ISA Server 2004 : règles utilisateurs - Windows & Software
Marsh Posté le 20-09-2006 à 19:08:26
Je ne connais pas trop ISAServer, mais normalement tu peux établir des règles, et autoriser ou non des sites en fonction des groupes utilisateurs.
Marsh Posté le 20-09-2006 à 20:20:06
pouaaa pas facile sous ISA sous les yeux ... et surtout que tu donne pas ta configuration actuel.
Marsh Posté le 20-09-2006 à 20:22:02
en gros, si la seul regle d acces que vous aye c est :
"tout Libre pour tout le monde."
Il va faloir exclure ces deux personne (il y a normallement un champ d exclusion)
puis recreer une autre regle pour eux, les autorisants a aller voir uniquement ces deux sites
mais je le repete, sans la configuration actuel ni connaissant vos regles ... c est pas trop possible de repondre
Marsh Posté le 21-09-2006 à 08:28:07
mais normallement la bonne facon de fair, c est de dir que personne n a acces a rien par defaut et ensuite, on ouvre uniquement pour les personne qui ont le droits
puis on traite le cas particulier ensuite pour ces deux personnes
Marsh Posté le 21-09-2006 à 08:46:42
putin jle connaissait trop bien isa en formation!
mais la comme dis Z_cool, si il n'est pas sous les yeux..
+1 avec z_cool, on ferme tout et on ouvre apres
Marsh Posté le 21-09-2006 à 09:02:14
merci les gars pour ce debut de rép.
pour le moment isa à la config par défaut : tout fermé
j'ai ajouté une régle pour autoriser le trafic web du lan vers internet
pour evrybody
mais je ne vois pas où se fait l'exclusion
d'ailleur j'essai de tester juste autoriser tout le monde à 2 sites précis mais même ça je ne vois pas où mettre les sites
Marsh Posté le 21-09-2006 à 09:39:22
en gros, tu dois creer des Network object de type : Domaine Nams Set. Tu l appelera par exemple Sites_Libre
dedant tu y placera *.pagesjaunes.fr et *.lesitedemaboite.com
ensuite, dans les regle du Firewall tu aurra :
1 Free_Internet -> Allow : From : Inside, To : Sites_Libre for : All_Users
2 Internet access -> Allow From : Inside To: Outside For : Internet Users (tu devra le creer)
Last Default Rule ->Deny From : All network To: All Network
voila, ca c est en gros
comme vous etes partis, dans "2" : vous allez avoir All_User Except (tes deux gars)
Marsh Posté le 21-09-2006 à 12:47:30
nickel z_cool ça à l'air de marchait
ouais je debute ! je met en place isa à la place de ms proxy 2.0 c'est pour dire qu'il y a du changement lol
autre chose :
dans les paramètres avancés de ma carte externe je constate que la case "Pare feu" n'est pas coché. Est-ce une boulette de sécurité ou cela n'a pas d'importance car c'est ISA SVR qui est installé sur la bécane et qui pilote la sécurité ??
Marsh Posté le 21-09-2006 à 12:57:31
normallement ISA 2004 est lui meme un parfeu.
apres, ca depend de tes attribution d'IP sur les differente carte, et comment tu a defini Internal Network.
pour t en assurer, tu peux mettre un HUB a la sortie Extern, y connecter ton PC et tanter d attaque ton ISA depuis l exterieur.
Marsh Posté le 21-09-2006 à 13:11:18
Je confirme que ISA est aussi un pare-feu. On avait eu un soucis de serveur injoignable après un reboot parce que ce couillon de service ISA n'avait pas démarré
Marsh Posté le 26-09-2006 à 21:49:47
Bon tout ça c'est bien beau merci les gars ISA est en phase de test (plutôt concluante )
mais quand est-il de la sécurité !? Sachant que chez Cro$oft c'est pas l'apanage, enfin bon force est de constater qu'il y a du mieux c'est indeniable
la sécurité bcp sans tape mais moi j'y tiens, je récapitule ma config : ISA Svr 2004 SP1 sur un Svr Win 2003 SP1 en mode pare-feu de périmètre avec le service client VPN activé. Pour ce dernier service j'ai du faire une redirection du port 1723 TCP au niveau de mon routeur vers la carte externe de mon ISA. Pour le reste ISA fournira l'accès au réseau interne vers Internet selon mes règles de filtrages : pas de Msn, accès uniquement à tel ou tel site pour certains users. Au passge je précise que j'ai inscrit ISA au domaine de mon LAN.
questions sécurités pour les namateurs ou les consultants en sécurité (préciser dans réponse ) :
1. Est-ce que ça craint d'ouvrir le port 1723 TCP sur le routeur ?
2. La connexion des clients VPN se fait avec le protocole PPTP, est-ce suffisant (par rapport à IPSec) ?
3. J'exige le cryptage des données avec mot de passe sécurisé (pas de RADIUS) Authentification cryptée
Microsoft version 2 (MS-CHAPv2), est-ce ok ?
4. J'ai croisé l'option "carte à puce" pour la connexion, intérêt ? Efficacité ?
5. ISA en mode VPN, pourquoi plutôt que le service VPN fourni dans Windows 2003 ? Différence ?
6. Y a-t-il des trucs à savoir, des sites à consulter pour mieux gérer, optimiser la sécurité d'ISA et le RAS et VPN en particulier ?
7. Comme le suggéré Z_cool j'ai mis une worksatation derrière la carte externe mais que puis-je lancer comme utils pour "attaquer" ISA ?
8. Pour les utilisateurs d'ISA avec le service client Vpn, êtes-vous satisfait des logs ? Est-ce qu'on retrouve facilement les IP publics des clients VPN et les heures de connexions ? Cela se passe u niveau journal de sécurité il me semble...
Encore merci à tous
Marsh Posté le 27-09-2006 à 07:59:52
1- tant qu il n y a pas d exploit de la couche VPN de windows, j en vois pas
4- c est pour éviter a tes users de s authentifier, ils ont plus a retenir leur mot de passe, ils ont juste a pas oublier de ramener leur carte de la maison.
5- J ai jamais utilisé le VPN sur aucun des système (ISA ou W2003) mais je pense que le filtrage est plus fin avec ISA
7- un simple pingploter / ou simili pour voir tout les ports d ouvert.
8- Les Logs sont normalement paramétrable, on peut y mettre ce qu on veux. a mon sens, pour une meilleur sécurité, il est préférable de mettre un serveur SQL a part pour gérer les Log (si un hacker arrive a rentrer, il lui faudra aussi hacker le serveur SQL pour effacer ses traces)
Pour ce qui est de la sécurité en général de ISA, je sais pas trop quoi dir, dans la formation que j ai eu, ils en disaient beaucoup de bien, une bonne partie de la couche réseau de Windows passe en second plan derriere la couche de ISA. Et a ma connaissance, il n y a jamais eu de rapport d alerte sécurité relative a ISA.
Marsh Posté le 27-09-2006 à 13:02:58
merci encore z_cool
si quelqu'un d'autre, un utilisateur expérimenté d'ISA, pouvait également donner son avis ?
Marsh Posté le 20-09-2006 à 18:42:05
J'ai cherché sur le forum mais pas trouvé de post sur la création et le paramétrage suivant :
voilà mes users passent par ISA SVR pour naviguer sur le web
on a deux gus qui ont abusé et maintenant on me demande de leur vérrouiller l'accès web sauf pour http://www.pagesjaunes.fr et http://www.lesitedemaboite.com
evidement ces 2 là font tout pour m'empêcher de travailler donc je post en lousdé
comment puis-je faire cette règle avec ISA ??