas déclarés dans la table d’adresses locales.
On clique sur le bouton « Ajouter… » pour « Ajouter une entité réseau »…
Dans la fenêtre qui s’ouvre nous sélectionnons l’élément « Externe » dans l’arborescence « Réseaux ».
On ferme la fenêtre en cliquant sur le bouton « Fermer ».
On clique sur le bouton « Suivant > ».
Pour le moment nous faisons appliquer cette règle à tous les utilisateurs.
On pourra autoriser par la suite que des groupes d’utilisateurs définis à accéder à Internet.
Nous cliquons sur le bouton « Suivant > ».
Notre règle est définie, nous pouvons cliquer sur le bouton « Terminer ».
Nous devons cliquer sur « Appliquer » pour enregistrer et mettre à jour la configuration du Pare-feu avec notre nouvelle règle.
Notre règle « OK http, https et FTP depuis Intranet » est placée en 1re ligne dans l’ordre de nos règles de Pare-feu ISA Server.
Il ne restera plus qu’à lier notre machine proxy entre le réseau internet et externe, en le testant entre une machine type de l’interne et évaluer son comportement lors d’une connexion Internet (externe).
Nous pourrons évidement ajouter d’autres règles voir modifier les règles de notre stratégie de Pare-feu, ISA Server nous permettant de les gérer.
Auteur : Bernard PRAT - © Décembre 2008 - Reproduction interdite sans autorisation de l'auteur - contact@prat-bernard.fr
ANNEXE :
Auteur : Bernard PRAT - © Décembre 2008 - Reproduction interdite sans autorisation de l'auteur - contact@prat-bernard.fr
