ISA 2004 et son client pare-feu

ISA 2004 et son client pare-feu - Windows & Software

Marsh Posté le 25-08-2006 à 11:02:17    

Bonjour,
 
Je travaille dans un réseau local dans lequel se trouve un serveur ISA 2004 version Entreprise. Mon réseau est divisé en deux sous réseaux: zone DMZ et réseau interne. ISA a une patte dans chaque sous réseaux car il s'agit d'un pare-feu arrière.
 
A côté de cela, mon réseau interne dispose d'une connexion directe à l'Internet (ne passant pas par ISA) passant par un routeur firewall. Mon serveur ISA passe également par ce routeur firewall pour accéder au net. Donc, mes clients ont le choix de passer soit en directe sur le routeur ou alors par ISA.
 
Par défaut, je souhaite qu'ils passent par ISA (logique). Pour cela, j'ai décidé d'utiliser le client pare-feu. Mais pour certains protocoles (FTP et telnet), j'aimerais que le client pare-feu ne prenne pas en charge les demandes et donc, il ne reste plus qu'aux users d'utiliser la ligne directe à l'Internet.
 
Mes questions:
 
1: peut-on configurer le client pare-feu pour qu'il bloque certains protocoles ce qui oblige les users à s'adresser au routeur firewall (ligne directe quoi)?
 
2: selon vous, est-ce que ma configuration est correcte? C'est-à-dire, si j'active le client pare-feu sur mes stations clientes, les demandes passeront effectivement par ISA. Si je désactive le client pare-feu, les demandes passeront en directe et ne s'adresseront pas au serveur ISA. Qu'en pensez-vous?
 
Je suis à votre écoute! Merci pour votre futur aide

Reply

Marsh Posté le 25-08-2006 à 11:02:17   

Reply

Marsh Posté le 25-08-2006 à 11:38:15    

ba perso, je bloquerais le routeur/firewall pour qu'il n accepte que des requette de ISA2004, lui est tout a fait capable de relayer les acces FTP, telnet, ...
 
sinon, si ca te plais vraiment pas, tu peux bloquer le port 80 sur ton Firewall. et avec une regle de Domain interdir de changer la valeur du proxy dans IE

Reply

Marsh Posté le 25-08-2006 à 11:44:06    

C'est pas que ca me plaît pas, c'est que j'ai un cahier des charges assez précis.
 
Je ne suis pas sûre de saisir ta seconde ligne. IE n'est qu'un détail, je modifie les paramètres de connexion pour le faire passer par ailleurs.
 
Le FTP ainsi que le telnet, je n'utilise pas de navigateur. J'utilise essentiellement un prog FTP (smartFTP) et l'invite de commande DOS pour telnet. Le but de mon étude ne concerne pas les navigateurs (ca serait bien trop facile sinon^^).

Reply

Marsh Posté le 25-08-2006 à 12:06:27    

ISA n'a pas a avoir de patte dans les 2 reseaux: dans ce cas, il bypass le FW.
Il a juste une patte en DMZ, et dans le FW, tu fais une regle qui autorise tout le monde vers ISA, et une autre qui autorise ISA vers internet ...
Sinon, ton fw ne sert a rien.
Pour le ftp, tous les client ftp autorisent de specifier un proxy

Reply

Marsh Posté le 25-08-2006 à 12:14:57    

Petite réctification: en gros, j'ai un routeur sur lequel sont connecté plusieurs sous réseaux différents bien distincts (ya un sous rés Administration, un autre Pédagogie, un autre HES, etc).
 
Donc physiquement, mon serveur ISA se trouve entre le routeur regroupant tous mes sous réseau et la zone DMZ; il en est de même pour le routeur firewall. Je sais bien que là où il est, il ne sert pas à grand chose vu que les clients peuvent passer à côté seulement je n'ai pas le choix! On me demande de la placer de cette façcon car certains clients (comme des élèves par ex) doivent passer par ISA tandis que les profs, eux, passent à côté.  
 
le serveur ISA permet d'instaurer des règles précises pour des clients, via des ports, des protocoles tandis que le firewall instaure les règles régissant la structure de la sécurité.
 
