Internet Security and Acceleration Server 2000 (ISA 2000 pour les intimes) se présente comme deux produits en un. À la fois pare-feu et serveur de cache, ce logiciel de Microsoft est disponible gratuitement sur le Web, et le niveau RC-1 indique que les fonctionnalités sont figées. Le géant de Redmond sait qu’il a tout à prouver, car il jouit d’une mauvaise réputation en matière de sécurité.
On n’est jamais si bien servi que par soi-même
Le serveur de cache est compatible avec le protocole Carp (Cache array routing protocol), mais pas avec WCCP (Web cache control protocol) dans ses versions 1 et 2, alors qu’il s’agit d’un standard dans la quasi-totalité des appliances (certes plus chers).L’installation du serveur de cache n’est en rien obligatoire. Le Giga Information Group y voit un intérêt certain, alors que l’on considère en général qu’un coupe-feu doit toujours être dédié. L’installation requiert au minimum Windows 2000 Server avec le Service Pack 1. Dès le départ, on choisit d’installer soit le cache, soit le coupe-feu, soit les deux. La version téléchargeable d’ISA Server RC-1 ne pèse que 8,8 Mo. Cela sous-entend que le produit s’appuie lourdement sur Windows 2000 Server. Il faut donc procéder en deux étapes : installation d’un Windows 2000 Server très épuré, suivie de l’installation du coupe-feu.ISA Server sait tirer parti des schémas d’Active Directory, afin de déployer une politique globale. Du fait de son architecture, il eût été plus élégant qu’ISA Server soit intégré directement au système d’exploitation sur le CD-Rom. Cela serait plus simple et éviterait d’installer des services inutiles.Le durcissement du système est proposé. Le plus haut niveau de sécurité n’est pas le choix par défaut. Nous avons voulu installer un scanner pour analyser les opérations réalisées. Malheureusement, le renforcement du niveau de sécurité n’a pas fonctionné sur notre serveur. En matière de filtrage, ISA est annoncé comme un coupe-feu multiniveau, même s’il est principalement un proxy. Comme pour nombre de ses concurrents, on parle de filtrage de paquets, de filtrage dynamique, de filtrage de circuits, de filtrage d’applicatifs, et même de ” Stateful inspection “. Le terme ” filtrage de circuits ” ne veut rien dire, puisque son acception n’est pas au sens physique. ISA propose un service de filtrage Gatekeeper H.323, nécessaire pour des applicatifs de type Netmeeting. Le logiciel gère les principaux protocoles du marché tels qu’ICQ ou AOL.
Filtrage et détection d’intrusions
Un module léger de détection d’intrusions (IDS), fruit de la technologie d’ISS, est livré en standard. La mise en ?”uvre des règles de filtrage est simple, et des modèles sont destinés à faciliter le travail. Les stratégies d’accès requièrent plusieurs GUI, ce qui est un peu déroutant pour une vue globale des règles de sécurité. Néanmoins, le produit n’est pas trop complexe, et l’aide est très bien faite. Ce dernier point est toujours apprécié, car la complexité nuit toujours à une bonne définition des règles de sécurité.Microsoft aura malgré tout des efforts à faire pour convaincre les grandes entreprises, d’autant que Ziff-Davis, aux États-Unis, a montré qu’Isa Server RC-1 résistait mal à certains outils de hacking tels Nessus 1.0.5 et NMAP 2.53. L’éditeur affirme que les problèmes mineurs évoqués seront corrigés dans la version finale.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
