Embed Size (px)
Citation preview
HAKI CONSEIL
2007/2009
RAPPORT DE STAGE DE FIN DE FORMATION TSSRI
ISTA NTIC II
Effectué durant la période du 1 Avril au 30 Mai 2009Au sein de la société HAKI CONSEIL
Réalisé par : BAYNAH Jamila
HAKI CONSEIL
DEPLOIEMENT D’UNE
SOLUTION
DE SECURITE INFORMATIQUE
(ISA SERVER)
HAKI CONSEIL
Dédicaces RemerciementsIntroductionPrésentation de HAKI CONSEILPartie théorique
IntroductionArchitecture de ISA Server
Pare-feu et sécurité Mise en cache et accélération Administration Kit de développement logiciel
Les versions de ISA Server Microsoft Proxy Server ISA 2000 ISA 2004 ISA 2006
Partie pratique Configuration minimale requise pour l’installation de ISA Server 2004Installation Exemples de configuration
Autoriser l'accès à Internet pour les clients du réseau interne
Interdire complètement l'accès à MSN Messenger Interdire l'accès à MSN Web Messenger
Conclusion
A mes chers parents
HAKI CONSEIL
A ceux qui n’ont jamais cessé de
m’encourager,
et me conseiller.
A ceux qui n’ont jamais été avares ni de leur
temps ni de leurs connaissances pour
satisfaire mes interrogations.
A ces éducateurs bien veillant, je dédie
Le fruit de ma carrière estudiantine.
A mes frères et sœurs.
En témoignage de l’amour et de l’affectation
qui nous lient.
A tous mes amis.
Jamila
HAKI CONSEIL
C’est avec un grand plaisir que je
réserve cette page en signe de gratitude et
de profonde reconnaissance à tous ceux qui
m'ont aidé de près ou de loin à la réalisation
de ce travail.
Je tiens à exprimer ma sincère
reconnaissance à tous les gens de HAKI
CONSEIL et à tous mes professeurs pour leur
précieuse assistance, leur disponibilité et
l'intérêt qu’ils ont manifesté pour ce travail
HAKI CONSEIL
Le stage est une nécessité pour l’étudiant afin d’appliquer nos connaissances, et notre savoir-faire pratique et intellectuel pour l’optimisation des aptitudes professionnelles satisfaisantes et les normes qualitatives du marché de l’emploi.
Le stage en outre est une bonne occasion pour éprouver les nouvelles techniques et méthodes de travail, de se mettre aussi à l’épreuve en terme de résolution et performance.
Le stage inclut des modalités tel que l’efficacité personnelle, la prise en compte des relations avec les collègues, le personnel d’encadrement et les clients.
Ce rapport présente tout d’abord l’entreprise.Complété par mon projet de fin d’études intitulé « Déploiement d’une solution de sécurité informatique (ISA Server) »
HAKI CONSEIL
HAKI CONSEIL
Présentation de HAKI CONSEIL
HAKI CONSEIL, société de fudiciaire comptable, d'audit et de conseil se caractérise par sa dimension humaine grâce à :
Une équipe soudée, Des compétences pluridisciplinaires, Une formation permanente de tous ses collaborateurs.
Domaine d’activité
Autour de fudiciaire comptable, des missions d'audit (commissariat aux comptes, à la fusion …), de l'externalisation comptable et sociale, HAKI CONSEIL propose à ses clients :
Conseils juridiques et sociaux, Conseil en organisation et informatique, Conseil en gestion de patrimoine, Délégation de gestion, Analyse financière - Expertise audit, Commissariat aux comptes.
Département
- Un pôle social : du traitement des paies à la gestion globale des ressources humaines d'une entreprise,
- Un pôle juridique : du secrétariat d'assemblée aux restructurations de sociétés, - Un pôle fiscal : des déclarations fiscales à l'étude personnalisée
HAKI CONSEIL
Missions
HAKI CONSEIL est une société pluridisciplinaire qui a développé des compétences complémentaires pour répondre aux besoins spécifiques de ses clients et à leur évolution.Les associés et collaborateurs privilégient une relation étroite avec les clients, quelle que soit leur taille ou la mission confiée. Ils s’investissent personnellement sur le terrain à leur côté, gage de la valeur ajoutée qu’ils apportent aux clients de la société depuis de nombreuses années.
Principaux pôles de compétence :
Fudiciaire comptable Audit Conseil
Fudiciaire comptable
Autour de la mission des comptes annuels, Le fudiciaire comptable peut se charger de toutes les missions que vous pourriez souhaiter lui déléguer, comme :
Mettre en place votre organisation comptable, Externaliser votre service comptable, Tenir ou surveiller votre comptabilité, Etablir vos paies, déclarations sociales et fiscales, Fournir les prestations juridiques dont votre entreprise a besoin, Vous assister auprès des organismes fiscaux, sociaux et financiers, Former vos collaborateurs (gestion sociale,...)
L'audit
HAKI CONSEIL remplisse des missions légales (commissariat aux comptes, commissariat aux apports et à la fusion) et intervient contractuellement :
Evaluation d'entreprises, Audit à objectifs précis : audit d'acquisition, audit social, audit
stratégique, Prise de participations, Diagnostics financiers et de procédures.
HAKI CONSEIL
Le conseil
Les évolutions réglementaires, financières, juridiques, fiscales, sociales compliquent les missions du gestionnaire, déjà très sollicité. Le rôle de conseil dans ces domaines apporte une véritable "valeur ajoutée" à leur prestation.
HAKI CONSEIL régulièrement sollicité pour les conseils les plus divers, auxquels la complémentarité des compétences de leur équipe lui permet de répondre : conseil en gestion et organisation, choix de la structure juridique la plus appropriée, élaboration de tableaux de bord, conseils en matières fiscale ou sociale ...
Exemples de missions Missions juridiques
HAKI CONSEIL charge du juridique d'un certain nombre de clients :
Constitution de sociétés, Secrétariat juridique, Opérations exceptionnelles (fusion, augmentation de capital,
etc.), Dissolution et liquidation de sociétés.
Missions sociales
Un pôle social : du traitement des paies à la gestion globale des ressources humaines d'une entreprise.
Leur rôle ne se limite pas à l'établissement des paies. HAKI CONSEIL conseille sur les embauches, les contrats, les procédures de licenciements, l'application des lois sociales.
Auprès de plusieurs clients, HAKI CONSEIL a réalisé des audits sociaux leur permettant de régulariser leurs dysfonctionnements en fonction des obligations légales ou découlant de leur convention collective.
Missions fiscales
HAKI CONSEIL
Un pôle fiscal : des déclarations fiscales à l'étude personnalisée.
Outre le conseil en matière fiscale (demande de dégrèvement, recherche d'optimalisation,…), HAKI CONSEIL vous assiste en cas de contrôles fiscaux.
Pour les particuliers, elle établisse les déclarations IRPP et ISF et est en mesure de les conseiller dans la gestion de leur patrimoine.
Informatique
HAKI CONSEIL conseille ses clients pour tous leurs investissements informatiques concernant la gestion, le social, l'organisation. Ils sont pour cela en relation avec différents partenaires, sollicités en toute liberté
HAKI CONSEIL
HAKI CONSEIL
Introduction
L’architecture de ISA Server
Microsoft Internet Security and Acceleration Server fonctionne selon différentes couches de communication pour protéger le réseau d’entreprise. Au niveau des couches de paquets, ISA Server implémente des filtres de paquets.
Cette fonctionnalité permet le filtrage par stratégies de paquets IP (Internet Protocol) et la journalisation de tous les paquets ignorés. La stratégie à appliquer peut être spécifiée soit au niveau IP, avec des protocoles IP et des adresses IP explicites, ou en fonction de critères définis à l’aide d’un protocole d’application de haut niveau.
Si les données sont autorisées à passer la couche des filtres de paquets, elles sont transmises aux services de pare-feu et du proxy Web, ou les règles ISA Server sont traitées pour déterminer si la requête doit être adressée.
ISA peut aussi mettre à disposition de clients externes des serveurs internes en toute sécurité. Vous utilisez ISA Server pour créer une stratégie de publication pour publier vos serveurs internes de manière sécurisée. La stratégie de publication, comprenant des filtres de paquets IP, des règles de publication Web ou des règles de publication serveur, ainsi que des règles de routage, détermine la manière dont les services internes sont publiés. Lorsque Microsoft ISA Server traite une requête en provenance d’un client externe, il vérifie les filtres de paquets IP, les règles de publication et les règles de routage pour déterminer si la requête est autorisée et désigner le serveur interne qui traitera la requête.
Avec ISA Server, vous pouvez créer une stratégie d’accès qui permet aux clients internes d’accéder à des hôtes Internet spécifiques. La stratégie d’accès et les règles de routage déterminent la manière dont les clients accèdent à Internet. Lorsque Microsoft ISA Server traite une requête sortante, il vérifie les règles de routage, les règles de sites et de contenus, et les règles de protocoles pour déterminer si l’accès est autorisé. Une requête est uniquement autorisée si une règle de protocole et une règle de site et de contenu autorisent toutes deux la requête et si aucune règle ne la refuse explicitement. Certaines règles peuvent être appliquées à des clients spécifiques. à moins qu’une règle ne soit explicitement autorisée, le pare-feu refuse par défaut toutes les requêtes. Dans ce cas, les clients peuvent être spécifiés par adresse IP ou par nom d’utilisateur. ISA Server traite les requêtes de manière différente, en fonction du type de client qui requiert l’objet et de la configuration de ISA Server.
Pare-feu et sécurité
Le service de pare-feu ISA Server offre une communication Internet sécurisée en empêchant les accès au réseau non autorisés. ISA Server fonctionne au niveau des couches de paquets, de circuits et d’applications pour protéger le réseau d’entreprise. La fonctionnalité du pare-feu est transparente pour les autres parties impliquées dans la communication. L’utilisateur intranet ne se rend pas compte de l’intervention du pare-feu à moins qu’il ne tente
HAKI CONSEIL
d’accéder à un service ou de visiter un site refusé par l’administrateur de ISA Server. Le serveur Web interprète les requêtes de la part de ISA Server comme si elles provenaient des applications clientes.
Le pare-feu ISA Server prend en charge de nombreux protocoles Internet, y compris HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol), IRC (Internet Relay Chat), H.323, Transparent HTTP, les technologies Windows Media, Real Audio, RealVideo, la messagerie électronique et les news. Vous pouvez facilement ajouter d’autres protocoles en définissant simplement le port (et la plage de ports secondaires dans certains cas), le type (TCP ou VDP) et la direction (entrant ou sortant). Pour des protocoles plus complexes ou pour un traitement plus sophistiqué des informations des couches d’applications, des filtres d’applications peuvent être ajoutés.
Mise en cache et accélération
Internet Security and Acceleration Server 2000 maintient à la disposition des clients un cache centralisé des objets Internet fréquemment demandés. Cela permet d’améliorer la performance du navigateur client, de diminuer le temps de réponse de l’utilisateur et de réduire la consommation de la bande passante des connexions Internet.
Lorsqu’un utilisateur requiert un site Web, le navigateur analyse l’URL. Si le nom contient des points, tel qu’un nom de domaine complet (FQDN, Fully Qualified Domain Name) ou une adresse IP, le navigateur considère la destination comme étant distante et envoie la requête HTTP à l’ordinateur ISA Server pour être traitée.
ISA Server Entreprise Edition, autorise également la mise en cache distribuée en utilisant plusieurs ordinateurs ISA Server Entreprise Edition. La distribution de la charge de cache permet une évolutivité supérieure à ce que peut fournir un serveur unique, équilibrant la charge et tolérant les pannes si un serveur cache n’est pas disponible. La mise en cache distribuée peut être implémentée avec des groupes, des chaînes ou une combinaison des deux. ISA Server Entreprise Edition, utilise le protocole CARP (Cache Array Routing Protocol), une architecture évolutive, efficace et flexible, qui permet à plusieurs serveurs d’agir en tant que cache unique sans duplication de contenu.
Administration
En utilisant un contrôle d’accès par stratégies, ISA Server offre une stratégie flexible basée sur les utilisateurs et les groupes, les protocoles clients, les calendriers, les sites, les groupes et les protocoles de contenus. Avec ISA Server Entreprise Edition, vous pouvez exploiter le service Active Directory et les stratégies à l’échelle de l’entreprise. Les administrateurs peuvent aussi créer et mettre en place une seule fois des stratégies et les distribuer globalement sur de nombreux serveurs. ISA Server comprend une interface utilisateur graphique basée sur MMC (Microsoft Management Console), avec des blocs de taches graphiques et des assistants pour les activités les plus courantes. La consignation détaillée d’événements dans des journaux, la mise en place d’alarmes, l’analyse et la création de rapports aident les administrateurs à comprendre l’état, l’utilisation et la performance du serveur.
