Skip to main content

Découvrez ISA 2004

Par Stanislas Quastana

Sur cette page

Q : ISA EE et ISA SE, vous pourriez repositionner les produits ?Q : ISA EE et ISA SE, vous pourriez repositionner les produits ?
Q : pouvons nous utiliser ISA comme d'un routeur à 3 pâtes?Q : pouvons nous utiliser ISA comme d'un routeur à 3 pâtes?
Q : J'ai récemment installé pour test, ISA 2004 sur un serveur Windows 2003 avec trois carte réseau (1 WAN et2 LANs) et j'ai découvert un produit remarquable et très efficace. Pour faciliter l'administration des règles, y a t il des 'templates' complémentaires ?Q : J'ai récemment installé pour test, ISA 2004 sur un serveur Windows 2003 avec trois carte réseau (1 WAN et2 LANs) et j'ai découvert un produit remarquable et très efficace. Pour faciliter l'administration des règles, y a t il des 'templates' complémentaires ?
Q : Est ce que ISA 2004 est disponible de manière packagé (comme Checkpoint avec les boites Nokia) ?Q : Est ce que ISA 2004 est disponible de manière packagé (comme Checkpoint avec les boites Nokia) ?
Q : Avons nous des détails sur les parties du NLB win2003 MAJ par ISA EE ?Q : Avons nous des détails sur les parties du NLB win2003 MAJ par ISA EE ?
Q : Est ce qu'il aura des Features Pack (ajout de nouvelle fonctionnalité, filtre etc) comme ça été le cas dans ISA 2000Q : Est ce qu'il aura des Features Pack (ajout de nouvelle fonctionnalité, filtre etc) comme ça été le cas dans ISA 2000
Q : ISA en tant que Proxy haute dispo avec EE : faut-il utiliser CARP ou le NLB ? Q : ISA en tant que Proxy haute dispo avec EE : faut-il utiliser CARP ou le NLB ?
Q : Si ISA en DMZ (EE ou STD) comme dernier Proxy cache, quid de la config DNS pour les performances. Y a t-il des préconisations ? (service installé en local pour cache, DNS provider, ...)Q : Si ISA en DMZ (EE ou STD) comme dernier Proxy cache, quid de la config DNS pour les performances. Y a t-il des préconisations ? (service installé en local pour cache, DNS provider, ...)
Q : SI 3 cartes (LAN pour le Proxy, et WAN pour le reste, et la troisième pour le NLB) sur chaque serveur ISA, et 2 serveurs ISA EE... peut-on faire du NLB en même temps ? Quid des échanges 'heart beat' entre les machines. Pas de problèmes ?Q : SI 3 cartes (LAN pour le Proxy, et WAN pour le reste, et la troisième pour le NLB) sur chaque serveur ISA, et 2 serveurs ISA EE... peut-on faire du NLB en même temps ? Quid des échanges 'heart beat' entre les machines. Pas de problèmes ?
Q : si je propose a un client 2 ISA EE, est-ce que ça veux dire que je peux faire du NLB sur l'IP 'Internet' (revers Proxy, ou autre flux entrant) et sur la carte l'IP LAN (IP) ? ou faut-il faire 2 ISA en EE/NLB pour (...)Q : si je propose a un client 2 ISA EE, est-ce que ça veux dire que je peux faire du NLB sur l'IP 'Internet' (revers Proxy, ou autre flux entrant) et sur la carte l'IP LAN (IP) ? ou faut-il faire 2 ISA en EE/NLB pour (...)
Q : Si Carp+NLB, ISA utilise quelle carte pour CARP .. la LAN, la WAN, ou la carte pour le NLB ? il y a un intert a lui faire utiliser (on peut imaginer qu'elle est moins chargee)Q : Si Carp+NLB, ISA utilise quelle carte pour CARP .. la LAN, la WAN, ou la carte pour le NLB ? il y a un intert a lui faire utiliser (on peut imaginer qu'elle est moins chargee)
Q : quelles sont les méthodes de cryptage utilisés pour le VPN ?Q : quelles sont les méthodes de cryptage utilisés pour le VPN ?
Q : je viens d'installer le ISA 2OO4 EE et j'ai quelques problèmes... je souhaite que mon ISA redirige les requêtes HTTP vers un proxy. J’ai sur les conseils de Stanislas dans un premier temps configuré l'upstream ... puis désactiver la résolution DNSQ : je viens d'installer le ISA 2OO4 EE et j'ai quelques problèmes... je souhaite que mon ISA redirige les requêtes HTTP vers un proxy. J’ai sur les conseils de Stanislas dans un premier temps configuré l'upstream ... puis désactiver la résolution DNS
Q : On pouvait installer le client Firewall sur un serveur ISA en version 2000! Ceci ne semble plus possible en 2004. Cela était parfois pratique pour accéder à Internet sur un serveur ISA (dont les services étaient arrêtés) par l'intermédiaire d'un autre ISA!Q : On pouvait installer le client Firewall sur un serveur ISA en version 2000! Ceci ne semble plus possible en 2004. Cela était parfois pratique pour accéder à Internet sur un serveur ISA (dont les services étaient arrêtés) par l'intermédiaire d'un autre ISA!
Q : Quid Win2003 SP1 .. Impact sur ISA 2004 ?Q : Quid Win2003 SP1 .. Impact sur ISA 2004 ?
