Julien QUÉMENT
Etudiant en informatique
Mise en quarantaine avec QSS
Les tunnels VPN sont une solution couramment utilisée pour se connecter à distance à son entreprise. Le chiffrement et l’authentification en font une solution fiable. Pourtant le tunnel VPN sera inefficace si un poste client se connecte au réseau de l’entreprise alors qu’il est infecté par un virus, troyen, spyware,… Pour corriger ce problème il existe la mise en quarantaine d’une connexion VPN.
C’est ce que fait le logiciel Quarantine Security Suite (QSS) en facilitant sa mise en place dans ISA Serveur 2004.
Présentation
Côté serveur
Contrairement à ISA Server où l’on configure la mise en quarantaine par un fichier script, la configuration avec QSS se fait par une interface graphique ce qui facilite sa mise en place.
Il apporte aussi un renforcement de la sécurité en introduisant une zone tampon qui empêche le contact direct entre un client VPN en quarantaine et le serveur ISA, ce qui bloque les virus au niveau du poste client. Cette zone tampon est gérée par le service FTP de Windows.
QSS est compatible avec ISA Serveur 2004 Standard et Enterprise, et il est gratuit pour les petites entreprises n’ayant besoin que de trois connexions VPN simultanées.
QSS comprend 3 composants :
_ QSS Security Client pour le poste de travail
_ QSS Approval Server pour le serveur. Il recueille les demandes du client
_ QSS Deposit Server pour le serveur. C’est la zone tampon entre QSS Security Client et QSS Approval Server.
Côté client
Sa simplicité s’applique aussi au poste client. Si ce dernier est refusé, sa « mise aux normes » sera facilitée pour l’utilisateur car QSS va lui indiquer clairement que la connexion n’a pu se faire et va exécuter automatiQUÉMENT les corrections.
Enfin il faut savoir que le client QSS à installer sur le poste de l’utilisateur est personnalisable aux couleurs de l’entreprise à l’aide de skin, et qu’il est multilingue.
Avant d’installer, il faut que ISA soit installé et configuré. Le service SERVER et le service RRAS de Windows doivent être démarré, .net Framework et le service FTP de Windows installés.
Côté serveur
Installation
1. Télécharger une version du CD d’installation sur le site www.esnouf.net
2. Lancez l’installation de la partie de serveur en exécutant QSSASSetup.exe
3. Pendant l’installation il apparaîtra une fenêtre d’authentification. Mettez y votre login administrateur précédé de votre nom de machine tel que : pc-test\administrateur. Ensuite entrez le mot de passe et sa confirmation.
4. L’installation se poursuit en configurant le service FTP qui va servir de zone tampon.
5. QSS est apparu en tant que service. Il faut alors l’exécuter, mais celui-ci va s’arrêter aussitôt. Il aura alors généré un fichier QSSASSVC-DK.txt à la racine du disque où QSS est installé. Ce fichier contient une clé qui vous permettra d’obtenir la licence gratuite.
6. Pour obtenir cette licence allez à l’adresse: http://www.isaserverfr.org/QSSKEYGEN/webform1.aspx
7. Entrez une adresse mail, ainsi que la clef contenue dans le fichier QSSASSVC-DK.txt, et cliquez sur Generate Key. Vous recevrez alors un numéro de série à l’adresse mail indiquée ainsi que des instructions pour l’activation, suivez-les.
8. Enfin démarrez le service QSS.
Configuration
1. Exécutez QSS configuration console dans le menu Démarrer.
2. Nous allons en premier lieu configurer les conditions d’obtention d’une connexion VPN dans l’onglet Edit/Modify security policy.
3. Entrez le nom de l’antivirus exécuté sur le poste de travail. La case Cure indique l’action à faire si l’antivirus n’est pas exécuté.
4. Vous pouvez préciser la version des signatures antivirus ainsi qu’une commande de mise à jour si ce n’est pas la bonne version.
5. Ils existent des zones de saisie pour la vérification de Microsoft Antispyware, mais cette fonction n’est pas exécutable pour l’instant.
6. Vous pouvez vérifier si le Firewall de XP est activé ainsi que le partage de connexions avec les paramètres TRUE ou FALSE.
7. Vous pouvez indiquer les mises à jour qui doivent être installées et sinon sur quel site les récupérer.
8. Il est aussi possible de spécifier les versions de systèmes acceptés.
9. Pour activer la configuration, cliquez sur le bouton Save.
Création de la règle dans ISA Server
Dans ISA Server il faut créer une règle qui va permettre l’accès au serveur ISA en passant par QSS.
Dans cette règle nous aurons comme protocoles :
_PING qui indique à QSS Security Client si le tunnel VPN est connecté.
_FTP qui est utilisé par QSS Security Client à envoyer sa configuration au serveur
Il faut décocher le filtre « Lecture seule » appliqué par défaut au protocole FTP.
Pour le réseau source, il faut sélectionner les clients VPN et les clients VPN en quarantaine.
Pour le réseau de destination, il nous faut créer un objet ordinateur sur lequel pointe l’adresse IP du serveur ISA.
Enfin pour les utilisateurs, on choisira tous les utilisateurs.
Appliquez les changements. Votre serveur est prêt à recevoir des connexions.
Côté client
Configuration
Dans le CD d’installation, vous trouverez un dossier Security Client qui contient tous les éléments à installer sur le client. Dans ce dossier se trouve le fichier clientconfig.xml. Il contient les paramètres qui vont être utilisé par QSS Security Client.
1. Configurer le nom de votre société entre les balises COMPANYNAME, qui apparaîtra en titre dans la fenêtre de QSS Security Client.
2. Configurez aussi l’adresse IP de votre serveur ISA se trouvant entre les balises FTPSERVER.
3. Les balises SELECTLANGUAGE contient les paramètres TRUE ou FALSE indiquant respectivement si l’utilisateur peut choisir la langue ou si le logiciel prend la langue par défaut de Windows.
4. Vous pouvez spécifier dans les balises COMPANYLOGO, un fichier image contenant le logo de votre entreprise qui apparaîtra dans QSS Security Client. (exemple : compagnylogo.jpg à la racine du dossier Security Client).
Installation
1. Une fois la configuration du fichier clientconfig.xml faîte, nous allons lancer l’installation à partir de l’exécutable QSSSCSetup.exe.
2. On vous demande de choisir une langue d’installation mais celle-ci n’a aucune incidence sur le choix des langues à l’utilisation du client.
3. Ensuite on vous demande de choisir dans la liste l’antivirus installé sur votre poste client.
4. Une fois l’installation terminée, vous pouvez exécuter le client QSS. Pour qu’il soit en service. Il faut penser à automatiser le démarrage de QSS Security Client au démarrage de Windows pour qu’il soit opérationnel immédiatement.
5. Si vous lancez une connexion VPN, la fenêtre ci-dessus apparaît. Si tous les points sont validés, la connexion VPN est active. Sinon en fonction du problème rencontré, il sera exécuté la solution que vous avez configuré sur le serveur. L’utilisateur devra ensuite relancer la connexion VPN.
Conclusion
Quarantine Security Suite facilite la mise en service de la quarantaine VPN pour ISA Server 2004. Mais il contient aussi une interface conviviale pour l’utilisateur qui ne sera pas désarçonné lors d’une erreur de connexion. De plus une version 4.0 est en préparation pour une future intégration avec ISA Server 2006.