HAKI CONSEIL
Kit de développement logiciel
ISA Server inclut un kit de développement logiciel qui comprend une documentation détaillée et des exemples de code afin d’aider les développeurs à créer des extensions pour répondre à des besoins de sécurité ou d’administration spécifiques. Le kit de développement logiciel contient des exemples et explique comment utiliser les interfaces de programmation d’applications (API, Application Programming Interface).
Les versions de ISA Server
Microsoft Proxy Server
La gamme de produit “ISA Server” trouve son origine dans le produit Microsoft Proxy Server. Microsoft Proxy Server v1.0 est sorti initialement en 3 janvier 1997, et était conçu pour fonctionner sur la plateforme Windows NT 4.0. Proxy Server v1.0 était un produit de base réalisé pour fournir un accès Internet aux clients dans un environnement réseau par TCP/IP. Bien que correctement intégré à la plateforme NT4,4 Proxy Server v1.0 n’avait que des fonctionnalités de base, et n’a existé qu’en une seule édition. Le support étendu de Proxy Server v1.0 s’est terminé le 31 mars 2002. Proxy Server v2.0 a été lancé en décembre 1997. Il incluait une meilleure intégration des comptes NT, a amélioré le support de filtrage de paquet et supporté un nombre plus importants de Protocoles réseau. Proxy Server v2.0 est sorti de sa phase de support étendu et atteint sa fin de vie le 31 décembre 2004.
ISA 2000
Le 18 mars 2001, Microsoft a lancé ISA 2000. ISA 2000 a introduit les éditions Standard et Entreprise que ISA continue à fournir. La version Entreprise fournit des fonctionnalités comme le Clustering de tolérance de pannes qui n’est pas inclus dans la version Standard. ISA 2000 requiert Windows 2000 (Toute version serveur), et fonctionnera aussi sur Windows Server 2003. En accord avec la stratégie Microsoft de cycle de vie du support, ISA 2000 est le premier produit ISA à profiter des 10 années de support : c'est-à-dire 5 années de support conventionnel et 5 années de support étendu. ISA 2000 terminera son cycle de vie le 12 avril 2011.
ISA 2004
ISA Server 2004 est paru le 8 septembre 2004. ISA 2004 introduit le support multi-réseau, la configuration intégrée des réseaux virtuels, les modèles d’authentification extensible des utilisateurs, le pare-feu au niveau de la couche « Application », le support du protocole H323, l’intégration à Active Directory, Secure NAT, la publication de serveur sécurisé et des fonctionnalités améliorées d’administration. ISA Server 2004 Entreprise Edition intègre le support d’ensembles de serveurs ISA, la tolérance de pannes intégrée, et le protocole CARP (Cache Array Routing Protocol). Une des capacités primordiales de ISA Server 2004 a été sa capacité à publier des serveurs Webs sécurisés. Par exemple, des organisations utilisent ISA Server 2004 pour publier leurs services Exchange (C'est-à-dire : OWA, RPC over HTTP,
HAKI CONSEIL
ActiveSync, OMA). En utilisant l’authentification basée sur les formulaires (FBA), ISA Server peut être utilisé pour pré-authentifier les clients web, afin que le trafic des clients non autorisés vers les serveurs publiés ne soit pas permis. Microsoft Internet Security and Acceleration Server 2004 est disponible en 2 versions, Standard et Enterprise. La version Enterprise contient des fonctions permettant d’activer des stratégies de configuration au niveau d’un ensemble de serveurs ISA, plutôt que sur des serveurs ISA Server indépendants et de répartir la charge sur plusieurs serveurs ISA. Chaque version de ISA Server nécessite une licence par processeur (La version intégrée dans Windows Small Business Server 2000/3 Premium contient la licence pour 2 processeurs) et a besoin de d’une version Windows Server 2003 Standard (32 bits) ou Enterprise (32 bits) pour son installation. Des appareils de type "Appliance" contenant Windows 2003 Appliance Edition” et “ISA Server Standard Edition » sont disponibles à partir d’une variété de partenaires Microsoft.
ISA 2006
La version actuelle de ISA Server est ISA 2006, sortie le 17 octobre 2006. ISA 2006 est conçue pour fonctionner sur les plates-formes Windows Server 2003 et Windows Server 2003 R2 (sur Windows 2000 n’est plus supporté par ISA 2006 en tant que plate-forme d’accueil). ISA 2006 est un serveur pare-feu gérant l’état des sessions (StateFull), analysant les paquets jusqu’à la couche “application”, les réseaux privés et le cache web (A la fois pour les sites web externes que pour les sites Webs internes publiés). ISA 2006 apporte de nombreuses améliorations par rapport à la version précédente, ISA 2004. Cela inclut le support de l’authentification par Secure LDAP, (LDAPS) depuis plusieurs fournisseurs LDAPs ou forêts Active Directory, le support intégré de Exchange 2007 (qui a été réintégré dans ISA 2004), le support de la publication de Microsoft SharePoint, l’authentification unique, un tableau croisé pour la traduction des liens, l’équilibrage de charges sur la publication Web (avec affinité basée sur les cookies pour les clusters intégrés NLBS) ainsi qu’un ensemble d’améliorations dans les assistants de configuration tels que l’assistant de connexion d’un bureau distant, de gestion des certificats et de traduction des liens.
HAKI CONSEIL
HAKI CONSEIL
Configuration requise pour l’installation de ISA Server 2004
processeur Pentium III 550 ou plus performant 256Mo de mémoire vive
un nombre de cartes réseaux et/ou modems adéquats
une partition ou un volume formaté avec le système de fichier NTFS et disposant de 150Mo d’espace libre (bien entendu, si vous souhaitez activer la mise en cache, il faudra disposer de plus d’espace).
un minium de deux interfaces réseau (carte réseau, modem RNIS, modem ADSL,...)
Windows Server 2003 ou Windows 2000 Server SP4
Internet Explorer 6.0 ou supérieur
Bien entendu vous devrez tenir compte du nombre de clients connectés "derrière" le serveur ISA ainsi que des fonctions que vous activerez pour ajuster le matériel de votre serveur.
HAKI CONSEIL
Installation de ISA Server 2004
1. Insérez le CD-ROM ISA Server dans le lecteur
HAKI CONSEIL
2. Dans le programme d'installation de Microsoft ISA Server, cliquez sur Installer ISA Server.
HAKI CONSEIL
HAKI CONSEIL
3. Si vous acceptez les termes et conditions du contrat de licence logicielle de l'utilisateur final, cliquez sur Continuer.
4. Entrez le numéro d'identification du produit situé sur la boîte.
HAKI CONSEIL
5. Cliquez sur Installation par défaut, Installation complète ou Installation personnalisée.
6. Définir la plage d’adresses du réseau interne
HAKI CONSEIL
HAKI CONSEIL
HAKI CONSEIL
HAKI CONSEIL
HAKI CONSEIL
Exemples de configuration
Autoriser l'accès à Internet pour les clients du réseau interne
Nous allons créer une règle autorisant l'accès à Internet (c'est-à-dire au réseau externe dans cet exemple) pour tous les clients pare-feu du réseau interne via les ports 21, 80, 443 et 1863 (le port utilisé par MSN Messenger pour la connexion et l'échange de messages).
Il faut commencer par donner le nom le plus explicite possible à la règle que l'on souhaite créer. On doit ensuite sélectionner l'action a effectuer (autoriser ou refuser). Si l'on sélectionne Refuser, la possibilité de rediriger la requête vers une page web est offerte (cela permet de faire comprendre à l'utilisateur que la page a été bloquée intentionnellement par le pare-feu et que ce n'est donc pas un problème technique). Il faut choisir le ou les ports de destination pour le(s) quel(s) la règle va s'appliquer. Dans notre exemple, tous les protocoles sont prédéfins (ce sont des éléments de stratégie présent par défaut dans le serveur) et il suffit juste d'ajouter les protocoles nommés FTP, HTTP et HTTPS à l'aide du bouton adéquat. Il est possible de définir quels sont les ports sources à l'aide du bouton Ports... Dans notre exemple nous laissons l'option par défaut qui autorise tous les ports sources (ainsi les clients pourront accéder à des sites web et à des serveurs FTP quel que soit le logiciel client utilisé).
HAKI CONSEIL
HAKI CONSEIL
L'étape suivante consiste à spécifier le réseau source et le réseau de destination. Dans notre exemple, le réseau source correspond à Interne (le réseau local de l'entreprise) et le réseau de destination correspond à Externe (Internet).
HAKI CONSEIL
Enfin on sélectionne les ensembles d'utilisateurs pour lesquels la règle entrera en action. Dans notre cas, le groupe nommé Tous les utilisateurs authentifiés est retenu. Cependant, tous les groupes de sécurité définis dans le service d'annuaire Active Directory peuvent être utilisé pour créer une règle plus fine.
HAKI CONSEIL
Une fois l'assistant terminé, la règle est inopérante. Pour que qu'elle entre en action il suffit de cliquer sur le bouton Appliquer qui apparaît au milieu de l'interface de la console de gestion ISA.
HAKI CONSEIL
Et voilà ! Tous les utilisateurs de votre réseau ont maintenant accès à Internet, et ce quel que soit leur navigateur (Internet Explorer, Safari, Firefox, Opéra,...) ou bien leur client FTP (Internet Explorer, FileZilla,...). Certains pré-requis doivent être respectés pour que tout fonctionne correctement :
Les ordinateurs clients doivent être capable de joindre un serveur DNS résolvant les noms DNS "publiques"
Les ordinateurs client doivent être configurés pour joindre le serveur ISA
Le pare-feu présent sur les ordinateurs client doit lui aussi être configuré pour autoriser l'accès à Internet
Interdire complètement l'accès à MSN Messenger
A l'instar de Windows Messenger, MSN Messenger est une application de messagerie instantanée permettant d'accroître grandement la productivité des utilisateurs (chat, vidéoconférence, échange de fichiers aisé,...). Cependant l'utilisation de ce logiciel en entreprise peut entraîner quelques dérives... Si vous souhaitez empêcher certains utilisateurs de l'utiliser, plusieurs solutions sont envisageables :
créer deux règle d'accès interdisant la communication avec le serveur messenger.hotmail.com
configurer les clients pare-feu pour empêcher MSN Messenger d'accéder au réseau
1ère méthode
Étant donné que MSN Messenger utilise plusieurs ports ou plage de ports pour mettre en oeuvre ses différents services (texte, échange de fichier, son...). La solution la plus simple reste d'interdire le port TCP 1863 qui est utilisé l'échange de messages textuels mais surtout pour la connexion initiale. Pour cela, il n'est pas nécessaire de créer un élément de stratégie, puisque le protocole MSN Messenger est prédéfini dans ISA 2004. Il suffit donc de
HAKI CONSEIL
créer une règle d'accès bloquant le protocole MSN Messenger entre le réseau Interne et lé réseau Externe et s'appliquant au bon groupe d'utilisateurs.
Cependant, une fois la règle d'accès correctement crée, tous les utilisateurs peuvent encore utiliser MSN Messenger !!! La connexion est un peu plus lente (environ 10 secondes d'écart), mais s'effectue tout de même, ce qui permet à des utilisateurs non autorisé de "chatter". Une bonne méthode dans un cas comme celui-ci, est d'utiliser un programme pour analyser les trames envoyées par le logiciel MSN Messenger afin de mieux comprendre son fonctionnement. Il existe pour cela des outils gratuits tels que le Moniteur réseau Microsoft ou bien encore Ethereal. Voici les résultats d'une analyse de trames lancée au moment où l'utilisateur clique sur le bouton Ouvrir une session...
On remarque que le logiciel (exécuté sur une machine dont l'adresse IP est 10.1.0.2) essaye de se connecter au serveur 207.46.104.20 (cette adresse correspond au FQDN messenger.hotmail.com) en utilisant le port 1863 du protocole TCP. L'opération est répétée trois fois consécutives si le serveur ne répond pas immédiatement. Ce port étant bloqué au niveau du pare-feu, la demande n'aboutie jamais. L'application essaye ensuite dans un second temps de se connecter à ce même serveur mais à l'aide du port 80 qui est normalement réservé au protocole HTTP. Ce port étant ouvert au niveau du pare-feu afin de permettre la navigation web, l'application réussi a se connecter et la session de l'utilisateur peut ensuite s'ouvrir.
Ce problème peut se résoudre à l'aide d'une règle d'accès interdisant la communication entre les machines du réseau Interne et le serveur messenger.hotmail.com. Pour cela il faut créer au préalable un élément de stratégie pointant vers l'adresse IP du serveur
HAKI CONSEIL
messenger.hotmail.com ou bien directement vers le nom de domaine pleinement qualifié messenger.hotmail.com. Il est plus judicieux d'interdire le FQDN car même en cas de modification de l'adresse IP du serveur la règle restera valide. La fenêtre ci à gauche montre les propriétés d'un élément de stratégie. Il se nomme serveur MSN Messenger et pointe vers l'adresse IP 207.46.104.20.
Une fois l'élément de stratégie correctement configuré, il suffit de créer une règle refusant les connexions au domaine messenger.hotmail.com et s'appliquant aux groupes appropriés. Bien entendu, on peut altérer la règle précédemment crée pour bloquer le port 1863 en ajoutant le protocole HTTP au protocole MSN Messenger et en précisant que la destination est serveur MSN Messenger. Cette règle va donc empêcher les paquets IP expédiés par le réseau Interne et à destination du serveur messenger.hotmail.com d'atteindre leur objectif quel que soit le port utilisé (1863 ou 80).
HAKI CONSEIL
Dans l'exemple ci-dessous les utilisateurs appartenant aux groupes Comptabilité, Production ou Recherche ne peuvent plus se connecter à l'aide du logiciel MSN Messenger.
Cette première méthode est celle qui répond le mieux à la problématique car elle demande peu de ressources et reste simple à mettre en œuvre.
HAKI CONSEIL
2ème méthode
Les clients pare-feu récupèrent à chaque démarrage une liste des logiciels autorisés ou non à accéder au réseau (lorsqu'un logiciel n'est pas mentionné dans cette liste il peut tout de même accéder au réseau). Il est possible de bloquer MSN Messenger par ce biais.
Il suffit d'ouvrir la fenêtre Paramètre du client de pare-feu située en utilisant le conteneur Général de l'arborescence de la console de gestion ISA. Cette fenêtre montre toutes les applications pour lesquelles l'accès au réseau a été configuré. Pour bloquer une application, il suffit d'ajouter une entrée correspondante au nom du processus lancé par cette application (sans son extension), puis de donner la valeur 1 au paramètre Disable. Dans notre exemple le processus utilisé par MSN Messenger est msnmsgr.exe. Il faut donc créer une entrée nommée msnmsgr.
Une fois la modification appliquée au niveau du serveur, il faut penser à redémarrer le service Agent du client de pare-feu à l'aide des commandes net stop fcwagent et net start fcwagent (ou bien en utilisant la console Services). Dès que cette opération est effectuée, le programme ne peut plus accéder au réseau et la fenêtre ci-dessous apparaît :
HAKI CONSEIL
Cette méthode est très rapide à mettre en oeuvre et est très efficace. Cependant elle possède deux inconvénients majeurs :
elle ne s'applique qu'aux clients de pare-feu (et pas aux clients SecureNAT et clients du proxy web)
elle ne permet pas d'interdire l'utilisation du logiciel à des utilisateurs donnés (tous les utilisateurs seront affectés par l'interdiction d'utilisation)
HAKI CONSEIL
Interdire l'accès à MSN Web Messenger
Une fois les logiciels MSN Messenger bloqué, les utilisateurs peuvent toujours accéder à ce service par le biais de sa version web. En effet, le site http://webmessenger.msn.com/ propose une interface reprenant la plupart des services de la version logicielle. Il peut donc s'avérer utile de bloquer l'accès à cette URL en complément de la désactivation de l'application. Pour cela il suffit de créer une règle interdisant le trafic entre le réseau interne et le domaine webmessenger.hotmail.com sur le port 80 en TCP. Bien entendu, on peut tout aussi bien bloquer l'URL http://webssenger.msn.com ou bien directement l'adresse IP (ci-contre l'ensemble de stratégie nommé sites de chat peut être utilisé pour interdire l'accès à webmessenger.msn.com).
HAKI CONSEIL
Au terme de mon stage effectue à HAKI CONSEIL, je peux dire
que j’ai eu l’occasion de toucher de plus près le domaine actif et
pratique ou j’ai mis en évidence mes connaissances théoriques.
Quand à mon intégration, elle fut facile et cela grâce à chaque
membre du service Télécom et Réseaux que je tiens à remercier
infiniment. D’autre part, j’ai pu apprendre le sens de la
responsabilité, rigueur et dynamisme.
Ces deux mois de stage m’ont donné l’occasion de découvrir
et d’apprécier le monde des Systèmes D’informations, d’ancrer les
enseignements reçus à l’ISTA NTIC II dans une réalité
professionnelle aussi complexe que stimulante mais ils m’auront
surtout permis d’acquérir une démarche de conduite de projet et
de me rendre compte des taches qui incombent à un chef de
projet.
Je souhaite que ce rapport soit en mesure de satisfaire les
membres du jury et récolter ainsi leurs félicitations.