Je précise qu'après, la connexion au web est uniquement faite via le routeur firewall et non ISA. Donc ISA doit y passer au travers mais avant cela, il fait le tri pour pas laisser passer le superflu - ceux qui n'ont rien a aller sur le web par exemple.
 
Donc, ma seconde question du premier post concerne essentiellement le logiciel de client pare-feu et ses réactions lors des activations/désactivations.
 
Pour le ftp, je suis d'accord. Mais en l'occurence, le proxy ne me gêne pas, je souhaite étudier le client pare-feu.


Message édité par satsuky le 25-08-2006 à 12:19:17
Reply

Marsh Posté le 25-08-2006 à 12:31:39    

plus tu donne de detail, moins je comprens. un schema s'impose je pense
 
 
sinon, rappel toi que ISA 2004 est : Un proxy, un firewall et un routeur a lui tout seul


Message édité par Z_cool le 25-08-2006 à 12:32:36
Reply

Marsh Posté le 25-08-2006 à 13:58:48    

Voici un plan: http://www.sevenseals.ch/ModeleReseau2.jpg
 
J'espère que vous saisirez mieux. Je rappelle que je cherche à avoir votre avis concernant le client pare-feu d'ISA 2004 dans cette configuration.


Message édité par satsuky le 25-08-2006 à 14:00:26
Reply

Marsh Posté le 25-08-2006 à 14:16:53    

pourkoi veux-tu utiliser ce client absolument?? tu n'en as pas besoin ..
je ne comprend vraiment pas ..
Tu dois vendre le produit (que tu ne connais pas) ou tu as une vraie raison ??

Reply

Marsh Posté le 25-08-2006 à 14:35:59    

Bon, avec une tel configuration reseau voila ce que je ferais :
 
1- Suppression de la connexion reseau qui correspond sur l'ISA a 157.26.219.20
2- Autoriser dans le firewall que le ISA a sortir et ce quelque soit le port  
3- Gateway du proxy : 157.26.220.2
4- Gateway de tous les PC : 157.26.222.4
 
Voila, en gros comme ca,

Reply

Marsh Posté le 25-08-2006 à 14:38:09    

@ trictrac: Bon, je réexplique (je fais du mieux que je peux, dsl)
 
J'ai pris le client pare-feu comme solution car c'est celui qui me semble le plus approprié. Il gère tous les protocoles tandis que le client proxy ne gère que le FTP/HTTP/S. (il me faut une authentification donc SecureNat, on oublie).
 
Comment ai-je pensé à tout cela: en installant et activant le client pare-feu, l'ordi client est tenu de passer par ISA. Si je le désactive, le client n'est - je crois - plus tenu de passer par ISA. Déjà, me confirme-tu cela ou pas?
 
Le but de ce projet: à la base, tout le monde passe par le proxy ISA, c'est une obligation. Mais, lors de l'utilisation de certains protocoles (Telnet par ex), les demandent ne passent pas par ISA mais vont direct au Pix (des règles seront créées en conséquence!).
 
Donc, comment faire selon toi pour que de base, le client utilise le proxy ISA et que, lors d'un projet, il ait la permission de passer sur le Pix directement sans avoir besoin de triouiller la config réseau? J'ai donc pensé au client pare-feu... mais je ne sais pas si ca peut réellement marcher d'où ce sujet ici ;)
 
@ Z_cool:  
 
1- Je ne peux pas, monsieur admin tient à cette liaison. Les clients passent par ISA (qui lui fait le tri grâce aux règles d'accès). Le reste continue et se renseigne auprès du serveur DNS puis les requêtes sont envoyées.  
2- Ca c'est déjà fait :)
3- Ca aussi, c'est ok
4- Impossible, la passerelle de chaque PC doit être leur routeur personnel de chaque sous réseaux
 
Imaginez, pour aider, que le PIX ne contient que la règle permettant de sortir sur le net. Le serveur ISA lui détaille la suite en autorisant que le groupe X et pas Y. Voilà son travail. Mais à coté, je dois pouvoir autoriser certains à utiliser des protocoles sans passer le tri d'ISA car ils sont quoi qu'il en soit autorisés par Monsieur Admin (et le PIX).
 
