Enabling Secure Access to Internet Resources

Guidelines for Designing an Internet Usage Policy :

One of the first steps that an organization must take, as it prepares to grant access to Internet resources, is to define an Internet usage policy. An Internet usage policy defines what actions users are allowed to perform while they are connected to the Internet. The Internet usage policy becomes the basis for configuring the ISA Server settings to provide secure access to the Internet.
Internet usage policies should do the following:
1- Describe the need for an Internet usage policy. At first, users may resist the policy because they may interpret the policy as arbitrarily and without any business reason limiting what they can do. The policy should define exactly why the policy is being created. For many organizations, there are clear legal requirements for creating a policy that limits what users can do, especially for organizations that
work with confidential and private client information. Frequently, understanding the rationale for a policy greatly decreases the resistance to the policy.
2- Describe what the policy covers. The policy must include specific descriptions of what is acceptable and unacceptable Internet usage. This policy may define which applications can be used to access Internet resources, or what Internet resources can be accessed, as well as what applications and resources are denied by the policy.
3- Identify the people within the organization who are responsible for creating and enforcing the policy. If users have questions about the policy, or if policy restrictions prevent users from accessing resources that they need to do their jobs, users must have the means of resolving these issues. The easiest way to ensure this resolution is to provide users with the contacts they can use to get their
answers quickly.
4- Define how violations are handled. The policy must define exactly what will happen to users who violate the security policy. Many security policies include levels of disciplinary action depending on the severity or recurrence of policy violations.

How ISA Server Enables Secure Access to Internet Resources
Now that you have developed the Internet usage policy, you are ready to implement that policy. Many of the restrictions that you have defined in the policy can be implemented using ISA Server to block access to specified resources.
ISA Server provides the following functionality to enable secure access:
1- Implementing ISA Server as a firewall ISA Server provides a complete firewall solution that enables multilayer filtering. As a firewall, ISA Server secures access to the Internet by ensuring that no unauthorized traffic can enter the internal network.
2- Implementing ISA Server as a proxy server When Firewall clients and Web Proxy clients connect to the ISA Server to gain access to Internet resources, ISA Server acts as a proxy server. ISA Server accepts the client request for Internet content, and then creates a new request that it sends to the Internet server. ISA Server hides the details of the internal network from the Internet. Only the ISA Server’s external IP address is transmitted on the Internet.
3- Using ISA Server to implement the organization’s Internet usage policy ISA Server can be used to implement many Internet-use restrictions.

10 Planning and Implementing Security for Wireless Networks

Lesson 1: Wireless Network Security Fundamentals

Wireless networks have these weaknesses too, but they lack the inherent physical security of wired networks. In fact, most corporate wireless networks can be accessed by people with mobile computers in the business’ parking lot. To make matters worse, attackers have significant motivation to abuse wireless networks. Accessing a wireless network might grant an attacker access to resources on an organization’s internal network. Or it might allow the attacker to access the public Internet while hiding his or her identity, which would allow the intruder to attack hosts on remote networks while disguised with the organization’s IP addresses.

The concerns over the abuse of wireless networks are far from theoretical. Intruders have a wide variety of tools available for detecting, connecting to, and abusing wireless networks. As with most aspects of security, there are technologies available that can help you to limit the vulnerabilities presented by wireless networks. Specifically, you can require wireless communications to be authenticated and encrypted. This provides assurance similar to that offered by the physical security of wired networks. The game between security experts and attackers continues, however, and early wireless authentication and encryption technologies can now be easily defeated by an intruder.

Security Threats :
Because wireless communications are not contained within the physical medium of a wire, wireless networks are more vulnerable to several types of attacks, including:
■ Eavesdropping. Attackers can capture traffic as it is sent between a wireless computer and the WAP. Depending on the type of antenna used and the transmitting power, an attacker might be able to eavesdrop from hundreds or thousands of feet away.
■ Masquerading. Attackers might be able to gain access to restricted network resources by impersonating authorized wireless users.
■ Attacks against wireless clients. Attackers can launch a network-based attack on a wireless computer that is connected to an ad hoc or untrusted wireless network.
■ Denial of service. Attackers can jam the wireless frequencies by using a transmitter,preventing legitimate users from successfully communicating with a WAP.
■ Data tampering. Attackers can delete, replay, or modify wireless communications with a man-in-the-middle attack.

