Stanislas Quastana's WebLog

DirectAccess : mythes & réalité - partie 2 : IPsec

Windows 7 couplé à Windows Server 2008 R2 offre une nouvelle fonctionnalité destinée aux professionnels baptisée DirectAccess.

DirectAccess permet à l'utilisateur de se connecter à distance au Système d'Information de l'entreprise de manière complètement transparente. Les personnes qui utilisent aujourd'hui Outlook 2003 ou 2007 couplé à Exchange Server 2003 ou 2007 avec la fonctionnalité RPC sur HTTPS connaissent déjà une première expérience de la transparence des accès distants : il suffit de démarrer le client de messagerie et celui-ci trouve tout seul le moyen de se connecter au serveur Exchange que le poste soit connecté sur Internet ou au sein du réseau local. Et bien DirectAccess, c'est la même expérience mais appliquée à l'ensemble des applications exécutées sur Windows 7.

A la différence d'une connexion VPN nomade (classique ou SSL), DirectAccess ne nécessite aucune intervention de l'utilisateur, il n'y a pas de connexion à établir au travers d'un gestionnaire de connexion.

Commençons par un schéma très basique d’une architecture DirectAccess :

Parmi les technologies nécessaires et utilisées par DirectAccess, on voit bien sur ce schéma qu’il y a IPv6 et IPsec

IPv6 a été traité dans un billet précédent : cf. DirectAccess : mythes & réalité - partie 1 : IPv6  (http://blogs.technet.com/stanislas/archive/2009/06/08/directaccess-mythes-r-alit-partie-1-ipv6.aspx)

Beaucoup de personnes se documentant (ou ayant vu mon schéma ci-dessus) sur DirectAccess voient IPsec dans la liste des pré-requis, ce qui génère beaucoup d'interrogations et d'idées reçues
- C'est quoi IPsec ?
- IPsec ce n'est que pour les tunnels VPN ?
- IPsec c'est pour chiffrer les communications ?
- IPsec est-il vraiment nécessaire pour DirectAccess ?
- ...

J’ai donc développé ces différents points pour vous éclairer sur le pourquoi du comment de la présence d’IPsec dans DirectAccess.

L’article complet est sur mon blog à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/06/29/directaccess-mythes-r-alit-partie-2-ipsec.aspx

Forefront TMG disponible en version beta 3

Une bien bonne nouvelle : la sortie de la beta 3 de Forefront Threat Management Gateway (TMG) qui est comme vous le savez le successeur d'ISA Server 2006. Et cette beta 3 est téléchargeable par tous !

Quoi de neuf dans cette nouvelle beta ?

• Le produit est feature complete c’est à dire qu’il intègre (normalement) toutes les fonctions qui seront disponibles dans la version finale
• Il intègre le filtrage d'URL qui utilise MRS (Microsoft Reputation Service). Nous avons également annoncé des partenariats entre MRS et des tiers travaillant sur le filtrage URL comme BrightCloud (cf. http://www.prweb.com/releases/2009/06/prweb2500324.htm)
• Un nouvel assistant de préparation à l'installation qui permet l'installation des pré-requis à Forefront TMG
• Cette beta introduit également la notion de version Standard et de version Entreprise
• Le scénario Forefront TMG dans un workgroup (dans les betas précédentes, il fallait avoir le serveur Forefront TMG membre d'un domaine)
• La capacité à s'installer sur Windows Server 2008 R2, le support officiel de Windows Server 2008 et 2008 R2 sera fait avant la fin de l'année
• Amélioration du NIS (Network Inspection Sytem)
• Support du protocol VPN SSTP (Secure Socket Tunneling Protocol) qui est du VPN SSL (Fonction disponible à partir de Windows Vista SP1 côté poste client)
• La possibilité de regrouper des règles
• Des fonctions de recherches
• Protection des serveurs Exchange 2007 SP1 et Exchange 2010 (beta)
• Intégration de Powershell (pour l'instant en mode lecture seule)

Bref que du bon, je vais préparer du contenu sur le sujet cet été donc venez jeter un oeil sur ce blog pour plus d'informations ;-)

Télécharger Forefront Threat Management Gateway à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd

Un super document sur TCP/IP incluant des informations sur IPv6 (utile donc pour DirectAccess)

En recherchant des informations sur IPv6, je viens de tomber sur une perle : une véritable bible sur TCP/IP incluant bien entendu plein d'informations sur IPv6 et donc forcément très utile en ces temps où se posent plein de questions sur le sujet ;-)

TCP/IP Fundamentals for Microsoft Windows
 
 Chapitre 1  : Introduction à TCP/IP
 Chapitre 2  : Vue d'ensemble de l'architecture de la suite de protocoles TCP/IP
 Chapitre 3  : L'adressage IP
 Chapitre 4  : Le sous-adressage, la segmentation
 Chapitre 5  : Le routage IP
 Chapitre 6  : DHCP
 Chapitre 7  : La résolution de noms d'hôtes
 Chapitre 8  : Vue d'ensemble du DNS
 Chapitre 9  : Le support de DNS dans Windows
 Chapitre 10 : TCP/IP de bout en bout
 Chapitre 11 : NetBIOS sur TCP/IP
 Chapitre 12 : Vue d'ensemble de WINS
 Chapitre 13 : IPsec et le filtrage de paquets
 Chapitre 14 : Les réseaux privés virtuels (VPN)
 Chapitre 15 : Technologies de transition IPv6
 Chapitre 16 : Dépannage TCP/IP

(en rouge les chapitres intéressants pour DirectAccess)

 
Bref vous l'aurez compris, c'est un Must to have dans sa bibliothèque numérique d’autant que le document (je devrais dire le livre car c’est quand même 560 pages !)
  
Télécharger le PDF TCP/IP Fundamentals for Microsoft Windows sur :
http://www.microsoft.com/downloads/details.aspx?FamilyID=c76296fd-61c9-4079-a0bb-582bca4a846f&DisplayLang=en

DirectAccess : mythes & réalité - partie 1 : IPv6

Windows 7 couplé à Windows Server 2008 R2 offre une nouvelle fonctionnalité destinée aux professionnels baptisée DirectAccess.

DirectAccess permet à l'utilisateur de se connecter à distance au Système d'Information de l'entreprise de manière complètement transparente. Les personnes qui utilisent aujourd'hui Outlook 2003 ou 2007 couplé à Exchange Server 2003 ou 2007 avec la fonctionnalité RPC sur HTTPS connaissent déjà une première expérience de la transparence des accès distants : il suffit de démarrer le client de messagerie et celui-ci trouve tout seul le moyen de se connecter au serveur Exchange que le poste soit connecté sur Internet ou au sein du réseau local. Et bien DirectAccess, c'est la même expérience mais appliquée à l'ensemble des applications exécutées sur Windows 7.

A la différence d'une connexion VPN nomade (classique ou SSL), DirectAccess ne nécessite aucune intervention de l'utilisateur, il n'y a pas de connexion à établir au travers d'un gestionnaire de connexion.

Parmi les technologies nécessaires et utilisées par DirectAccess, il y a IPv6, un protocole réseau qui remplacera à terme (disons dans plusieurs, plusieurs années) IPv4 qui le protocole réseau le plus utilisé sur Internet.

Beaucoup de personnes se documentant sur DirectAccess voient IPv6 dans la liste des pré-requis, ce qui génère beaucoup d'interrogations et d'idées reçues :
- Je n'ai pas d'IPv6 dans mon réseau d'entreprise donc je ne peux pas faire de DirectAccess
- Si je veux mettre en oeuvre DirectAccess dans mon entreprise, cela implique une refonte complète de mon infrastructure réseau (Firewall, routeur...)
- Il va falloir refaire les plans d'adressage IP de toute l'entreprise
- DirectAccess ne fonctionnera pas depuis mon réseau à la maison car je suis en IPv4
- Seul les FAI qui proposent de l'IPv6 permettent de faire du DirectAccess
- ....

Du coup, beaucoup pensent que DirectAccess n'est pas possible dans leurs environnements ce qui est une erreur !!!

J’ai donc écrit un article sur ce sujet afin de couper court à toutes spéculations et idées reçues :-)

L’article est visible à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/06/08/directaccess-mythes-r-alit-partie-1-ipv6.aspx

Ma plateforme Windows Server 2008 R2 / Windows 7 avec DirectAccess - des informations utiles

ça y est, je viens de prendre le temps de réinstaller l'ensemble de ma plateforme Windows Server 2008 R2 et Windows 7 avec les versions Release Candidate des OS Server et client.
Du coup, j'en ai profité pour configurer DirectAccess en m'inspirant du nouveau guide pas à pas disponible en téléchargement (cf. http://blogs.technet.com/stanislas/archive/2009/05/25/guide-pas-pas-pour-tester-directaccess.aspx)

Voici donc à quoi ressemble ma plateforme de test (mais aussi de démos, ceux qui me verront en présentation dans les prochains mois pourront la voir de visu)

La suite et le détail de cette plateforme à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/06/01/ma-plateforme-windows-server-2008-r2-windows-7-avec-directaccess-des-informations-utiles.aspx

Ajouter Bing en tant que Search Connector dans Windows 7

Chakkaradeep, un développeur SharePoint vient de poster un Search Connector Windows 7 utilisant notre nouveau moteur de décision BING.

le fichier .OSDX est téléchargeable sur son SkyDrive :

Pour l'installation, c'est très simple : double cliquez sur le fichier .osdx et cliquez sur OK.

Pour utiliser ce Search Connector, le sélectionner dans l'Explorateur et saisir en haut à droite votre recherche (ici : Forefront dans mon exemple)

Plus d'informations sur : http://www.chakkaradeep.com/post/2009/05/31/Add-Bing-to-Windows-7.aspx

Sinon, je vous propose également des Search Connector pour rechercher sur TechNet et MSDN, c'est à l'adresse suivante :
http://blogs.technet.com/stanislas/archive/2009/02/27/4-search-connectors-windows-7-pour-chercher-sur-technet-et-msdn-en-fr.aspx

Ajouter Bing à votre Firefox

Pour les utilisateurs de Firefox, un add-on est désormais disponible pour ajouter le moteur de décisions Bing (www.bing.com) à la liste des moteurs de recherche.

Pour ajouter Bing à la liste, il suffit de cliquer d’ouvrir le menu des options de recherche

Puis cliquer sur Manage Search Engines

Tapez Bing dans la zone de Recherche, puis cliquer sur le bouton Add to Firefox

Et voilà, ça fonctionne :-)

Introduction à la sécurité dans Windows 7

Chris Corio vient d'écrire un article pour l'édition de mai du Magazine TechNet présentant quelques (pas toutes) améliorations en terme de sécurité dans Windows 7: "An Introduction to Security in Windows 7"

Au programme :

• Windows Biometric Framework
• Extending Authentication Protocols
• BitLocker Core Enhancement
• BitLocker To Go
• UAC Improvements
• AppLocker
• Global SACLs and Granular auditing

L'article est à lire si vous n'avez jamais jeté un oeil au sujet car c'est vraiment une introduction.

Version en français : http://technet.microsoft.com/fr-fr/magazine/2009.05.win7.aspx

Version originale en anglais : http://technet.microsoft.com/en-us/magazine/2009.05.win7.aspx

Pour ceux qui veulent aller plus dans le détail, le mieux c'est de regarder les vidéos en français des sessions des Microsoft Techdays 2009 ainsi que les e-démos sur ces sujets :

• 1 heure de démonstrations sur les fonctions de sécurité de Windows 7 [Vidéo Techdays 2009]
  http://blogs.technet.com/stanislas/archive/2009/04/20/1-heure-de-d-monstrations-sur-les-fonctions-de-s-curit-de-windows-7-vid-o-techdays-2009.aspx
• La session de Bernard Ourghanlian : Windows 7 et la sécurité
  http://www.microsoft.com/france/vision/mstechdays09/Webcast.aspx?EID=4b135076-2b9e-4e89-9250-34a47b56aa32
• 2 vidéos sur Windows 7 à télécharger : AppLocker et BitLocker To Go
  http://blogs.technet.com/stanislas/archive/2009/03/13/2-videos-sur-windows-7-a-telecharger-applocker-et-bitlocker-to-go.aspx

Améliorations de la PKI dans Windows 7 et Windows Server 2008 R2

Jean Morello vient d'écrire un article pour l'édition de mai du Magazine TechNet sur les améliorations apportés à la PKI (Infrastructure de clés publiques) dans Windows Server 2008 R2 et Windows 7

PKI Enhancements in Windows 7 and Windows Server 2008 R2

Au programme :

• Consolidation de serveurs
• Amélioration de scénarios existants
• Logiciels + services
• Authentification forte

L'article résume parfaitement les nouveautés et les bénéfices à migrer vers Windows Server 2008 R2 pour ces scénarios.

Lire la version en français : http://technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx
Lire la version originale en anglais : http://technet.microsoft.com/en-us/magazine/2009.05.pki.aspx

Guide pas à pas pour tester DirectAccess

Un nouveau document vient de sortir sur DirectAccess : “Step By Step Guide: Demonstrate DirectAccess in a Test Lab” qui comme son nom l’indique vous permet de mettre en oeuvre une plateforme de test de DirectAccess à partir des versions Release Candidate (RC) de Windows 7 et Windows Server 200 R2

Télécharger le document : http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8d47ed5f-d217-4d84-b698-f39360d82fac

Document comparatif DirectAccess versus VPN

Un petit document comparatif et pas trop technique vient d’être publié afin de vous aider à bien faire la différence entre DirectAccess et une connexion VPN nomade.

A lire si vous n’avez pas encore vu de contenu plus technique sur ces sujets :

Next Generation Remote Access with DirectAccess and VPNs

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=70723e47-3d57-415b-9182-744ceaf8c04a#tm

En mai, fais vraiment ce qu'il te plait :-)

Après une année bien chargée (je parle d’année fiscale US), je prend un peu de repos bien mérité (si si ;-)) direction le soleil !

On se retrouve donc fin mai rechargé à bloc pour la suite…

RSA Conference - les annonces de Microsoft : A New Approach to Enterprise Security

ça démarre aujourd”hui à San Francisco : la RSA Conference 2009, évènement où chaque année Microsoft en profite pour faire ses annonces concernant ses produits de sécurité (principalement la gamme Forefront pour ceux qui sont nouveaux sur ce blog :-))

Quoi de nouveau cette année ?

voici un petit extrait de l’annonce presse de Doug Leland (general manager of Microsoft’s Identity and Security Business Group)

“For example, today we are introducing Forefront Online Security for Exchange, a Microsoft Online Service, which protects e-mail from spam and malware. This is the first of our Forefront Online services to complement our software-based Forefront offerings. Note that we have expanded the Forefront brand to cover our portfolio of identity and security solutions. For example, our Identity Lifecycle Manager product is now officially named Forefront Identity Manager. We see the Forefront brand as synonymous with Business Ready Security.

Another important solution in this area is Microsoft code-named “Geneva,” a new set of technologies that make it dramatically easier for customers to build security-enhanced access into software and hosted services.

Two, we are making security experiences and compliance management much simpler and cost-effective for both IT and businesspeople. In support of this, today we are announcing a new, public test version of Forefront, code-named “Stirling.” “Stirling” is an integrated security suite that coordinates protection and visibility across desktops, servers, applications and the network edge.”

…mais aussi :

“Today we are also announcing a broad group of companies supporting and extending the capabilities of Forefront “Stirling,” including Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point and RSA.”

==> et ça c’est super cool :-)

L’annonce presse (A New Approach to Enterprise Security) est disponible en version complète à l’adresse suivante :

http://www.microsoft.com/presspass/features/2009/Apr09/04-16BusinessReadySecurity.mspx

Aller pour la route, je vous met un témoignage vidéo sur le sujet :-) 

1 heure de démonstrations sur les fonctions de sécurité de Windows 7 [Vidéo Techdays 2009]

Windows 7 était comme vous savez, une des "stars" des Techdays 2009. A cette occasion, Cyril Voisin et moi avons fait une heure de démonstration sur les nouveautés en terme de sécurité dans Windows 7.

“La sécurité est au cœur de nos préoccupations lorsque nous développons de nouveaux produits. Découvrez à travers de nombreuses démonstrations les nouvelles fonctionnalités de Windows 7 en matière de sécurité. En renforçant le contrôle et la sécurité du système, Windows 7 vous permet d’assurer la sécurité de vos postes et la confidentialité de vos données en toute circonstance. A travers les améliorations apportées aux éléments fondamentaux de sécurité et à UAC, avec les évolutions de la solution BitLocker ou encore la nouvelle solution AppLocker, vous découvrirez comment Windows 7 peut vous aider à optimiser la sécurité de vos postes”

Voir la vidéo :
http://www.microsoft.com/france/vision/mstechdays09/Webcast.aspx?eID=51a75253-761e-4c6c-a420-236053f9e090

Et pour passer une autre heure sur le sujet plus dans le détail et en slide, je vous encourage aussi à visualiser la session de Bernard Ourghanlian : Windows 7 et la sécurité

Voir la vidéo :
http://www.microsoft.com/france/vision/mstechdays09/Webcast.aspx?EID=4b135076-2b9e-4e89-9250-34a47b56aa32

Mise à jour de sécurité pour ISA Server 2004, 2006 et Forefront TMG (MBE)

Mise à jour de sécurité pour ISA Server 2004, 2006 et Forefront TMG (MBE)

Voilà après 4 annnées de tranquilité, il fallait bien que ça arrive : un bulletin de sécurité pour ISA Server 2004, 2006 et TMG (MBE) concernant 2 vulnérabilités

Executive Summary
This security update resolves a privately reported vulnerability and a publicly disclosed vulnerability in Microsoft Internet Security and Acceleration (ISA) Server and Microsoft Forefront Threat Management Gateway (TMG), Medium Business Edition (MBE). These vulnerabilities could allow denial of service if an attacker sends specially crafted network packages to the affected system, or information disclosure or spoofing if a user clicks on a malicious URL or visits a Web site that contains content controlled by the attacker.

This security update is rated Important for Forefront TMG MBE, ISA Server 2004, and ISA Server 2006. For more information, see the subsection, Affected and Non-Affected Software, in this section.

The security update addresses the vulnerabilities by modifying the way that the firewall engine handles the TCP state and the way that HTTP forms authentication handles input. For more information about the vulnerabilities, see the Frequently Asked Questions (FAQ) subsection for the specific vulnerability entry under the next section, Vulnerability Information.

Recommendation. Microsoft recommends that customers apply the update at the earliest opportunity.

Known Issues. None.

Les 2 vulnérabililités sont les suivantes :

Web Proxy TCP State Limited Denial of Service Vulnerability - CVE-2009-0077

A denial of service vulnerability exists in the way the firewall engine handles TCP state for Web proxy or Web publishing listeners. The vulnerability could allow a remote user to cause a Web listener to stop responding to new requests.

To view this vulnerability as a standard entry in the Common Vulnerabilities and Exposures list, see CVE-2009-0077.

Cross-Site Scripting Vulnerability - CVE-2009-0237

A cross-site scripting (XSS) vulnerability exists in the HTML forms authentication component in ISA Server or Forefront TMG, cookieauth.dll, which could allow malicious script code to run on the machine of another user under the guise of the server running cookieauth.dll. This is a non-persistent cross-site scripting vulnerability that can lead to spoofing and information disclosure.

To view this vulnerability as a standard entry in the Common Vulnerabilities and Exposures list, see CVE-2009-0237.

Informations complémentaires dans le bulletin de sécurité : MSRC bulletin MS09-016              http://www.microsoft.com/technet/security/bulletin/ms09-016.mspx

La mise à jour est disponible via Microsoft Update mais vous pouvez aussi télécharger le correctif en passant par les fiches de la base de connaissance par version d'ISA / TMG :

ISA Server 2004

Correctif Pour ISA Server 2004 Standard et Entreprise
MS09-016: Description of the security update for ISA Server 2004: April 14, 2009
http://support.microsoft.com/kb/960995/en-us/
Note : Pour appliquer ce correctif, il faut que le SP3 d'ISA Server 2004 Standard ou Entreprise  ait été installé
Note 2 : l'application de ce correctif implique un redémarrage du serveur

ISA Server 2006

A cross-site scripting vulnerability in ISA Server 2006 allows for redirection to malicious sites
http://support.microsoft.com/kb/968077/en-us/

FIX: ISA Server stops accepting new requests after you configure Web publishing, Web proxy, or Automatic discovery
http://support.microsoft.com/kb/958951/en-us/

Correctif pour ISA Server 2006 Standard et Entreprise
MS09-016: Description of the ISA Server 2006 hotfix package: April 14, 2009
http://support.microsoft.com/kb/968078/en-us/
Note : l'application de ce correctif implique un redémarrage du serveur

Forefront Threat Management Gateway Medium Business Edition

You encounter a Web listener TCP State vulnerability in Forefront Threat Management Gateway MBE
http://support.microsoft.com/kb/961831/en-us/

A cross-site scripting vulnerability in Forefront Threat Management Gateway MBE allows for redirection to malicious sites
http://support.microsoft.com/kb/968076/en-us/

Correctif pour Pour Microsoft Forefront Threat Management Gateway, Medium Business Edition
Windows Essential Business Server 2008 Standard
MS09-016: Description of the Forefront Threat Management Gateway MBE hotfix package: April 14, 2009
http://support.microsoft.com/kb/968075/en-us/
Note : l'application de ce correctif implique un redémarrage du serveur

Last Note : ces vulnérabilités ne concernent pas ISA Server 2000 SP2

et comme dirait mon collègue Pascal : “Patchez-vous bien”