Q : Que répondre à l'accusation formulée par le couple ISA Server-Windows 2003 qui s'appuie sur les forces et les faiblesses de W2K3 et de l'absence d'indépendance des briques logicielles?Q : Que répondre à l'accusation formulée par le couple ISA Server-Windows 2003 qui s'appuie sur les forces et les faiblesses de W2K3 et de l'absence d'indépendance des briques logicielles?
Q : Le service pack 1 de Windows 2003 est sorti, une fois installer et configurer avec l'assistant de configuration de sécurité. Est ce qu’il apporte des améliorations de performance ?Q : Le service pack 1 de Windows 2003 est sorti, une fois installer et configurer avec l'assistant de configuration de sécurité. Est ce qu’il apporte des améliorations de performance ?
Q : ISA Server 2004 supporte un bon nombre de protocoles du cache CARP, ICP,HTCP, cache Digest etc. mais dans des scénarios moins complexes (réseau interne,réseau externe), est ce que ISA 2004 offre des performances supérieures à ISA 2000?Q : ISA Server 2004 supporte un bon nombre de protocoles du cache CARP, ICP,HTCP, cache Digest etc. mais dans des scénarios moins complexes (réseau interne,réseau externe), est ce que ISA 2004 offre des performances supérieures à ISA 2000?
Q : J'ai un problème avec ISA en liaison avec Exchange, Je reçois les Email sur mon serveur publié, mais impossible de les émettre. Comment connecter le connecteur Exchange sur ISA pour permettre l'expédition d’Email?Q : J'ai un problème avec ISA en liaison avec Exchange, Je reçois les Email sur mon serveur publié, mais impossible de les émettre. Comment connecter le connecteur Exchange sur ISA pour permettre l'expédition d’Email?
Q : Sous win 2000 et win XP, il y a un problème avec le NAT lorsqu'on fait du VPN L2TP/IPSec. Il est obligatoire de mettre une MAJ pour passer en NAT-T. Est-ce gérer en natif par win 2k3 ? Est-ce bien gérer par ISA Server ?Q : Sous win 2000 et win XP, il y a un problème avec le NAT lorsqu'on fait du VPN L2TP/IPSec. Il est obligatoire de mettre une MAJ pour passer en NAT-T. Est-ce gérer en natif par win 2k3 ? Est-ce bien gérer par ISA Server ?
Q : Pour sécuriser l'accès à Internet, et en particulier un serveur Exchange 2003 avec ISA2004, quelle est la meilleure architecture à adopter ? Faut-il une DMZ réalisée par ISA2K4 avec Exchange à l'intérieur, ou y a t il des meilleures solutions ?Q : Pour sécuriser l'accès à Internet, et en particulier un serveur Exchange 2003 avec ISA2004, quelle est la meilleure architecture à adopter ? Faut-il une DMZ réalisée par ISA2K4 avec Exchange à l'intérieur, ou y a t il des meilleures solutions ?
Q : et dans ce cas, il faut juste mettre ISA en bastion ou alors créer une DMZ avec deux firewall basiques et mettre ISA dans la DMZ pour qu'il s'occupe du filtrage et qu'il accède à Exchange ?Q : et dans ce cas, il faut juste mettre ISA en bastion ou alors créer une DMZ avec deux firewall basiques et mettre ISA dans la DMZ pour qu'il s'occupe du filtrage et qu'il accède à Exchange ?
Q : je n'ai pas encore l'infra. Il est donc recommandé de n'utiliser qu'UN seul firewall, en mode bastion ? Le fait de ne pas avoir de DMZ n'est-il pas gênant ? L'idée est peut être difficile à faire passer au personnel IT... Des arguments pour ?Q : je n'ai pas encore l'infra. Il est donc recommandé de n'utiliser qu'UN seul firewall, en mode bastion ? Le fait de ne pas avoir de DMZ n'est-il pas gênant ? L'idée est peut être difficile à faire passer au personnel IT... Des arguments pour ?
Q : OK je vois, merci. Et pour publier ensuite d'autres services, genre VPN/L2TP, SMTP..., ISA tout seul suffit (ou plusieurs ISA) alors, pas besoin d'autre firewall devant ou derrière ?Q : OK je vois, merci. Et pour publier ensuite d'autres services, genre VPN/L2TP, SMTP..., ISA tout seul suffit (ou plusieurs ISA) alors, pas besoin d'autre firewall devant ou derrière ?
Q : Une des grandes fonctionnalités d’ISA EE est le NLB donc de la haute disponibilité. Pourtant on ne peut avoir qu’un seul CSS en workgroup. Avez-vous des éléments sur une amélioration de cette « lacune » ?Q : Une des grandes fonctionnalités d’ISA EE est le NLB donc de la haute disponibilité. Pourtant on ne peut avoir qu’un seul CSS en workgroup. Avez-vous des éléments sur une amélioration de cette « lacune » ?
Q : Je souhaite mettre mes serveurs de production (AD, Exchange) dans une patte DMZ interne, et faire de filtrage RPC, HTTP avec ISA, pour 1500 postes connectéS. Est ce que ISA Server 2004 peux supporter un nombre de connexions aussi élevé avec le filtrage?Q : Je souhaite mettre mes serveurs de production (AD, Exchange) dans une patte DMZ interne, et faire de filtrage RPC, HTTP avec ISA, pour 1500 postes connectéS. Est ce que ISA Server 2004 peux supporter un nombre de connexions aussi élevé avec le filtrage?