WEP :
WEP is a wireless security protocol that helps protect your information by using a security setting, called a shared secret or a shared key, to encrypt network traffic before transmitting it over the airwaves. This helps prevent unauthorized users from accessing the data as it is being transmitted.

Unfortunately, some smart cryptographers found several theoretical ways to discover WEP’s shared secret by analyzing captured traffic. These theoretical weaknesses were quickly implemented in freely available software. The combination of free tools for cracking WEP encryption, the ease of capturing wireless traffic, and the dense proliferation of wireless networks have led WEP to become the most frequently cracked network encryption protocol today.

Besides weak cryptography, another factor contributing to WEP’s vulnerability is that WEP is difficult to manage because it doesn’t provide any mechanism for changing the shared secret. On wireless networks with hundreds of hosts configured to use a WAP, it is practically impossible to regularly change the shared secret on all hosts. As a result, the WEP shared secret tends to stay the same indefinitely. This gives attackers sufficient opportunity to crack the shared secret and all the time they need to abuse their ill-gotten network access.

MCP 70-299 : 8 - Planning and Configuring IPSec

Lesson 3: Configuring IPSec

IP Filters :

IP filters describe network traffic and are used by IPSec policies to determine whether an IP security rule should apply to an individual packet. IP filters can specify traffic to or from a set of IP addresses, WINS servers, DNS servers, DHCP servers, or a default gateway. You can also configure an IP filter to match a packet’s source or destination port number, or even a packet’s IP protocol number. Each of the following examples can be specified by either a single IPSec IP filter or a combination of multiple filters:
■ All traffic to or from IP address 10.4.22.17
■ All Internet Control Message Protocol (ICMP) traffic to or from the default gateway
■ All traffic sent to TCP port 80, except traffic sent from the internal network
■ All outbound connections, except those to specific servers
Multiple IP filters can be combined into an IP filter list. In fact, adding an IP filter to an IP filter list is the only thing you can do with an IP filter, because IPSec policies only allow you to specify IP filter lists. If your needs are simple, you can make an IP filter list that consists of a single IP filter. However, most IP filter lists will consist of multiple IP filters.

Filter Actions :

You use filter actions, also referred to as security methods, to define how an IPSec policy should handle traffic that matches an IP filter. A filter action responds in one of three ways: it drops the traffic, it allows the traffic, or it attempts to negotiate security. If you choose the Permit or Block options for a filter action, there is nothing left to configure. In fact, you never need more than one filter action for each of the Permit and Block options.

There are several additional settings to consider when you configure a filter action to negotiate security. First, you must choose whether the server will allow communications with clients that do not support IPSec by selecting or clearing the Allow Unsecured Communication With Non-IPSec-Aware Computers check box. You can only require IPSec when you have only IPSec-enabled all client computers. Otherwise, clients without IPSec will be denied access to the server. Generally, this setting is enabled only when Active Directory is used to deploy IPSec configuration settings to all networked computers.
You should use the Filter Action Wizard to configure filter actions whenever possible, because configuring integrity and encryption settings can be complicated. The IP Traffic Security page of the wizard enables you to specify the protection suites associated with the filter action. You can choose Integrity And Encryption, Integrity Only, or Custom. If you select Integrity And Encryption, the wizard configures the filter action with ESP-based integrity verification (using Secure Hash Algorithm 1 [SHA1] by default) and encryption (using 3DES by default). If you select Integrity Only, Triple-Data Encryption Standard (3DES) encryption is disabled.

IP Security Rules :

An IP security rule consists of an IP filter list, a filter action, and, optionally, a connection type and tunnel endpoint. You can specify only one IP filter list and one filter action per rule. If the rule pertains to traffic traveling between networks across an IPSec tunnel, you should provide the IP address of the tunnel endpoint. This does not conflict with your ability to add IP filter lists; you can configure an endpoint and apply the rule only to traffic on a specific subnet within the destination network accessible through the IPSec tunnel.
The default response rule is used to configure the computer to respond to requests for secure communication when no other rules match the traffic. If an active policy does not have a rule defined for a computer that is requesting secure communication, the default response rule is applied and security is negotiated. For example, when Computer A communicates securely with Computer B, and Computer B does not have an inbound filter defined for Computer A, the default response rule is used.

Configuring IP Security Policies with Graphical Tools :

IP filters, filter actions, and IP security rules are only useful when added to an IP security policy. When configuring IP security policies on the local computer, you can use the IP Security Policy Management snap-in. You can also use the Group Policy Object Editor snap-in to edit either local or domain GPOs. In the Group Policy Object Editor, expand Computer Configuration, Windows Settings, Security Settings, and then click either IP Security Policies On Local Computer or IP Security Policies On Active Directory. Because this node might have several different labels, this chapter will refer to it
as simply IP Security Policies.
To create a new security policy, right-click the applicable IP Security Policies node in the Group Policy Object Editor or IP Security Policy Management snap-in, and then click Create IP Security Policy. This opens the IP Security Policy Wizard, which guides you through the process of creating a security policy.
During the configuration process, you will be prompted to activate the default response rule. In most cases, you should enable the default response rule. If you do, you will be prompted to select an authentication method. For more information about rules, see the section "IP Security Rules" in this lesson.

Configuring IP Security Policies with Command-Line Tools :

Though you should usually use graphical tools to configure IP security policies, Windows Server 2003 also provides the Netsh command-line tool for scripting IPSec configuration. Netsh is a native Windows Server 2003 command-line scripting tool that you can use to display or modify the local or remote network configuration. The Netsh IPSec commands cannot be used on any other version of Windows.
To use the command line to configure IPSec policies on computers running Windows XP, use Ipseccmd.exe, which is provided on the Windows XP CD, in the \Support\Tools folder. To use the command line to configure IPSec policies on computers running Windows 2000, use Ipsecpol.exe, which is provided with the Windows 2000 Server Resource Kit.
To use Netsh interactively to view or modify IPSec settings, open a command prompt and run the command Netsh with no parameters. This starts the Netsh interactive command prompt. Then type Ipsec static or Ipsec dynamic to set the context for Netsh. For example, the following commands launch Netsh and set the context to Ipsec dynamic:

C:\>netsh
netsh>ipsec
netsh ipsec>static
netsh ipsec static>

Static mode allows you to create, modify, and assign policies without affecting the active IPSec policy. Dynamic mode allows you to display the active state and immediately implement changes to the active IPSec policy. Dynamic Netsh commands affect the service only when it is running. If it is stopped, dynamic policy settings are discarded.

Module 2 ( 70-291) : Allocation de l'adressage IP à l'aide du protocole DHCP

Définition :

Le protocole DHCP est une norme IP permettant de simplifier la gestion de la configuration IP hôte. La norme DHCP permet d'utiliser les serveurs DHCP pour gérer l'allocation dynamique des adresses IP et des autres données de configuration IP pour les clients DHCP de votre réseau.

Pourquoi utiliser le protocole DHCP ?

Pour les réseaux basés sur le protocole TCP/IP, le protocole DHCP simplifie et réduit le travail administratif impliqué dans la reconfiguration des ordinateurs.

Pour comprendre en quoi le protocole DHCP simplifie la configuration du protocole TCP/IP sur des ordinateurs clients, il est utile de comparer les configurations manuelle et automatique du protocole TCP/IP, la configuration automatique utilisant le protocole DHCP.

Configuration manuelle du protocole TCP/IP :

Lorsque vous configurez les données de configuration IP pour chaque hôte en entrant manuellement les informations, telles que l'adresse IP, le masque de sous-réseau ou la passerelle par défaut, vous pouvez faire des erreurs typographiques. Ces erreurs peuvent créer des problèmes de communication ou des incidents liés aux adresses IP dupliquées. De plus, il en résulte des tâches administratives supplémentaires sur les réseaux où les ordinateurs sont souvent déplacés d'un sous-réseau à l'autre. De même, lorsque vous devez modifier une valeur IP pour plusieurs clients, il vous faut mettre à jour la configuration IP de chaque client.

Procédure 1 :

Pour ajouter un service Serveur DHCP, procédez comme suit :

1. Connectez-vous à l'aide d'un compte d'utilisateur non-administratif.

2. Cliquez sur Démarrer, puis sur Panneau de configuration.

3. Dans le Panneau de configuration, ouvrez Outils d'administration, cliquez avec le bouton droit sur Gérer votre serveur, puis sélectionnez Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, sélectionnez L'utilisateur suivant, entrez un compte d'utilisateur et un mot de passe ayant les autorisations adéquates pour exécuter la tâche, puis cliquez sur OK.

5. Dans la fenêtre Gérer votre serveur, cliquez sur Ajouter ou supprimer un rôle.

6. Dans la page Étapes préliminaires, cliquez sur Suivant.

7. Dans l'Assistant Configurer votre serveur, sélectionnez Serveur DHCP, puis cliquez sur Suivant.

8. Dans la page Aperçu des sélections, cliquez sur Suivant.
9. Dans l'Assistant Nouvelle étendue, cliquez sur Annuler pour interrompre la création d'une étendue à ce stade.
10. Dans l'Assistant Configurer votre serveur, cliquez sur Terminer.

Procédure 2 : configuration des étendues DHCP :

Pour configurer une étendue DHCP, procédez comme suit :

1. Ouvrez la console DHCP.

2. Dans l'arborescence de la console, cliquez sur le serveur DHCP concerné.

3. Dans le menu Action, cliquez sur Nouvelle étendue.

4. Dans l'Assistant Nouvelle étendue, cliquez sur Suivant.

5. Dans la page Nom de l'étendue, configurez les options Nom et Description.

6. Dans la page Plage d'adresses IP, configurez les options Adresse IP de début, Adresse IP de fin et Masque de sous-réseau.

7. Dans la page Ajout d'exclusions, configurez les options Adresse IP de début et Adresse IP de fin, le cas échéant. S'il n'existe qu'une seule exclusion d'adresse IP, configurez cette adresse IP comme l'adresse IP de début.

8. Dans la page Durée du bail, configurez les options Jours, Heures et Minutes.

9. Dans la page Configuration des paramètres DHCP, sélectionnez Non, je configurerai ces options ultérieurement.

10. Dans la page Fin de l'Assistant Nouvelle étendue, cliquez sur Terminer.

Procédure de configuration d'une réservation DHCP :

Pour configurer une réservation DHCP, procédez comme suit :

1. Ouvrez la console DHCP.

2. Dans l'arborescence de la console, cliquez sur Réservations.

3. Dans le menu Action, cliquez sur Nouvelle réservation.

4. Dans la boîte de dialogue Nouvelle réservation, renseignez les champs suivants :

a. Nom de réservation

b. Adresse IP

c. Adresse MAC (sans trait d'union)

d. Description

5. Sous Types pris en charge, sélectionnez l'une des options suivantes :

a. Les deux

b. DHCP seulement

c. BOOTP seulement

6. Dans la boîte de dialogue Nouvelles réservations, cliquez sur Ajouter, puis sur Fermer.

Procédure 3 : vérification d'une réservation DHCP :

Pour vérifier la réservation DHCP, procédez comme suit :

1. Sur l'ordinateur client, à l'invite de commandes, libérez l'adresse IP du clienà l'aide de la commande ipconfig /release.

2. Sur l'ordinateur serveur, dans la console DHCP, sous Baux d'adresse, vérifiez que la réservation s'affiche comme étant désactivée.

3. Sur l'ordinateur client, à l'invite de commandes, renouvelez l'adresse IP du client à l'aide de la commande ipconfig /renew.

4. Sur l'ordinateur serveur, dans la console DHCP, sous Baux d'adresse, vérifiez que la réservation s'affiche comme étant activée.

Procédure 4 : configuration des options de serveur DHCP :

Pour configurer une option de serveur DHCP, procédez comme suit :

1. Ouvrez la console DHCP.

2. Dans l'arborescence de la console, sous le nom du serveur, cliquez sur Options de serveur.

3. Dans le menu Action, cliquez sur Configurer les options.

4. Dans la boîte de dialogue Options Serveur, sélectionnez l'option à configurer dans la liste des Options disponibles.

5. Sous Entrée de données, entrez les informations requises pour configurcette option.

6. Dans la boîte de dialogue Options Serveur, cliquez sur OK.

Comment fonctionne un agent de relais DHCP :

Les procédures suivantes décrivent le fonctionnement d'un agent de
relais DHCP :
1. Le client DHCP diffuse un paquet DHCPDISCOVER.
2. L'agent de relais DHCP sur le sous-réseau du client envoie le message DHCPDISCOVER au serveur DHCP à l'aide de la monodiffusion.
3. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPOFFER à l'agent de relais DHCP.
4. L'agent de relais DHCP diffuse le paquet DHCPOFFER au sous-réseau du client DHCP.
5. Le client DHCP diffuse un paquet DHCPREQUEST.
6. L'agent de relais DHCP sur le sous-réseau du client envoie le message DHCPREQUEST au serveur DHCP à l'aide de la monodiffusion.
7. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPACK à l'agent de relais DHCP.
8. L'agent de relais DHCP diffuse le paquet DHCPACK au sous-réseau du client DHCP.

