TechNet Magazine > Accueil > Tous les numéros > 2008 > Septembre >  ISA Server : Améliorez la sécurité de la passer...
ISA Server
Améliorez la sécurité de la passerelle TS grâce à ISA Server 2006
Dr. Thomas W. Shinder et Yuri Diogenes
 
En un coup d'œil :
  • Deux scénarios utilisant la passerelle TS avec ISA Server
  • Configuration d'ISA Server 2006
  • Test et surveillance

Suite au succès d'Outlook Anywhere dans Exchange Server 2007, Windows Server 2008 offre à son tour une fonctionnalité vous permettant d'accéder à votre bureau de n'importe où, de façon sécurisée et contrôlée.
Le nouveau service de passerelle des services Terminal Server (passerelle TS) de Windows Server® 2008 offre la flexibilité des services Terminal Server de Windows® ainsi que la possibilité de se connecter à un serveur Terminal Server à partir de n'importe où via une connexion HTTP. Ce service utilise le protocole RDP (Remote Desktop Protocol) via HTTPS (SSL) pour renforcer la sécurité tout en fournissant une interface client unique pour accéder aux ressources des services Terminal Server.
Ce nouveau service de passerelle TS offre des avantages considérables à ceux qui ont besoin d'accéder à leur ordinateur à distance :
  • Il n'est pas nécessaire d'établir une session de réseau privé virtuel (VPN) avant de se connecter aux ressources internes à l'aide du RDP.
  • La sécurité est améliorée grâce à la protection d’accès réseau (NAP) et aux vérifications de sécurité Windows pour contrôler les connexions RDP.
  • Il n'est pas nécessaire d'ouvrir le port TCP 3389 entrant pour permettre une publication Web plus sécurisée via les pare-feu.
Vous pouvez utiliser Microsoft® Internet Security and Acceleration (ISA) Server 2006 pour améliorer la sécurité du service de passerelle TS tout en permettant un accès externe aux ressources internes. Vous pouvez configurer un scénario de pont SSL à SSL dans lequel ISA Server 2006 reçoit des requêtes et les transmet au service de passerelle TS interne en utilisant également le protocole HTTPS. Pendant qu'il exécute un pontage de la requête, le pare-feu ISA décrypte les communications SSL et effectue l'inspection de la couche Application.
Si le flux de protocole HTTP réussit l'inspection, la communication est à nouveau chiffrée et transférée au proxy des services Terminal Server. Si le flux de protocole échoue l'inspection, la connexion est abandonnée.

Au-delà du périmètre
Microsoft a investi beaucoup d'efforts dans la sécurité et Windows Server 2008 est la version la plus sécurisée et robuste de Windows à ce jour. Mais l'entreprise se soucie également de la façon dont les utilisateurs implémenteront ses produits et dont ils suivront les meilleures pratiques pour maintenir la sécurité de leurs environnements. Les meilleures pratiques nécessitent une approche de défense approfondie qui fournit une protection à plusieurs points d'accès, ou couches. Les couches pertinentes pour notre discussion ici sont les couches Stratégies, procédures et sensibilisation, Périmètre, Réseau interne et Hôte.
Lorsque vous autorisez des utilisateurs externes à accéder à une ressource interne via ISA Server, vous devez comprendre les limites de chaque produit impliqué. ISA Server 2006 et la passerelle TS fourniront la sécurité à la couche Périmètre, mais pour les ressources internes, vous devez avoir des stratégies en place qui autorisent ou refusent l'accès si nécessaire. Les Services de stratégie et d’accès réseau (NPAS) vous permettent de réaliser cela, en travaillant au niveau de la couche Stratégies, procédures et sensibilisation. L'accès aux ressources internes (lecteur, presse-papiers, imprimantes, etc.) est défini par les stratégies d'autorisation d'accès aux ressources de Terminal Server, qui concernent la couche Réseau interne.
Dans cet article, nous examinerons d'abord comment publier la passerelle des services Terminal Server via ISA Server 2006. Nous étendrons ensuite notre scénario de publication ISA Server 2006 pour inclure l'application de l'intégrité du client à l'aide de la Protection d'accès réseau (NAP). En utilisant NAP, nous pouvons créer des stratégies d'intégrité du client qui nous aident à contrôler l'accès à la couche Hôte.

