Ouverture exchange et sécurité [résolu] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 29-05-2007 à 16:02:05
En fait je ne pense pas que ton serveur gère l'authentification, il forwardera simplement les requetes vers ton PDC puisqu'un serveur frontal n'hébèrge aucun compte (http://technet.microsoft.com/fr-fr/library/ec546a82-c56b-4509-b827-54f02504c6ba.aspx)
Donc je pense que le serveur frontal est prévu pour faire tout cela sur une seule et même machine
Marsh Posté le 29-05-2007 à 21:02:04
ceque je ferais:
profiter de l''opportunité pour mettre une passerelle antispan, et mettre un accès par owa:
tu crées une DMZ dans laquelles tu mets un serveur sur lequel tu fais tourner un relai SMTP avec filtrage des mails, ainsi qu'un reverse proxy.
La configuration que JE ferais:
une bete machine linux, bien dimensionnée (pas forcément trop grosse, tout dépend de la charge, mais si vous avez qu'un exchange qui avait accès internet, ca doit pas etre trop gros) avec dessus spamassassin et amavis (antivirus) qui tournent sur un postfix en mode relay.
Pour le proxy, tu fais tourner sur cette meme machine un Squid ou un apache en reverse proxy (redirige tout le traffic du port 443 vers le 443 de l'exchange).
Te voila avec une jolie DMZ et un exchange qui n'est plus direct sur le NET.
PS: bien sur, tu peux faire la meme chose avec une passerelle mail sous windows, et un ISAProxy pour pas forcément le même prix ...
PPS: je suis pas sur d'avoir bien compris la question en fait.
Marsh Posté le 30-05-2007 à 09:53:33
Oui exchange 2003,
Merci trictrac pour ta solution linux , c'est ce que je voulais entendre
Sinon pour avoir accès à mes applications client/serveur interne depuis l'exterieur, je sais que VPN IPSec est le plus approprié ....
Mais je voudrais savoir si il est possible de faire ceci avec une connection SSL via un navigateur et des applets Java ?
Marsh Posté le 30-05-2007 à 10:11:05
Salut,
Il me semble que d'ajouter un Squid par dessus un OWA est en quelque sort demesuré puisque le serveur Exchange frontal agit déjà en quelque sorte comme un proxy. Ca complexifie l'architecture pour un gain de sécurité qui me semble pas évident.
Pour les VPN, si tu veux faire du SSL alors soit tu utilises OpenVPN mais qui possède le même inconvénient que les VPN IPSec, à savoir la présence d'un client lourd, soit tu te tournes vers une appliance, mais attention c'est cher les boitiers Cisco, Aventail et autre c'est $10,000 environ pour 50 connexions.
Enfin un VPN ne remplace pas le client, tu auras toujours besoin d'Outlook a moins d'avoir du Citrix, dans ce cas ca pourra en effet être interfacé avec du java, ou bien de lancer une session RDP en java vers un serveur quelconque interne afin d'ouvrir un Outlook, ce qui me parait un peu de la "bricole".
Pour ma part je trouve que les VPN IPSec sous Windows 2003 sont plutôt pas mal, ca permet à tes utilisateurs d'ouvrir direct leur session sur le domaine si tu as les profils itinérants (ou si tu comptes les déployer prochainement). En plus avec l'architecture IAS tu peux également sécuriser ton WiFi et avec la PKI (pour les VPN L2TP) tu peux crypter tes dossiers utilisateurs et sécuriser ton mail. Par contre ca nécessite le patch NAT-T sur tous les clients et c'est plus lourd à mettre en place
Marsh Posté le 30-05-2007 à 10:16:16
bah 'linteret est de virer l'exchange en frontal bien sur et de le mettre en interne pour 0 euros ... si tout l'interet de la solution ...
et pour ce qu'il veut faire, pas besoin de VPN, c'est trop lourd, les users vont le tuer si c'est juste de la consultation de mail.
Marsh Posté le 30-05-2007 à 10:27:28
Dans tous les cas le prix est le même si il a Exchange 2003, et l'avantage d'utiliser frontal/dorsal c'est d'avoir une architecture unifiée..
Je comprend pas le besoin de mettre une Linux box par dessus mais le résultat est le même c'est sûr, Exchange 2003 faisant également anti-spam.
C'est lui qui pose la question pour les VPN je l'ai pas inventé, c'est surement pas pour les mails
Marsh Posté le 30-05-2007 à 10:52:34
interet ?
securiser, tout simplement.
La liux box,n une fois configurée, sera transparente, tant en terme de reverse proxy que de relay mail.
Toute l'admin ne se fera qu'au niveau du exchange.
Le cout entre un 2° server exchange et une linux box n'est certainement pas le meme, excuse moi ...
Enfin, il est en stage, il a donc le temps, et apprendra plus avec ma solution (qu'il vendra plus facilement a son tuteur)
Pour le VPN: c''est a lui que je repondais
Marsh Posté le 30-05-2007 à 11:02:43
Justement il est en stage, un solution perenne ne doit pas etre trop atypique par rapport aux connaissances de l'admin..
Ceci dit je suis d'accord avec toi pour dire que ta proposition est plus interessante et plus formatrice dans le cadre d'un stage
Marsh Posté le 30-05-2007 à 11:37:49
Nous utilisons un serveur exchange en frontal sur une DMZ, cela dit le pb de cette solution si tu n'utilises pas de ISA c'est que sur ton firewall tu es obligé d'ouvrir toute une ribembelle de port entre ton frontal et ton dorsale (DMZ -> LAN donc).
Marsh Posté le 30-05-2007 à 12:02:54
Ok merci pour vos informations,
-Pour les comptes de messagerie cela est clair et je vais présenté les différentes architecture à mon tuteur (frontal/dorsal exchange, box linux dans la DMZ,...).
-Cependant l'accès aux applications clients/serveur est plus complexe.
Certe les VPN IPSec permettent ceci de manière très sécurisé mais quand est t-il si le poste client (chez lui) est infécté par un cheval de troie ou un virus?
Le pirate peut se connecter aux réseaux et modifier le contenu des applications sans que l'on s'en rende compte.
Une solution VPN SSL ne permetterait pas de mieux gérér cela avec des applets java qui s'execute sur le poste client pour verifier par exemple le niveau de sécurité du poste ou la mise à jour des antivirus/firewall?
Merci d'avance
Marsh Posté le 30-05-2007 à 14:18:25
Salut,
Ta remarque concernant la sécurité est tout a fait pertinente, toutefois en redirigeant tout le traffic dans ton VPN ton ordinateur s'isole du reste d'internet et il ne peut agir comme passerelle entre Internet et le réseau local de ton entreprise
Marsh Posté le 30-05-2007 à 14:30:35
Oui mais il faut un firewall sur le poste nomade car il peut quand même être infecter depuis Internet même avec un VPN.
Ou alors avec une offre 3G sur carte PCMCIA illimité bridée uniquement aux ports necessaire aux VPN.
Marsh Posté le 31-05-2007 à 14:49:08
Merci de vos informations, elles me sont très utiles.
J'en ai fini avec mes questions
Marsh Posté le 29-05-2007 à 15:19:37
Bonjour à tous,
Dans le cadre de mon stage je dois sécuriser (plus d'accès direct à internet) le serveur de messagerie interne (derriere une Pix) et mettre en place une structure pour pouvoir se connecter à son compte messagerie depuis n'importe quel poste.
J'ai donc pensé à mettre un serveur frontal Exchange dans la DMZ. Il devra géré l'authentification des utilisateurs et rediriger les requetes vers le serveur interne.
Il devra géré aussi le relais de mail.
Je pense que exchange peu gérer les deux fonctions la sur une meme machine mais vaudrait mieux pas séparer sur deux machines distinct ?
Je voudrais savoir ce que vous pensez de cette solution ?
Avez vous des conseils ou d'autre solution?
Merci d'avance
Message édité par hitman00 le 31-05-2007 à 15:14:28