Procédure 4 : ajout d'un agent de relais DHCP :

Pour ajouter un agent de relais DHCP, procédez comme suit :

1. Ouvrez la console Routage et accès distant.

2. Cliquez avec le bouton droit sur le serveur, puis cliquez sur Configurer et activer le routage et l'accès distant.

3. Dans la page Bienvenue !, cliquez sur Suivant.

4. Dans la page Configuration, sélectionnez Configuration personnalisée, puis cliquez sur Suivant.

5. Dans la page Configuration personnalisée, sélectionnez Routage réseau, puis cliquez sur Suivant.

6. Dans la page Fin de l'Assistant Installation du serveur du routage et d'accès distant, cliquez sur Terminer.

7. Dans la boîte de dialogue d'avertissement Routage et accès distant, cliquez sur Oui pour démarrer le service.

8. Dans la page Ce serveur est maintenant un serveur d'accès distant et de réseau VPN, cliquez sur Terminer.

9. Dans l'arborescence de la console, développez successivement le serveur et Routage IP, puis sélectionnez Général.

10. Cliquez avec le bouton droit sur Général, puis cliquez sur Nouveau protocole de routage.

11. Dans la boîte de dialogue Nouveau protocole de routage, cliquez sur Agent de relais DHCP, puis sur OK.

Module 5 : 70-290

Procédure 1: d’installation d’une imprimante réseau :

Pour installer une imprimante réseau :

1. Dans le dossier Imprimantes et télécopieurs, cliquez sur Ajouter une imprimante.
2. Sur la page de bienvenue de l’Assistant Ajout d’imprimante, cliquez sur Suivant.
3. Dans la page Imprimante réseau ou locale, cliquez sur Imprimante locale connectée à cet ordinateur.
4. Désactivez la case à cocher Détection et installation automatique de l’imprimante Plug-and-Play, puis cliquez sur Suivant.
5. Lorsque l’Assistant Ajout d’imprimante vous demande de sélectionner le port d’imprimante, cliquez sur Créer un nouveau port.
6. Dans la liste, cliquez sur le type de port approprié et suivez les instructions qui s’affichent.
Par défaut, seuls Port local et Port standard TCP/IP apparaissent dans la liste.


Procédure 2: gérer l’accès aux imprimantes en accordant ou en refusant :

Pour gérer l’accès aux imprimantes en accordant ou en refusant des autorisations sur une imprimante :

1. Dans le dossier Imprimantes et télécopieurs, cliquez avec le bouton droit sur l’imprimante pour laquelle vous voulez définir des autorisations, puis cliquez sur Propriétés.
2. Dans la boîte de dialogue Propriétés, sous l’onglet Sécurité, effectuez l’une des opérations suivantes :
• Pour changer ou supprimer les autorisations d’un utilisateur ou d’un groupe, cliquez sur le nom de l’utilisateur ou du groupe sous Noms d’utilisateurs ou de groupes.
• Pour accorder des autorisations à un nouvel utilisateur ou à un nouveau groupe, cliquez sur Ajouter. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, tapez le nom de l’utilisateur ou du groupe auquel vous voulez accorder des autorisations, puis cliquez
sur OK.
3. Sous Autorisations, activez la case à cocher Autoriser ou Refuser de chaque autorisation à accorder ou refuser.


Procédure 3: d’identification de l’adresse IP d’une imprimante existante:

Pour déterminer l’adresse IP d’une imprimante existante :

1. Dans le dossier Imprimantes et télécopieurs, cliquez avec le bouton droit sur l’imprimante pour laquelle vous voulez définir l’attribut Emplacement, puis cliquez sur Propriétés.
2. Dans l’onglet Ports de la boîte de dialogue Propriétés, cliquez sur le port TCP/IP utilisé par l’imprimante, puis sur Configurer le port.
3. Dans la boîte de dialogue Configuration du moniteur de port TCP/IP standard, notez l’adresse IP qui figure dans la zone Nom d.imprimante ou adresse IP, puis cliquez sur OK.
4. Dans la boîte de dialogue Propriétés, cliquez sur Fermer.