Q : Quand on utilise l'auth OWA-based dans ISA, il faut absolument dédier un listener pour cela ? En d'autres termes, si je veux publier sur mon domaine toto.com un site Web et proposer l'auth OWA-based par ISA pour accéder à OWA, il me faut 2 IP publiques ?Q : Quand on utilise l'auth OWA-based dans ISA, il faut absolument dédier un listener pour cela ? En d'autres termes, si je veux publier sur mon domaine toto.com un site Web et proposer l'auth OWA-based par ISA pour accéder à OWA, il me faut 2 IP publiques ?
Q : Avez-vous des grosses configs de publications de WEB (revers Proxy). Chez des ISP. Sans avoir de noms, en termes de nombre de sites et config de serveurs ?Q : Avez-vous des grosses configs de publications de WEB (revers Proxy). Chez des ISP. Sans avoir de noms, en termes de nombre de sites et config de serveurs ?
Q : Le filtrage Applicatif est l'une des grandes nouveautés dans ISA Server 2004, est t'il possible avec ISA de lui dire : je veux bloquer tout genre de signature HTTP et n'autoriser que par exemple MSIE 6.0Q : Le filtrage Applicatif est l'une des grandes nouveautés dans ISA Server 2004, est t'il possible avec ISA de lui dire : je veux bloquer tout genre de signature HTTP et n'autoriser que par exemple MSIE 6.0
Q : pour le filtrage applicatif vous nous avez dit: on ne peut pas faire " tout sauf ....." Microsoft prévoit-elle quelque chose dans des features pack?Q : pour le filtrage applicatif vous nous avez dit: on ne peut pas faire " tout sauf ....." Microsoft prévoit-elle quelque chose dans des features pack?
Q : serait-il possible d'avoir une base des UUID/services gérée par MS ?Q : serait-il possible d'avoir une base des UUID/services gérée par MS ?
Q : Y a t-il des prévisions pour proposer du VPN/SSL ? ...Q : Y a t-il des prévisions pour proposer du VPN/SSL ? ...
Q : Lors de l’installation d’un ISA EE en workgroup il faut impérativement que le nom du certificat et le nom FQDN du CSS match. Y a-t-il une raison particulière à cette restriction ? Pourquoi faut-il un nom FQDN au CSS, nous sommes en workgroup ? Je n'ai pas vérifié si la restriction était dans l'aide en ligne, mais la doc d'installation pas à pas (indiqué pas stan) te le fait faire et je l'ai vériféQ : Lors de l’installation d’un ISA EE en workgroup il faut impérativement que le nom du certificat et le nom FQDN du CSS match. Y a-t-il une raison particulière à cette restriction ? Pourquoi faut-il un nom FQDN au CSS, nous sommes en workgroup ? Je n'ai pas vérifié si la restriction était dans l'aide en ligne, mais la doc d'installation pas à pas (indiqué pas stan) te le fait faire et je l'ai vérifé
Q : Pour les clients VPN et la mise en quarantaine en attente de mise à jour est-ce que ISA propose désormais des scripts prédéfinis ou bien c'est à l'administrateur de les rédiger et si oui comment?Q : Pour les clients VPN et la mise en quarantaine en attente de mise à jour est-ce que ISA propose désormais des scripts prédéfinis ou bien c'est à l'administrateur de les rédiger et si oui comment?
Q : Le filtrage RPC est très intéressant car il permet d'isoler les serveurs d'entreprise dans un réseau DMZ SERVEURS... maintenant il faut renseigner les UUID a la main, les détecter... avec EE on a un super potentiel pour protéger a faible coût l'infra (suite...)Q : Le filtrage RPC est très intéressant car il permet d'isoler les serveurs d'entreprise dans un réseau DMZ SERVEURS... maintenant il faut renseigner les UUID a la main, les détecter... avec EE on a un super potentiel pour protéger a faible coût l'infra (suite...)
Q : La mise en cache active n'est plus disponible et par défaut le cache n'est pas activé, Est ce que ISA Server 2004 ne veux plus être un serveur Cache?Q : La mise en cache active n'est plus disponible et par défaut le cache n'est pas activé, Est ce que ISA Server 2004 ne veux plus être un serveur Cache?
Q : Bonjour, Je voudrais savoir concrètement comment se positionne ISA Server2004 face aux appliances du marché qui ont la faveur des entreprises. MeQ : Bonjour, Je voudrais savoir concrètement comment se positionne ISA Server2004 face aux appliances du marché qui ont la faveur des entreprises. Me
Q : Est ce que ISA est Certifé ICSA? si non pour l'instant quel organisme a reconnu la qualité du produit?Q : Est ce que ISA est Certifé ICSA? si non pour l'instant quel organisme a reconnu la qualité du produit?
Q : La mise en cache active n'est plus disponible et par défaut le cache n'est pas activé, Est ce que ISA Server ne veux plus être un serveur Cache?Q : La mise en cache active n'est plus disponible et par défaut le cache n'est pas activé, Est ce que ISA Server ne veux plus être un serveur Cache?

Q : ISA EE et ISA SE, vous pourriez repositionner les produits ?

R : ISA Server 2004 Standard est un pare-feu, une solution de cache et un serveur VPN. Elle fonctionne sur un seul serveur sous Windows 2000 SP4 ou Windows 2003.
ISA Server 2004 Entreprise édition apporte : la tolérance de panne (via la création de ferme de serveurs), l'équilibrage de charge IP, la gestion centralisée via une console unique. ISA Server 2004 EE ne fonctionne que sur Windows 2003 Server

Q : pouvons nous utiliser ISA comme d'un routeur à 3 pâtes?

R : Oui, c’est possible. Pour compléter, ISA 2004 n'a pas de limitation en terme de nombre de réseau (sauf la limitation en terme de nombre de cartes réseaux sur la machine)

Q : J'ai récemment installé pour test, ISA 2004 sur un serveur Windows 2003 avec trois carte réseau (1 WAN et2 LANs) et j'ai découvert un produit remarquable et très efficace. Pour faciliter l'administration des règles, y a t il des 'templates' complémentaires ?

R : Non, il n'existe pas de template pour l'administration des règles. Toutefois des assistants sont là pour la création des stratégies d'accès.

Q : Est ce que ISA 2004 est disponible de manière packagé (comme Checkpoint avec les boites Nokia) ?

R : Oui, enfin nous avons des solutions pré packagées fonctionnant sous ISA 2004 Standard Edition. Une liste des appliances que j'ai référencées est disponible sur :
https://blogs.msdn.com/squasta/articles/406154.aspx
De plus, tu as la liste complète et mise à jour sur :
http://www.microsoft.com/isaserver/default.mspx

Q : Avons nous des détails sur les parties du NLB win2003 MAJ par ISA EE ?

R : ISA EE va en effet mettre se plugger au NLB natif de Windows 2003 via un mécanisme de hooks natifs du driver NLB. Cela lui permettra de gérer des affinités sur les requêtes sortantes en contrôlant la répartition via NLB. Cela permet de s'assurer qu'une requête entrante par l'un ISA ressortira bien par le même serveur ISA.

Q : Est ce qu'il aura des Features Pack (ajout de nouvelle fonctionnalité, filtre etc) comme ça été le cas dans ISA 2000

R : Oui c'est prévu prochainement.

Q : ISA en tant que Proxy haute dispo avec EE : faut-il utiliser CARP ou le NLB ?

R : Les 2 sont utilisables ensembles (déjà fait chez un client) ou séparément. L'utilisation uniquement de CARP est très bien pour la répartition de charge (au niveau du contenu du cache). L'équilibrage de charge IP est plus transparente pour les utilisateurs (pas de configuration du Proxy nécessaire)

Q : Si ISA en DMZ (EE ou STD) comme dernier Proxy cache, quid de la config DNS pour les performances. Y a t-il des préconisations ? (service installé en local pour cache, DNS provider, ...)

R : Si ton ISA est le dernier Proxy de ta topologie, il sera responsable des requêtes DNS sortantes. Il n'y a pas de topologie ou de recommandation sur les performances, car cette config est très dépendante de ton archi (forward sur les DNS de ton ISP, besoin de résolution sur un DNS local, authentification du proxy sur un domaine AD). Avec un DNS installé en local, tu auras effectivement le cache DNS pouvait éviter des requêtes de résolution sortante inutile, mais à noter que dans 60% des cas la requête sera déjà cachée par le proxy de ISA. Donc pas de recommandation, cela dépend du besoin fonctionnel. Espérant répondre à ta question..


Q : SI 3 cartes (LAN pour le Proxy, et WAN pour le reste, et la troisième pour le NLB) sur chaque serveur ISA, et 2 serveurs ISA EE... peut-on faire du NLB en même temps ? Quid des échanges 'heart beat' entre les machines. Pas de problèmes ?

R : en fait ISA EE avec l'intégration NLB activée fonctionne en mode unicast et affinité single. Avec la version actuelle de Windows 2003 Server, UNICAST exige d'avoir une interface réseau dédiée pour le trafic intra-array. Cette limitation sera limitée avec Windows 2003 Server SP1. Cela répond-il à votre question Frédéric ?

Q : si je propose a un client 2 ISA EE, est-ce que ça veux dire que je peux faire du NLB sur l'IP 'Internet' (revers Proxy, ou autre flux entrant) et sur la carte l'IP LAN (IP) ? ou faut-il faire 2 ISA en EE/NLB pour (...)

R : oui la recommandation est de faire du NLB sur tous les networks. la valeur ajoutée de Windows 2003 server et l'intégration de ISA 2004 EE avec Windows permet d'avoir de l'affinité bidirectionnelle en cas de Web publishing (on assure que le trafic venant d'un client donné va être géré par le même serveur ISA dans la ferme)

Q : Si Carp+NLB, ISA utilise quelle carte pour CARP .. la LAN, la WAN, ou la carte pour le NLB ? il y a un intert a lui faire utiliser (on peut imaginer qu'elle est moins chargee)

R : Tu peux configurer dans la MMC ISA la carte utilisée pour la comm Intra Array, donc c'est toi qui va déclarer la carte à utiliser. Tu ne pourras par contre pas la load balancer, donc dans la plupart des cas cela sera ta carte LAN.

Q : quelles sont les méthodes de cryptage utilisés pour le VPN ?

R : Pour les VPNs site à site : IPSec en mode Tunnel, PPTP, L2TP/IPSec. Pour les VPN nomades : PPTP ou L2TP/IPSec

Q : je viens d'installer le ISA 2OO4 EE et j'ai quelques problèmes... je souhaite que mon ISA redirige les requêtes HTTP vers un proxy. J’ai sur les conseils de Stanislas dans un premier temps configuré l'upstream ... puis désactiver la résolution DNS

R : Je ne comprends pas exactement ton problème actuel. C'est ici du troubleshooting à effectuer sur ta config, c'est à dire traces réseau, logs ISA, etc... Effectivement comme tu l'indiquais Stan il faudra configurer un Proxy upstream afin de lui rediriger ces requêtes. Je te conseillerai donc: 1/ de regarder les logs de ISA et vérifier qu'il reçoit bien les requêtes des clients. 2/ faire tourner un sniffer pour vérifier que les requêtes sont bien redirigées sur le proxy upstream, 3/ vérifier que ton problème n'est pas lié à un problème d'authentification sur le downstream (ISA) ou sur le upstream

Q : On pouvait installer le client Firewall sur un serveur ISA en version 2000! Ceci ne semble plus possible en 2004. Cela était parfois pratique pour accéder à Internet sur un serveur ISA (dont les services étaient arrêtés) par l'intermédiaire d'un autre ISA!

R : effectivement on ne peut plus le faire en 2004 (mais c'était déconseillé en 2000 ) la seule manière de sortir sur Internet avec un server ISA 2004 c’est de créer une règle de sortie : du réseau "local host" vers le réseau "externe"

Q : Quid Win2003 SP1 .. Impact sur ISA 2004 ?

R : Le SP1 de 2003 va amener peu de corrections à proprement parler sur ISA. Par exemple la gestion de la carte additionnelle pour une communication intra array est corrigée par le SP1 de 2003. Hors mis cela, le SP1 de 2003 n'a que très peu d'impact sur ISA.

Q : Que répondre à l'accusation formulée par le couple ISA Server-Windows 2003 qui s'appuie sur les forces et les faiblesses de W2K3 et de l'absence d'indépendance des briques logicielles?

R : Ce débat est un faux débat entretenu par des mythes tels que "un pare-feu matériel est plus résistant qu'un pare-feu logiciel", "les pare-feu sous Windows sont des passoires...". ISA Server 2004 a déjà fait ces preuves et n'a pas à rougir face aux offres concurrentes. Ce n'est pas parce que l'OS hébergeant le pare-feu (ici ISA) est un Windows que c'est non sécurisé :-) ISA Server 2004 protège en fait toutes les interfaces et donc Windows 2003 s'en trouve sécurisé (cela ne veut pas dire qu'il ne faut pas appliquer des correctifs mais c'est moins urgent). Je vous encourage à lire l'article suivant : Comparing the ISA Firewall to non-ISA Firewall Solutions ( http://www.isaserver.org/articles/2004firewallcomparisonp1.html) qui positionne très bien ISA par rapport aux autres pare-feu (en terme de fonction, licence, performances...)

Q : Le service pack 1 de Windows 2003 est sorti, une fois installer et configurer avec l'assistant de configuration de sécurité. Est ce qu’il apporte des améliorations de performance ?

R : Le SP1 de Windows 2003 apporte des améliorations de performance (environ 10%) sur la gestion SSL sur IIS lorsque la sollicitation réseau est très forte.

Q : ISA Server 2004 supporte un bon nombre de protocoles du cache CARP, ICP,HTCP, cache Digest etc. mais dans des scénarios moins complexes (réseau interne,réseau externe), est ce que ISA 2004 offre des performances supérieures à ISA 2000?

R : La réponse est oui, des améliorations en terme de performances sont notables entre 2000 et 2004. Toutes les bonnes pratiques pour optimiser une configuration ISA 2004 sont disponibles à l'adresse suivante:
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/bestpractices.mspxEn complément, un article du support sur les éléments d'optimisation pour ISA Server 2004 : Performance tuning options for Internet Security and Acceleration Server 2004
http://support.microsoft.com/kb/837572/fr-fr

Q : J'ai un problème avec ISA en liaison avec Exchange, Je reçois les Email sur mon serveur publié, mais impossible de les émettre. Comment connecter le connecteur Exchange sur ISA pour permettre l'expédition d’Email?

R : Il faut créer une règle de sortie pour le protocole SMTP (port 25 par défaut) depuis ton serveur Exchange vers L'Externe afin que le trafic des e-mails sortants soit autorisé à sortir vers Internet au travers ISA.

Q : Sous win 2000 et win XP, il y a un problème avec le NAT lorsqu'on fait du VPN L2TP/IPSec. Il est obligatoire de mettre une MAJ pour passer en NAT-T. Est-ce gérer en natif par win 2k3 ? Est-ce bien gérer par ISA Server ?

R : Le NAT-T est effectivement géré nativement par Windows 2003 Server, et est très bien géré par ISA. Le NAT-T va être une encapsulation UDP des flux IPSec afin de pouvoir passer des périphériques faisant du NAT. Il faudra que le client & le serveur gèrent ce NAT-T. C'est donc une problématique générale est non spécifique à ISA ou à Windows 2003 mais à IPSec et au NAT...

Q : Pour sécuriser l'accès à Internet, et en particulier un serveur Exchange 2003 avec ISA2004, quelle est la meilleure architecture à adopter ? Faut-il une DMZ réalisée par ISA2K4 avec Exchange à l'intérieur, ou y a t il des meilleures solutions ?

R : Le plus simple, et recommandé, consiste à laisser le serveur Exchange sur le LAN interne et à le publier sur ISA (OWA ou RPC sur HTTP).

Q : et dans ce cas, il faut juste mettre ISA en bastion ou alors créer une DMZ avec deux firewall basiques et mettre ISA dans la DMZ pour qu'il s'occupe du filtrage et qu'il accède à Exchange ?

R : Tout dépend de l'existant. ISA peut faire office de firewall unique s'il n'y en a pas, des firewalls supplémentaires n'augmenteront pas le niveau de sécurité. Si vous avez déjà une infrastructure, ISA peut être ajoutée dans la "DMZ".

Q : je n'ai pas encore l'infra. Il est donc recommandé de n'utiliser qu'UN seul firewall, en mode bastion ? Le fait de ne pas avoir de DMZ n'est-il pas gênant ? L'idée est peut être difficile à faire passer au personnel IT... Des arguments pour ?

R : OK, c'est un problème classique... Lorsque l'on publie une application (web port 80, ou SSL port 443...), les menaces actuelles concernent les attaques sur l'application publiée, pas sur les ports TCP/IP. Si trois firewalls laissent passer le port 443, l'application publiée court le même risque que si un seul firewall la protège. ISA apporte le filtrage IP et le filtrage applicatif. Il peut être considéré aujourd'hui comme la meilleure protection d'Exchange. Ajouter un firewall IP devant n'augmentera pas le niveau de sécurité..

Q : OK je vois, merci. Et pour publier ensuite d'autres services, genre VPN/L2TP, SMTP..., ISA tout seul suffit (ou plusieurs ISA) alors, pas besoin d'autre firewall devant ou derrière ?

R : Exactement. Et si besoin, ISA permet de filtrer le trafic entre plusieurs réseau (extérieur, LAN, DMZ, etc.) Un peu de lecture sur le sujet :
http://www.isaserver.org/articles/2004tales.html

Q : Une des grandes fonctionnalités d’ISA EE est le NLB donc de la haute disponibilité. Pourtant on ne peut avoir qu’un seul CSS en workgroup. Avez-vous des éléments sur une amélioration de cette « lacune » ?

R : Nous sommes au courant de cette limitation (qui en fait est lié à la technologie AD/AM pas à ISA même). Par contre, pas d'informations concernant l'évolution de ce problème. Concernant la configuration de ISA EE, je recommande fortement la lecture du guide ISA Server 2004 Enterprise Edition Configuration Guide
< http://download.microsoft.com/download/6/9/0/690d2ee7-a4e0-4c0a-80d4-1e30ebcac1de/ISA_2004_EE_Configuration_Guide.doc>

Q : Je souhaite mettre mes serveurs de production (AD, Exchange) dans une patte DMZ interne, et faire de filtrage RPC, HTTP avec ISA, pour 1500 postes connectéS. Est ce que ISA Server 2004 peux supporter un nombre de connexions aussi élevé avec le filtrage?

R : Deux très bons documents pour dimensionner le nombre de serveurs ISA en fonction de la sollicitation :
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/bestpractices.mspx et
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/ssl_performance.mspx.

Q : Quand on utilise l'auth OWA-based dans ISA, il faut absolument dédier un listener pour cela ? En d'autres termes, si je veux publier sur mon domaine toto.com un site Web et proposer l'auth OWA-based par ISA pour accéder à OWA, il me faut 2 IP publiques ?

R : Normalement oui : une adresse IP par listener. Cependant Thomas Shinder a trouvé une solution à ce problème pour utiliser 2 listeners avec 1 seule @IP : ISA Server 2004: Supporting Both Basic and Forms-based Authentication with a Single External IP Address and Web Listener
< http://www.isaserver.org/tutorials/2004pubowamobile.html>

Q : Avez-vous des grosses configs de publications de WEB (revers Proxy). Chez des ISP. Sans avoir de noms, en termes de nombre de sites et config de serveurs ?

R : J'ai un client (mais pas un ISP) qui publie (reverse Proxy) 250 sites web sur un serveur de type quadri processeurs (il n'est pas très chargé cependant)

Q : Le filtrage Applicatif est l'une des grandes nouveautés dans ISA Server 2004, est t'il possible avec ISA de lui dire : je veux bloquer tout genre de signature HTTP et n'autoriser que par exemple MSIE 6.0

R : au niveau des blocages des signatures sur le filtrage applicatif HTTP on ne peut que rajouter les signatures interdites sur la règle et on ne peut pas faire " tout sauf ....."

Q : pour le filtrage applicatif vous nous avez dit: on ne peut pas faire " tout sauf ....." Microsoft prévoit-elle quelque chose dans des features pack?

R : Oui, par contre pour l'instant rien n'est figé dans les choix mais on devrait sûrement avoir quelques choses autour de XML entre autre

Q : serait-il possible d'avoir une base des UUID/services gérée par MS ?

R : Non, par contre, il est toujours possible d'utiliser des outils comme RPCScan
http://www.securityfriday.com/tools/RpcScan.html pour lister les RPC sur une machine

Q : Y a t-il des prévisions pour proposer du VPN/SSL ? ...

R : Non cela n'est pas prévu de faire du VPN/SSL dans ISA 2004. Peut être pour la prochaine version, mais rien n'est défini pour l'instant.

Q : Lors de l’installation d’un ISA EE en workgroup il faut impérativement que le nom du certificat et le nom FQDN du CSS match. Y a-t-il une raison particulière à cette restriction ? Pourquoi faut-il un nom FQDN au CSS, nous sommes en workgroup ? Je n'ai pas vérifié si la restriction était dans l'aide en ligne, mais la doc d'installation pas à pas (indiqué pas stan) te le fait faire et je l'ai vérifé

R : OK. à mon avis ce n'est pas une obligation (bien que je n'ai pas testé). la chose importante est que la machine hébergeant les services ISA puisse "truster" le certificat serveur présenté par le CSS.

Q : Pour les clients VPN et la mise en quarantaine en attente de mise à jour est-ce que ISA propose désormais des scripts prédéfinis ou bien c'est à l'administrateur de les rédiger et si oui comment?

R : Exemple de scripts côté client pour la quarantaine
http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462&displaylang=en

Q : Le filtrage RPC est très intéressant car il permet d'isoler les serveurs d'entreprise dans un réseau DMZ SERVEURS... maintenant il faut renseigner les UUID a la main, les détecter... avec EE on a un super potentiel pour protéger a faible coût l'infra (suite...)

R : il y a un outil pour voir les UUID disponibles sur des serveurs que vous voulez publier . Il faut aller dans -> Protocol -> nouveau Protocol -> Protocol RPC -> et la vous suivez l'assistant qui va vous permettre de pointer sur un serveur et de voir ses UUID disponibles c'est l'équivalent d'un RPCDUMP (tools)

Q : La mise en cache active n'est plus disponible et par défaut le cache n'est pas activé, Est ce que ISA Server 2004 ne veux plus être un serveur Cache?

R : ISA Server 2004 se positionne comme un pare-feu avec filtrage applicatif, serveur VPN et cache. On ne met pas l'accent sur la fonctionnalité de cache qui en est une parmi les multiples fonctionnalités

Q : Bonjour, Je voudrais savoir concrètement comment se positionne ISA Server2004 face aux appliances du marché qui ont la faveur des entreprises. Me

R : Le marché des appliances est en pleine expansion et Microsoft souhaite que ISA Server 2004 prenne sa place. On encourage donc les OEMs à bâtir des solutions basées sur notre produit. Par exemple Corrent qui est spécialisé dans les appliances Checkpoint vient d'annoncer 2 appliances ISA 2004 avec de l’ASIC pour l'accélération VPN
http://www.isaserver.org/articles/2004sitetositecpv2.html C'est plutôt bon signe <:o)

Q : Est ce que ISA est Certifé ICSA? si non pour l'instant quel organisme a reconnu la qualité du produit?

R : ISA 2000 a été certifié ICSA et EAL2. ISA Server 2004 est en cours de certification EAL4+ et il est également certifié VPN basic interoperability (www.vpnc.org)

Q : La mise en cache active n'est plus disponible et par défaut le cache n'est pas activé, Est ce que ISA Server ne veux plus être un serveur Cache?

R : De plus j'ajouterais que le cache actif ne fonctionne pas. Attention, dans la version STD, l'interface existe pour le configurer, mais ca ne fonctionne pas. On n'a plus l'interface dans la version Enterprise


Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?