Comprenez que ce schéma réseau, il ne vient pas de moi, on me l'a imposé. Je vous promets que je fais pas exprès, je dois adapter.

Message cité 1 fois
Message édité par satsuky le 25-08-2006 à 14:51:27
Reply

Marsh Posté le 25-08-2006 à 14:38:09   

Reply

Marsh Posté le 25-08-2006 à 14:45:26    

oui ?

Reply

Marsh Posté le 25-08-2006 à 14:56:56    

Voilà j'ai modifié au dessus :)

Reply

Marsh Posté le 25-08-2006 à 15:08:41    

satsuky a écrit :


@ Z_cool:  
 
1- Je ne peux pas, monsieur admin tient à cette liaison. Les clients passent par ISA (qui lui fait le tri grâce aux règles d'accès). Le reste continue et se renseigne auprès du serveur DNS puis les requêtes sont envoyées.  
2- Ca c'est déjà fait :)
3- Ca aussi, c'est ok
4- Impossible, la passerelle de chaque PC doit être leur routeur personnel de chaque sous réseaux
 
Imaginez, pour aider, que le PIX ne contient que la règle permettant de sortir sur le net. Le serveur ISA lui détaille la suite en autorisant que le groupe X et pas Y. Voilà son travail. Mais à coté, je dois pouvoir autoriser certains à utiliser des protocoles sans passer le tri d'ISA car ils sont quoi qu'il en soit autorisés par Monsieur Admin (et le PIX).
 
Comprenez que ce schéma réseau, il ne vient pas de moi, on me l'a imposé. Je vous promets que je fais pas exprès, je dois adapter.


1- Qu'a cela ne tienne, c est pas grave ca (faudra fair une petite table de routage sur ISA)
2- Je voulais dir ISA et seulement ISA est authorisé a sortir (et la DMZ eventuellement)
3- ok
4- ok, plus qu a modifier les routeur perso pour tout rediriger vers 157.26.222.4 (ISA)
 
et Mr Admin, tu lui explique que toutes les restrictions/authorisation se font dans l'ISA. et tu lui donne un Mot de passe pour avoir le droit de fair sont boulot ou pas.


Message édité par Z_cool le 25-08-2006 à 15:11:45
Reply

Marsh Posté le 25-08-2006 à 15:26:04    

J'ai beau lui dire, il ne veut pas virer son Pix chéri... Il ne veut pas non plus le sentir inutile (pour le moment, c'est le seul firewall et toutes les règles sont dessus, voilà pourquoi).
 
1- Faire une table de routage? Oui... maintenant que tu me le dis, j'approuve totalement. Il est vrai qu'il fera partit d'un sous réseau regroupant les routeurs Pix, r1 et lui-même. Je n'ai pas encore étudier la façon de créer une table de routage dans ISA...
2- J'aimerais bien mais pas Mr Admin. justement à cause des clients désirant accéder au web par des protocoles genre Telnet, etc.
4- Concernant cela, je ne suis pas sûre. La route par défaut, si rien d'autre ne répond, est le Pix justement. C'est pour cette raison que je comptais utiliser le client pare-feu. S'il est activé, la route est donc ISA sinon la route est le Pix.
 
Route par défaut = gateway des routeurs
 
Je sais, j'y tiens à mon client pare-feu, désolée de vous casser les pieds avec :)

Reply

Marsh Posté le 25-08-2006 à 15:39:03    

satsuky a écrit :

J'ai beau lui dire, il ne veut pas virer son Pix chéri... Il ne veut pas non plus le sentir inutile (pour le moment, c'est le seul firewall et toutes les règles sont dessus, voilà pourquoi).
 