Le premier scénario
Notre objectif est de montrer comment publier la passerelle TS via ISA Server 2006. La figure 1 résume les ordinateurs et le flux de données pendant la connexion. Dans ce scénario, nous implémentons le rôle NPS (Network Policy Server) sur la passerelle TS elle-même ; cependant, nous modifierons ceci dans le deuxième scénario, où nous utiliserons un serveur NPS central. Suivez la séquence ci-dessous pour comprendre comment les communications fonctionnent parmi les composants de la solution de publication de Passerelle TS :
Figure 1 Passerelle TS de publication via ISA Server 2006 (Cliquez sur l'image pour l'agrandir)
  1. L'utilisateur RDP externe établit la connexion. La première chose que le client doit faire est de résoudre le nom externe de la passerelle TS (dans ce cas, tsg.contoso.com). Le DNS externe résout ce nom, qui pointe sur l'adresse IP externe d'ISA Server.
  2. Un tunnel SSL est établi entre le client RDP et l'interface externe d'ISA Server. ISA Server a une règle de publication Web sur le port TCP 443 qui utilise un certificat délivré à tsg.contoso.com.
  3. Après avoir évalué la règle et vérifié que le trafic est autorisé, ISA Server enverra une requête DNS au serveur DNS interne (situé sur le contrôleur de domaine) pour résoudre le nom du serveur spécifié sur la règle de publication Web.
  4. ISA Server ouvre ensuite un tunnel SSL vers la passerelle TS et lui transmet la requête d'authentification.
  5. Le serveur de passerelle TS valide les informations d'identification de l'utilisateur et vérifie que l'utilisateur est autorisé à établir la connexion.
  6. Après s'être assuré que l'utilisateur est autorisé à établir la connexion, le service de passerelle TS reçoit les requêtes sur le port TCP 443 et transfère les paquets RDP via le port TCP 3389 (par défaut) au serveur Terminal Server interne où réside l'application (telle qu'une application CRM).
À partir de là, tout paquet envoyé par le client RDP au service de passerelle TS via ISA Server est transféré au serveur Terminal Server interne et inversement.
Il est important de mentionner que le RDP sur HTTPS en arrière-plan n'est rien de plus qu'un RDP/RPC/HTTPS. Le client RDP encapsule les communications RDP dans un en-tête RPC, qui est encapsulé par la suite avec un en-tête HTTP qui est sécurisé à l'aide de SSL (ou TLS [Transport Level Security]). Tous les composants dont vous avez besoin pour un RPC via une solution HTTPS doivent être présents. C'est pourquoi, lorsque vous installez le service du rôle de passerelle TS, il installe automatiquement le Proxy RPC sur HTTP. Pour mieux comprendre le fonctionnement de ce protocole, nous vous recommandons de lire l'article « Testing RPC over HTTP through ISA Server 2006 Part 1; Protocols, Authentication and Processing » que vous trouverez sur le blog de l'équipe ISA Server (disponible à l'adresse blogs.technet.com/isablog).
Cette implémentation nécessite Windows Server 2008 avec la passerelle des services Terminal Server installée, et cette fonctionnalité dépend du proxy RPC sur HTTP. Pour que la fonctionnalité de proxy RDP via RPC sur HTTP fonctionne, Internet Information Services (IIS) 7.0 doit être installé et en cours d'exécution. Vous avez également besoin des Services de stratégie et d’accès réseau, mais, si vous préférez, vous pouvez configurer la passerelle TS pour utiliser le serveur NPS, auparavant appelé service d'authentification Internet (IAS), pour centraliser le stockage, la gestion et la validation de stratégies d’autorisation des connexions aux services Terminal Server (TS CAP). Enfin, vous devez obtenir un certificat SSL pour le serveur de passerelle TS, si vous n'en possédez pas déjà un. Il est important de souligner qu'ISA Server 2006 doit approuver l'autorité de certification (CA) qui émet le certificat. Par conséquent, veillez à importer le certificat dans la banque d'autorités de certification racine approuvées.
Les services de domaine Active Directory® sont uniquement requis si vous configurez une stratégie d'autorisation de passerelle TS nécessitant que les utilisateurs soient membres d'un groupe de sécurité Active Directory pour se connecter au serveur de Passerelle TS. Pour cette installation particulière, nous utiliserons Active Directory sur un ordinateur exécutant Windows Server 2003 SP2.
Une fois l'installation du service de passerelle Terminal Server terminée, l'écran de la figure 2 s'affiche, présentant les composants qui ont été installés. Pour connecter la passerelle TS, les clients doivent exécuter l'un des éléments suivants : Windows Vista® ; Windows XP avec SP2 et RDP 6.0 ou ultérieur ; Windows Server 2008 ; Windows Server 2003 avec SP1 ou ultérieur et RDP 6.0 ou ultérieur. Pour plus d'informations sur la configuration de la passerelle TS, consultez l'article Guide de configuration pas à pas du serveur de passerelle TS pour Windows Server 2008 disponible à l'adresse go.microsoft.com/fwlink/?LinkId=122251. Voyons maintenant comment configurer ISA Server 2006.
Figure 2 Résumé de l'installation de la passerelle TS (Cliquez sur l'image pour l'agrandir)

Configuration d'ISA Server 2006
La première étape consiste à créer un port d'écoute Web qui traitera les requêtes à partir du client RDP externe. Notre port d'écoute Web possède les paramètres suivants :
  • Authentification : de base
  • Validation d'authentification : Windows (Active Directory)
  • Connexions : activez les connexions SSL (HTTPS) sur le port 443
  • Certificats : certificat délivré à tsg.contoso.com
  • Réseaux : externe
Ensuite, créez la règle de publication Web. Du point de vue ISA Server 2006, le client RDP utilisera le même protocole qu'Outlook® Anywhere ; par conséquent, choisissez l'Assistant Exchange Server 2007. Exécutez simplement les étapes suivantes :
  1. Cliquez avec le bouton droit sur la stratégie de pare-feu, sélectionnez Nouveau, puis cliquez sur la règle de publication d'accès client Web Exchange.
  2. Sur la page Bienvenue dans l'Assistant de création d'une nouvelle règle de publication Web, tapez le nom de la règle et cliquez sur Suivant.
  3. Sur la page Sélectionnez l'action de la règle, choisissez l'option Autoriser et cliquez sur Suivant.
  4. Sur la page Nouvelle règle de publication Exchange, sélectionnez la version d'Exchange, dans notre cas, Exchange Server 2007. Sélectionnez Outlook Anywhere (RPC/HTTP(s)) et cliquez sur Suivant. Remarque : ne sélectionnez pas l'option Publication de dossiers supplémentaires sur Exchange Server pour les clients Outlook 2007.)
  5. Sur la page Type de Publication, sélectionnez l'option Publier un seul site Web ou équilibreur de charge et cliquez sur Suivant.
  6. Sur la page Sécurité de la connexion au serveur, sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs et cliquez sur Suivant.
  7. Sur la page Informations de publication interne, dans le champ Nom de site local, tapez le nom du serveur de passerelle TS. Sélectionnez la case à cocher Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié, puis dans le champ Nom de l'ordinateur ou adresse IP, tapez le nom du serveur. Si vous ne connaissez pas le nom du serveur de passerelle TS, cliquez sur Parcourir pour accéder à son emplacement. Notez que le nom que vous utilisez sur cette page doit correspondre au nom commun ou au nom de sujet du certificat de site Web lié au site Web de passerelle TS.
  8. Sur la page Informations sur les noms publics, dans la liste déroulante Accepter les demandes pour, sélectionnez Ce nom de domaine (saisissez ci-dessous) puis, dans la zone Nom public, tapez le nom public correspondant au nom du certificat émis pour cette URL, dans notre cas, le nom était tsg.contoso.com. Ensuite, cliquez sur Suivant.
  9. Sur la page Sélectionnez le port d'écoute, cliquez sur la liste déroulante et sélectionnez le port d'écoute Web précédemment créé, puis cliquez sur Suivant.
Sur la page Délégation de l'authentification, sélectionnez l'option Pas de délégation mais le client peut s'authentifier directement, puis cliquez sur Suivant.
Sur la page Ensemble d'utilisateurs, vérifiez que l'option par défaut (Tous les utilisateurs) est sélectionnée, cliquez sur Suivant, puis sur Terminer et appliquez.
Si vous double-cliquez sur la règle et accédez à l'onglet Chemin, vous verrez que le seul chemin dont nous disposons est /rpc/*. Cela est dû au fait que nous avons utilisé l'Assistant Outlook Anywhere d'Exchange Server 2007.

Test et surveillance de l'accès client
Comme indiqué auparavant, vous avez besoin du client RDP 6.0 ou ultérieur pour vous connecter à la passerelle TS. Pour configurer l'application client RDP, lancez-la et tapez le nom du serveur Terminal Server auquel vous souhaitez vous connecter dans le champ Ordinateur. Cliquez sur le bouton Options, sur l'onglet Avancé, puis sur Paramètres, tapez ensuite le nom externe du serveur de passerelle TS, comme à la figure 3. Dans notre exemple, c'est le nom inscrit sur le certificat lié au port d'écoute Web qui est utilisé par notre règle de publication Web pour accepter les demandes entrantes. Notez que l'authentification Windows NT® LAN Manager est utilisée dans cet exemple. Lorsque vous avez terminé, cliquez sur OK, puis sur le bouton de connexion. Vous obtiendrez une invite d'authentification. Tapez les informations d'identification d'un utilisateur ayant accès au serveur Terminal Server et cliquez sur OK.
Figure 3 Configuration du client RDP (Cliquez sur l'image pour l'agrandir)
Notez que le client RDP 6.0 (pour Windows XP et Windows Server 2003) affichera l'écran de la figure 3. Vous serez invité à entrer des informations d'authentification deux fois, la première authentification est pour l'ordinateur de passerelle TS et la deuxième est pour le serveur Terminal Server auquel vous souhaitez accéder. C'est un point important car, si vous pouvez penser que cela est dû à la configuration ISA Server, en fait l'ISA Server ne gère pas l'authentification puisque la règle de Publication Web s'applique à « Tous les utilisateurs », ce qui autorise des connexions anonymes via le pare-feu ISA.
Le client RDP qui est fourni avec Windows Server 2008 dispose de l'option Utiliser les informations d’identification de passerelle Terminal Server pour l’ordinateur distant, comme illustré à la figure 4. Lorsque cette option est sélectionnée, vous n'avez pas besoin de taper vos informations d'identification deux fois, ce qui se traduit par une meilleure expérience utilisateur. Cette option d'authentification unique est également disponible sous Windows Vista après application du SP1.
Figure 4 Le client RDP de Windows Server 2008 (Cliquez sur l'image pour l'agrandir)
Vous pouvez contrôler la connexion via le Gestionnaire de passerelle TS, en utilisant l'option de surveillance. Le service de passerelle TS fournit également des informations lorsqu'un utilisateur non autorisé essaie de se connecter au serveur. À la figure 5, l'Observateur d'événements affiche une tentative de connexion à partir d'un utilisateur qui n'a pas l'autorisation de se connecter via la passerelle TS.
Figure 5 Evénement enregistré dans le service de passerelle TS (Cliquez sur l'image pour l'agrandir)
Pour cet événement, l'adresse IP interne d'ISA Server 2006 est enregistrée parce que l'option Les demandes semblent émaner du serveur ISA est activée dans la règle de publication Web. Si vous souhaitez enregistrer l'adresse IP originale du client, vous devrez modifier la règle de publication ISA Server Web 2006 et choisir l'option Les demandes semblent émaner du client d'origine dans l'onglet À.

Surveillance à partir d'ISA Server
Grâce aux nouvelles fonctionnalités du Pack de prise en charge ISA Server 2006, il est possible d'examiner attentivement et de comprendre chaque connexion au réseau interne. La figure 6 présente une connexion en surbrillance et, sur la ligne Demande :, l'expression RPC_IN_DATA indiquant l'URL du Proxy RPC sur HTTP.
Figure 6 Journalisation ISA Server 2006 à l'aide de la mise à jour de prise en charge (Cliquez sur l'image pour l'agrandir)
Si vous continuez d'examiner la journalisation, vous devez voir l'autre expression de RPC sur HTTP, RPC_OUT_DATA. Il est important de connaître les méthodes HTTP utilisées, qui sont RPC_IN_DATA et RPC_OUT_DATA pour RDP/HTTP, parce que si le Filtrage HTTP est configuré pour bloquer ces méthodes, le trafic sera bloqué sur ISA Server. Si vous souhaitez verrouiller votre environnement, vous pouvez configurer la règle de publication Web RDP/HTTP pour autoriser uniquement ces deux méthodes. Pour plus d'informations sur les méthodes HTTP utilisées généralement pour la publication, nous vous recommandons de lire l'article « Filtrage HTTP dans ISA Server 2004 » à l'adresse technet.microsoft.com/library/cc302627.

Le deuxième scénario
Pour ce scénario, la passerelle TS utilisera une stratégie centrale NPS située sur un autre serveur. Nous appliquerons une stratégie NAP pour les clients se connectant à distance via la passerelle TS. Les mêmes composants qui ont été utilisés dans le scénario 1 sont encore utilisés ici, seul le serveur NPS sera ajouté. Cependant, en raison de la contrainte de mise en conformité NAP, davantage de composants seront utilisés côté client, comme illustré à la figure 7.
Figure 7 Principaux composants de la topologie du scénario 2 (Cliquez sur l'image pour l'agrandir)
Voici l'explication des composants individuels. Sur le client Windows Vista, un agent d'intégrité système (SHA) est constitué de composants côté client responsables de la surveillance et de la génération de rapports sur l'état d'intégrité du client. Windows Vista est fourni avec le SHA Windows, mais d'autres fournisseurs travaillent sur la création de leurs propres SHA.
L'Agent NAP sur le client est chargé d'établir les communications avec le Serveur de contrainte de mise en conformité NAP lorsque le client essaie d'accéder au réseau. L'Agent NAP envoie la déclaration d'intégrité (SoH) du client à ce serveur.
Sur la passerelle TS, la stratégie d'autorisation d'accès aux ressources TS (TS RAP) est le composant qui vous permet de déterminer les ordinateurs disponibles pour recevoir les demandes RDP entrantes. La TS RAP détermine également quels utilisateurs sont autorisés à établir des connexions RDP à des serveurs spécifiques.
Le NPS central est chargé de contrôler les conditions, les contraintes et les paramètres qui régulent l'accès aux ordinateurs internes. Les programmes de validation d’intégrité système (SHV) sur le NPS Central sont chargés d'évaluer si la SoH soumise par le client est conforme à la stratégie définie par l'administrateur.
Maintenant, modifions la passerelle TS pour pointer vers un serveur NPS central. Ouvrez la console du Gestionnaire de passerelle TS, cliquez avec le bouton droit sur le nom du serveur et choisissez l'option Propriétés. Dans la fenêtre de propriétés du serveur, cliquez sur l'onglet Magasin de stratégies d’autorisation des connexions aux services Terminal Server et sélectionnez Serveur NPS central. Ensuite, tapez le nom ou l'adresse IP du serveur NPS et cliquez sur le bouton Ajouter. La fenêtre Secret partagé apparaît. Tapez le secret et cliquez sur OK, puis de nouveau sur OK pour fermer la fenêtre. Vous devez vous rappeler ce secret parce qu'il sera utilisé sur le serveur NPS.
Si le NPS est déjà installé sur un autre serveur, voici les étapes que vous devrez suivre :
  1. Ouvrez la console du serveur NPS et dans le volet de gauche, cliquez sur NPS (local).
  2. Dans le volet de droite, cliquez sur Configurer la protection d’accès réseau (NAP). La page Sélectionner la méthode de connexion réseau à utiliser avec la protection d’accès réseau (NAP) s'affiche.
  3. Sous Méthode de connexion réseau, sélectionnez Passerelle TS dans la liste déroulante et cliquez sur Suivant.
  4. Sur la page de spécification des serveurs de contrainte de mise en conformité NAP exécutant la passerelle TS, cliquez sur le bouton Ajouter.
  5. Dans la fenêtre Nouvelle passerelle TS, tapez le nom convivial et l'adresse IP du serveur de Passerelle TS. Puis au bas de la fenêtre, tapez le secret partagé, en utilisant le même secret que sur la configuration du serveur de passerelle TS. Cliquez ensuite sur OK.
  6. Sur la page Configurer les méthodes d’authentification et de redirection de périphériques clients, vous pouvez spécifier les périphériques qui seront redirigés et la méthode d'authentification autorisée (mot de passe ou carte à puce). Dans cet exemple, laissez les options par défaut et cliquez sur Suivant.
  7. Sur la page Configurer les groupes d’utilisateurs et les groupes d’ordinateurs, ajoutez le groupe d'utilisateurs qui est autorisé à établir la connexion. Pour cet exemple, cliquez sur le bouton Ajouter des utilisateurs sous Groupes d’utilisateurs : (obligatoire) et choisissez Admins du domaine. Cliquez sur OK, puis sur Suivant.
  8. Sur la page Définir la stratégie de contrôle d’intégrité NAP, vous remarquerez que le programme de validation d'intégrité par défaut est déjà sélectionné. Notez également que dans la partie inférieure de cette page, l'accès est refusé pour les ordinateurs non compatibles. Conservez les valeurs par défaut sélectionnées et cliquez sur Suivant.
  9. Sur la page Fin de la configuration de la stratégie d’application du service NAP et des clients RADIUS, vérifiez les options précédemment sélectionnées. Vous pouvez également cliquer sur le lien hypertexte Détails de la configuration et une page HTML s'ouvrira avec un résumé de vos sélections. Lorsque vous avez terminé, cliquez sur Terminer.
Cet Assistant prend en charge la configuration des paramètres pour un certain nombre de stratégies importantes (stratégies de demande de connexion, stratégies de réseau et stratégies d'intégrité), facilitant ainsi considérablement la configuration du NAP pour ce scénario.

Et le Client ?
Donc, maintenant que le serveur est entièrement installé et configuré, que devez-vous faire au niveau du client ?
Pour tirer parti de la stratégie contrainte de mise en conformité NAP, le client doit être Windows Server 2008 ou Windows Vista. Pour Windows XP, SP3 doit être installé, car il inclut le client NAP.
Outre la configuration du système d'exploitation, certains services et paramètres pertinents doivent être activés côté client. Il s'agit des services et paramètres suivants :
  • Ajout du nom de serveur de passerelle TS à la liste de serveurs de confiance sur le client.
  • Démarrage du service d'Agent NAP et définition du type de démarrage de service sur Automatique.
  • Activation du client de contrainte de mise en quarantaine de la passerelle TS.
Pour simplifier le déploiement de cette solution, Microsoft a créé la commande de configuration du client NAP des services Terminal Server (Tsgqecclientconfig.cmd), qui peut être téléchargée à l'adresse go.microsoft.com/fwlink/?LinkId=122267. Une fois la commande exécutée, le client sera configuré en tant que client NAP de contrainte de mise en conformité pour la passerelle TS. Notez que la commande doit être exécutée avec des privilèges élevés.
Tout au long de cet article, notre objectif de principe a été non seulement de décrire et expliquer la nouvelle fonctionnalité de passerelle TS disponible sous Windows Server 2008 tout en montrant comment la publier en toute sécurité via ISA Server 2006, mais également de vous présenter une perspective générale des avantages en matière de sécurité que la combinaison des deux produits peut offrir à votre entreprise.
Dans le monde actuel, la possibilité de se connecter de n'importe où est une condition essentielle de la réussite d'une entreprise. Cependant, cette connectivité ne doit pas être obtenue au prix d'une expérience utilisateur améliorée. Plus important encore, il est indispensable que tout ce processus se déroule de manière sécurisée.

Dr. Thomas W. Shinder est MCSE et MVP ISA Server. Il travaille en tant que formateur technique, auteur et consultant depuis 1996. Dr. Shinder a écrit six livres sur le Pare-feu ISA. Il est également prescripteur et créateur principal d'ISAserver.org, la plus grande communauté d'administrateurs et de passionnés du Pare-feu ISA sur Internet.

Yuri Diogenes, MCSE+S, MCTS, MCITP, Security+, Network+ et CCNP, est ingénieur support de sécurité de l'équipe ISA Server/IAG de Microsoft. Il écrit des articles pour Microsoft TechNet Library et le blog de l'équipe ISA Server. Yuri travaille avec la technologie Microsoft depuis 1993. Avant de rejoindre Microsoft, il travaillait comme formateur Microsoft, analyste support et consultant.

Page view tracker