Service IAS et pare-feu

Dans la configuration la plus courante, le pare-feu est connecté à Internet et le serveur IAS est une autre ressource intranet associée au réseau de périmètre.

Pour atteindre le contrôleur de domaine sur l'intranet, le serveur IAS peut posséder :

• une interface sur le réseau de périmètre et une interface sur l'intranet (le routage IP n'est pas activé) ;
  
  
• une interface unique sur le réseau de périmètre. Dans cette configuration, le service IAS communique avec les contrôleurs de domaine de l'intranet par l'intermédiaire d'un autre pare-feu qui relie le réseau de périmètre à l'intranet. Cette configuration est présentée dans le schéma ci-dessous.
  
  

Le pare-feu relié à Internet doit être configuré avec des filtres d'entrée et de sortie sur son interface avec Internet (et, optionnellement, sur son interface avec le réseau de périmètre) afin d'autoriser le transfert des messages RADIUS entre le serveur IAS et les clients ou proxy RADIUS sur Internet. Des filtres supplémentaires peuvent être utilisés pour permettre au trafic d'accéder aux serveurs Web, aux serveurs FTP et à d'autres types de serveurs situés sur le réseau de périmètre.

Il est possible de configurer des filtres de paquets d'entrée et de sortie distincts sur l'interface Internet et l'interface du réseau de périmètre.

Configurez les filtres de paquets d'entrée suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :

• Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1812 (0x714).
  
  Ce filtre autorise le trafic d'authentification RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1812 (numéro utilisé dans cet exemple).
  
  
• Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1813 (0x715).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813 (numéro utilisé dans cet exemple).
  
  
• (Facultatif) Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1645 (0x66D).
  
  Ce filtre autorise le trafic d'authentification RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  
• (Facultatif) Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1646 (0x66E).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  

Configurez les filtres de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :

• Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1812 (0x714)
  
  Ce filtre autorise le trafic d'authentification RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1812 (numéro utilisé dans cet exemple).
  
  
• Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1813 (0x715).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813 (numéro utilisé dans cet exemple).
  
  
• (Facultatif) Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1645 (0x66D).
  
  Ce filtre autorise le trafic d'authentification RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  
• (Facultatif) Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1646 (0x66E).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  

Configurez les filtres d'entrée suivants sur l'interface du réseau de périmètre du pare-feu pour autoriser les types de trafic ci-dessous :

• Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1812 (0x714)
  
  Ce filtre autorise le trafic d'authentification RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1812 (numéro utilisé dans cet exemple).
  
  
• Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1813 (0x715).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813 (numéro utilisé dans cet exemple).
  
  
• (Facultatif) Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1645 (0x66D).
  
  Ce filtre autorise le trafic d'authentification RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  
• (Facultatif) Adresse IP source de l'interface du réseau de périmètre du serveur IAS et port source UDP 1646 (0x66E).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur IAS aux clients RADIUS Internet. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  

Configurez les filtres de paquets de sortie suivants sur l'interface du réseau de périmètre du pare-feu pour autoriser les types de trafic ci-dessous :

• Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1812 (0x714).
  
  Ce filtre autorise le trafic d'authentification RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1812 (numéro utilisé dans cet exemple).
  
  
• Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1813 (0x715).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP par défaut utilisé par le service IAS (tel que défini dans la RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813 (numéro utilisé dans cet exemple).
  
  
• (Facultatif) Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1645 (0x66D).
  
  Ce filtre autorise le trafic d'authentification RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  
• (Facultatif) Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS et port de destination UDP 1646 (0x66E).
  
  Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur IAS. Il s'agit du port UDP utilisé par les anciens clients RADIUS.
  
  

Pour une sécurité accrue, vous pouvez utiliser les adresses IP de chaque client RADIUS qui envoie les paquets à travers le pare-feu pour définir des filtres spécifiques pour le trafic entre le client et l'adresse IP du serveur IAS sur le réseau de périmètre.

Le pare-feu relié à l'intranet doit être configuré avec des filtres d'entrée et de sortie sur son interface avec le réseau de périmètre (et, optionnellement, sur son interface avec Internet) afin d'autoriser le transfert des messages RADIUS entre le serveur IAS du réseau de périmètre et les contrôleurs de domaine de l'intranet. Des filtres supplémentaires peuvent autoriser le trafic à accéder aux serveurs Web, aux serveurs VPN et à d'autres types de serveurs situés sur le réseau de périmètre.

Il est possible de configurer des filtres de paquets d'entrée et de sortie distincts sur l'interface du réseau de périmètre et l'interface Internet.

Configurez les filtres de paquets d'entrée suivants sur l'interface du réseau de périmètre du pare-feu d'intranet pour autoriser les types de trafic ci-dessous :

• Adresse IP source de l'interface du réseau de périmètre du serveur IAS.
  
  Ce filtre autorise le trafic du serveur IAS sur le réseau de périmètre.
  
  

Configurez les filtres de sortie suivants sur l'interface du réseau de périmètre du pare-feu intranet pour autoriser les types de trafic ci-dessous :

• Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS.
  
  Ce filtre autorise le trafic vers le serveur IAS sur le réseau de périmètre.
  
  

Configurez les filtres d'entrée suivants sur l'interface intranet du pare-feu pour autoriser les types de trafic ci-dessous :

• Adresse IP de destination de l'interface du réseau de périmètre du serveur IAS.
  
  Ce filtre autorise le trafic vers le serveur IAS sur le réseau de périmètre.
  
  

Configurez les filtres de paquets de sortie suivants sur l'interface intranet du pare-feu pour autoriser les types de trafic ci-dessous :

• Adresse IP source de l'interface du réseau de périmètre du serveur IAS.
  
  Ce filtre autorise le trafic du serveur IAS sur le réseau de périmètre.