1- Faire une table de routage? Oui... maintenant que tu me le dis, j'approuve totalement. Il est vrai qu'il fera partit d'un sous réseau regroupant les routeurs Pix, r1 et lui-même. Je n'ai pas encore étudier la façon de créer une table de routage dans ISA...
2- J'aimerais bien mais pas Mr Admin. justement à cause des clients désirant accéder au web par des protocoles genre Telnet, etc.
4- Concernant cela, je ne suis pas sûre. La route par défaut, si rien d'autre ne répond, est le Pix justement. C'est pour cette raison que je comptais utiliser le client pare-feu. S'il est activé, la route est donc ISA sinon la route est le Pix.
 
Route par défaut = gateway des routeurs
 
Je sais, j'y tiens à mon client pare-feu, désolée de vous casser les pieds avec :)


1- la table de routage n est pas specifique a ISA, c est la couche TCP/IP que tu renseigne.
2- ISA 2004 est parfaitement capable d'etre traversé par du FTP, du telnet, du P2P, je le repete, il fait Proxy et Routeur et Firewall, l avantage par rapport a un firewall standard c est que tu peux donner des autorisation par protocole par User ou groupe d utilisateur ou encors par IP.  
si je me trompe pas, le PIX c estbien le 157.26.222.2 ? dans ce cas la, en effet, ca fonction va grandement se reduire, et il faudrait plus le considerer comme un simple modem. (avec neamoins une fonction de protection de la DMZ)
 
et a defaut de nous casser les pieds, toi tu risque de te casser les dents sur une architechture bancale.

Reply

Marsh Posté le 25-08-2006 à 15:42:23    

PS, je me bas avec une fillale de ma boite justement pour configurer correctement un ISA 2004, les table de routage ont jamais ete penssé, tout a été fais a la vas comme jte pousse.
Hier j ai demandé au reponssable de la maison mere de remetre a plat le routage dans toute la filliale...
ca reponse a ete : Ca marche (par miracle), je refuse d'y retoucher quelque chose.
 
enfin bref cette petite histoire pour dir que si tu part bancale, ca s'ameliorera jamais. au contraire.


Message édité par Z_cool le 25-08-2006 à 15:43:19
Reply

Marsh Posté le 28-08-2006 à 08:42:11    

Le travail du PIX sera justement réduit puisque la majorité des règles seront configurées via ISA.
 
Quand je mentionne les protocoles, ca peut être d'autres que Telnet, FTP. Oui ISA permet d'être traversé avec ceux-ci mais rendre inutile le PIX, il le refuse catégoriquement. Bancale ou pas, je n'ai pas le choix.
 
Je dois étudier cette configuration et fournir mon avis concernant la chose ainsi que document relatant l'installation. Indiquer que c'est bancale, oh oui que je vais lui écrire en gras ;)
 
Quoi qu'il en soit, je te remercie pour ton aide.

Reply

Marsh Posté le 28-08-2006 à 08:54:53    

satsuky a écrit :

Le travail du PIX sera justement réduit puisque la majorité des règles seront configurées via ISA.
 
Quand je mentionne les protocoles, ca peut être d'autres que Telnet, FTP. Oui ISA permet d'être traversé avec ceux-ci mais rendre inutile le PIX, il le refuse catégoriquement. Bancale ou pas, je n'ai pas le choix.
 
Je dois étudier cette configuration et fournir mon avis concernant la chose ainsi que document relatant l'installation. Indiquer que c'est bancale, oh oui que je vais lui écrire en gras ;)
 
Quoi qu'il en soit, je te remercie pour ton aide.


 
 
il ne sera pas inutile, il servira toujours pour la DMZ (encore que même ça peut être supprimé et relégué a ISA) mais quoi qu il en soit il gardera la fonction de Router et d assurer le forçage de passer par ISA.
 
cela dit, il y a toujours qqe cas particuliers qui sont pas facile a gérer avec ISA, et dans ce cas la, une simple règle dans le PIX peut éviter des jours de recherche.

Reply

Marsh Posté le 28-08-2006 à 15:22:23    

Voilà, tout à fait d'accord. C'est là l'interêt de Mr Admin :)
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed