[ISA] C'est possible avec 1 seule carte réseau ?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[ISA] C'est possible avec 1 seule carte réseau ?

Messagepar xpoulet » 14 Mai 2004 09:52

Je débute avec ISA Serveur. Je ne sais pas comment faire
pour "activer" ISA sur "monServeur"


la configuration réseau de l'entreprise dans laquelle j'effectue mon stage:

INTERNET
|
|
Routeur
|
|
LAN ------Serveur (monServeur): Exchange, SQL & ISA
|
|
Postes Clients


sur la lan il y a 5 postes 2000 et 5 win98.


Mon supérieur me dit que l'on peut utiliser ISA pour filtrer les connexions entrantes et sortantes et ce, avec une seule carte réseau sur le serveur. C'est ce que voudrais faire si c'est effectivement possible, mais je ne sais pas comment.


J'ai un message d'avertissment" que je ne sais pas résoudre.
Console SBS->Liste des taches->Assistant connexion Internet
"Sélectionnez le matériel que vous souhaitez connecter à Internet", je choisi "routeur" (ce qui est mon cas) puis il me demande de rentrer l'adresse du routeur, ce que je fais.
Je ne coche pas la case "Mon routeur est connecté au serveur par l'intermédiaire d'une 2ème carte réseau", car le routeur est directement sur la lan. Puis je fais "suivant" et j'ai un message 'avertissement:
"ISA Server ne sera pas configuré dans cette configuration"



C'est pour cela que la règle "bloquer_yahoo" ne fonctionne pas ? Que dois je faire pour rendre actif ISA ? (je ne peux rajouter une seconde carte réseau)


Exemple de définition de règle
ISA->serveur et groupes->monServeur->Eléments de Stratégie->Ensemble de destinations
je fais "nouveau->ensemble", je mets un nom (ex: ensembleYahoo) puis dans "inclure ces destinations" je mets "www.yahoo.fr" puis "www.yahoo.com" et je valide.


puis

ISA->serveur et groupes->monServeur->Stratégie d'accès-
>Règles de site et de contenu
- "Nom de la règle" -> "bloquer_yahoo"
- "Action de la règle" -> "Refuser"
- "Configuration de la règle" -> "Personnalisée"
- "Ensemble de destinations" -> "Ensemble de destinations spécifiées " et dans "Nom" je choisie celui que j'ai créé précédemment: "ensembleYahoo"
- "Planification" -> "Toujours"
- "Type de clients" -> "Toutes les demandes"
- "Groupes de contenus" -> "Tous les types de contenus"
- [Terminé]


Pourtant les clients peuvent aller sur www.yahoo.fr


:/



Merci de votre aide,je patauge lamentablement là
xpoulet
Matelot
Matelot
 
Messages: 7
Inscrit le: 28 Avr 2004 13:40

Messagepar ztim62 » 14 Mai 2004 10:08

Salut !!

De ce que j'ai déjà vu, ISA 2000 peut fonctionner avec 1 seule carte réseau seulement en mode proxy cache.

Si tu veut utiliser le firewall, tu es obligé d'avoir deux interfaces réseaux (assez logique pour un firewall).

Donc avec 1 carte réseau ==> pas de blocage de port, de redirection de port, etc .... En mode proxy cache, tu peut filtrer les utilisateurs autorisés (si tu as un AD, c'est assez interessant), peut-etre filtré les protocoles (encore que ...)

donc qd tu dis :
l'on peut utiliser ISA pour filtrer les connexions entrantes et sortantes


si tu penses à faire du firewall, c'est pas pssible avec une seule carte réseau. Je sais que les fonctionnalités de ISA avec 1 carte réseau sont très très limité ....

bye
TiM
EPSI en force !
Avatar de l’utilisateur
ztim62
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 248
Inscrit le: 02 Déc 2003 01:00
Localisation: ARRAS

Messagepar LorD_JLP » 14 Mai 2004 10:10

Configure ISA en tant que proxy pour les postes clients, tu n'auras alors besoin que d'une seule carte. Mais pense alors à filtrer le traffic vers internet pour ne pas permettre les connections directes ...
[ LorD JLP... | www.biuns.fr.st | #BiUns@undernet.org ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
Avatar de l’utilisateur
LorD_JLP
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 01 Août 2003 00:00
Localisation: Eckbolsheim - France

Messagepar xpoulet » 14 Mai 2004 11:23

j'ai configuré le proxy d'un client (pour tester) à l'adresse du serveur.
Lorsque je lance IE, je dois m'identifier ... le problème est que seul le compte de l'admin du serveur est authorisé à se connecter :(

Désolé, mais c'est mon premier stage en réseaux :/
xpoulet
Matelot
Matelot
 
Messages: 7
Inscrit le: 28 Avr 2004 13:40

Messagepar ztim62 » 14 Mai 2004 11:45

salut !

as-tu active directory mis en place ds ta boite ?

si oui, pas de soucis, tu peut autoriser des compte utilisateur AD à passer le proxy. Il est meme preferable de creer un groupe dans AD des personnes autorisés à passer le proy. Dans ISA tu autorise ce groupe, et dans AD tu peut ajouter au fur et à mesure les utilisateurs autorisés dans le groupe.

bon courage

TiM
EPSI en force !
Avatar de l’utilisateur
ztim62
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 248
Inscrit le: 02 Déc 2003 01:00
Localisation: ARRAS

Messagepar xpoulet » 14 Mai 2004 12:01

merci de ta réponse

J'ai bien AD sur le serveur, donc je vais regarder du côté des authorisations de comptes, comme tu me l'as conseillé.


Par contre sur le serveur, quand je vais sur le net, j'ai ce message qui apparait dans le journal d'observation d"évènements:

Type de l'événement : Erreur
Source de l'événement : Proxy Web Microsoft
Catégorie de l'événement : Aucun
ID de l'événement : 14120
Date : 14/05/2004
Heure : 11:18:03
Utilisateur : N/A
Ordinateur : monServeur
Description :
Les services de ISA Server n'ont pas pu créer de filtre de paquets 64.12.164.249. Cet événement se produit en cas de conflit entre la configuration de la table des adresses locales et la table de routage de Windows 2000. Examinez la table de routage et la table des adresses locales pour identifier la source du conflit.
Données :
0000: 15 00 00 00 ....



mais je ne sais pas le régler (je ne comprends pas bien la procédure indiquée dans "Description" :cry:
xpoulet
Matelot
Matelot
 
Messages: 7
Inscrit le: 28 Avr 2004 13:40

Messagepar ztim62 » 14 Mai 2004 12:06

salut !!

euh, je sais pas, je suis pas spécialiste ISA, mais a premiere vue, n'as tu pas essayé de mettre des regles de firewall alors que tu n'as qu'une interface réseau ?? si oui, ben voila le problème dont je parlais precedemment, ISA n'est pas content, il est pomé entre tes regles de firewall et la table de routage interne du 2000 (qui ne connait qu'une interface)

Mais bon là, peut etre que je m'avance un peu trop, ne connaissant pas sur le bout des doigts ISA, et ne connaissant pas non plus ton architecture ainsi que la configuration du ISa que tu as mis en place ...

bon courage
TiM
EPSI en force !
Avatar de l’utilisateur
ztim62
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 248
Inscrit le: 02 Déc 2003 01:00
Localisation: ARRAS


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron