Passer au contenu

ISA Server 2000, la sécurité limitée selon Microsoft

ISA Server est essentiellement un pare-feu et un serveur de cache. Arrivé à un stade avancé de son développement, il ne semble pas en mesure de convaincre les entreprises habituées à la sécurité Unix.

Avec la disponibilité de la version bêta RC-1, les fonctionnalités d’Internet Security and Acceleration Server 2000 (ISA 2000 pour les intimes) peuvent dorénavant être considérées comme figées. Et montrent un produit plus destiné aux PME qu’aux grandes entreprises. Microsoft sait en fait qu’il a tout à prouver, car il souffre d’une mauvaise réputation en matière de sécurité.

On n’est jamais si bien servi que par soi-même

L’installation du serveur de cache n’est en rien obligatoire. Le Giga Information Group y voit un intérêt certain, alors que l’on considère en général qu’un coupe-feu doit toujours être dédié.Le serveur de cache est compatible avec le protocole Carp (Cache Array Routing Protocol), mais pas avec WCCP (Web Cache Control Protocol) dans ses versions 1 et 2, alors qu’il s’agit d’un standard dans la quasi-totalité des appliances (certes plus chers).L’installation requiert au minimum Windows 2000 Server avec le Service Pack 1. Dès le départ, on choisit d’installer soit le cache, soit le coupe-feu, soit les deux. La version téléchargeable d’ISA Server RC-1 ne pèse que 8,8 Mo. Cela sous-entend que le produit s’appuie lourdement sur Windows 2000 Server. Il faut donc procéder en deux étapes : installation d’un Windows 2000 Server très épuré, suivie de l’installation du coupe-feu.ISA Server sait tirer parti des schémas d’Active Directory, afin de déployer une politique globale. Du fait de son architecture, il eût été plus élégant qu’ISA Server soit intégré directement au système d’exploitation sur le CD-ROM. Cela serait plus simple et éviterait d’installer des services inutiles.Le durcissement du système est proposé. Le plus haut niveau de sécurité n’est pas le choix par défaut. Nous avons voulu installer un scanner pour analyser les opérations réalisées. Malheureusement, le renforcement du niveau de sécurité n’a pas fonctionné sur notre serveur. En matière de filtrage, ISA est annoncé comme un coupe-feu multiniveau, même s’il est principalement un proxy. Comme pour nombre de ses concurrents, on parle de filtrage de paquets, de filtrage dynamique, de filtrage de circuits, de filtrage d’applicatifs, et même de ” Stateful Inspection “. Le terme ” filtrage de circuits ” ne veut rien dire, puisque son acception n’est pas au sens physique. ISA propose un service de filtrage Gatekeeper H.323, nécessaire pour des applicatifs de type Netmeeting. Le logiciel gère les principaux protocoles du marché tels qu’ICQ ou AOL.

Filtrage et détection d’intrusions

Un module léger de détection d’intrusions (IDS), fruit de la technologie d’ISS, est livré en standard. La mise en ?”uvre des règles de filtrage est simple, et des modèles sont destinés à faciliter le travail. Les stratégies d’accès requièrent plusieurs GUI, ce qui est un peu déroutant pour une vue globale des règles de sécurité. Néanmoins, le produit n’est pas trop complexe, et l’aide est très bien faite. Ce dernier point est toujours apprécié, car la complexité nuit toujours à une bonne définition des règles de sécurité.Microsoft aura malgré tout des efforts à faire pour convaincre les grandes entreprises, d’autant que Ziff-Davis, aux Etats-Unis, a montré qu’ISA Server RC-1 résistait mal à certains outils de hacking tels Nessus 1.0.5 et NMAP 2.53. L’éditeur affirme que les problèmes mineurs évoqués seront corrigés dans la version finale.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager