2. Infrastructure ISA : Introduction
2.1. Microsoft ISA Server en deux mots
Microsoft ISA Server fonctionne essentiellement en tant que
pare-feu. Il offre au réseau d’entreprise un magnifique outil de
sécurité performent et conviviale. En effet ISA Server 2004, de
par sa nouvelle interface, offre une convivialité exemplaire. Tout est
documenté, schématisé et l’interface présente
une bonne ergonomie. L’information est là où nous là
recherchons.
2.2. Différents positionnement (DMZ, deux ISA, …)
2.2.1. L'interface
 |
Microsoft ISA Server vous permet de définir le
type de topologie que vous désirez mettre en place. Les différentes
topologies se présentent sous forme de modèles. Pour avoir
accès à ces différents modèles, vous devez vous
rendre dans le gestionnaire ISA Server et sélectionnez : ISA >
Configuration > Réseaux.
Vous trouverez une interface à la fois agréable et performante. |
Dans cette interface vous pouvez voir le modèle que
vous utilisez au centre, en dessous, il y a différentes informations
sur les connexions auxquelles ce serveur est relié puis il y a les différents
modèles de topologie disponible sur le coté droit de l’interface.
2.2.2. Mise en place d’un modèle
Pour mettre en place votre stratégie de pare-feu, vous
devez sélectionner le modèle représentant la stratégie
la mieux adaptée à votre réseau et à la sécurité
que vous voulez y affecter.
Une fois votre choix sélectionné l’assistant « Modèle
de réseau » apparaît :
Cliquez sur Suivant. Le formulaire suivant
vous permet de sauvegarder la configuration actuelle de votre serveur ISA Server.
Cette étape est vivement conseillée si vous intervenez sur un
serveur qui est déjà en production. Cette sauvegarde vous permet,
si jamais vos modifications sont sources des problèmes, de pouvoir revenir
à la configuration initiale. Par contre, si vous venez d’installer
votre serveur cette étape ne vous est pas utile.
Les étapes suivantes vont vous permettre d’affecter
des plages d’adresses IP aux différentes interfaces de votre serveur
en fonction de la topologie souhaitée. Comme ci-dessous, on indique la
plage d’adresses IP correspondant au réseau interne.
Une fois que la correspondance entre les plages d’adresses
IP et les différents éléments de la topologie est définie,
il vous est demandé de spécifier votre stratégie.
Chaque modèle de topologie possède des stratégies différentes.
Elles vous seront expliquées dans la suite de l’article.
Cliquez sur « Suivant » puis «
Terminer »
2.3. Modèle conseillé pour la publication d’un serveur Exchange Server
La topologie « dos à dos »,
présentée dans l'annexe, est la topologie qui offre le plus de
sécurité à votre serveur Exchange.
Elle vous permet de joindre votre serveur Exchange depuis
l’extérieur en traversant un pare-feu. Celui-ci étant affecté
spécifiquement pour relier la DMZ à Internet, il vous permettra
de configurer les accès possibles depuis l’extérieur. Il
vous suffira pour cela de spécifier les protocoles et/ou les listes d’accès
autorisés à le traverser.
Le deuxième pare-feu, celui qui relie votre réseau d’entreprise
à la DMZ, vous permettra d’empêcher, tout ou partie du trafic
ayant traversé le premier pare-feu. Il permettra également de
limiter le trafic entre la DMZ et le réseau d’entreprise. Mais
étant dans un réseau déjà sécurisé,
il peut être intéressant d’avoir plus d’aisance vis-à-vis
de l’accès au serveur Exchange que l’on pourrait avoir de
l’extérieur. Comme par exemple une connexion directe au serveur
de mail par le biais du protocole IMAP4.
2.3.1. Méthode conseillée pour l’accès complet
à Outlook depuis un site distant
Pour sécuriser l’accès au serveur Exchange
à partir d’un site extérieur, vous avez deux possibilités :
- La première est possible depuis peu, grâce à la nouvelle
génération de serveur Microsoft. Il s’agit de l’utilisation
du protocole RPC via le protocole HTTP. La mise en place vous est expliquée
au chapitre « La publication RPC sécurisée pour octroyer
aux employés distants un accès client complet à Outlook
»
- La deuxième méthode consiste à utiliser ISA Server
pour mettre en place un VPN. C’est un tunnel sécurisé
qui a la capacité d’interconnecter un ordinateur distant au réseau
en passant par Internet. Ce système a pour avantage d’être,
une fois installé, transparent pour l’utilisateur. En effet,
une fois la manipulation effectuée, l’utilisateur est connecté
au réseau distant comme s’il était connecté de
manière locale au réseau de l’entreprise.
2.4. Les assistants de publication du serveur de messageries Microsoft Exchange Server
Microsoft ISA Server met, à votre disposition, trois assistants de publications
:
- Un dédié aux connexions SMTP/POP3/IMAP4.
- Un dédié à la publication du serveur Outlook
Web Access.
- Un dédié à la publication de serveur Exchange
à serveur Exchange.
Ces assistants de publications sont des plus intuitifs. Et c’est une
très bonne chose, étant donnée l’importance de la
configuration du pare-feu. Effectivement, le fait de publier un serveur sur
Internet, signifie qu’il est susceptible de recevoir tous types d’attaques.
De plus, comme tout le monde a pu déjà le remarquer, les serveurs
de messageries ne sont pas les derniers à être attaqués.
Les hackers explorent toutes les failles, et c’est pour cela qu’il
faut être extrêmement vigilant lors de la configuration de votre
pare-feu.
De plus, une mauvaise configuration pourrait gêner vos utilisateurs.
Ces assistants vous guideront vers la solution optimale, tout en laissant l’administrateur
vérifier voire corriger la politique mise en place.
 Sommaire
1. Exchange Server : Accès clients
1.1. Les différents types de clients de messageries
1.2. Rappel sur les ports TCP utilisés par les clients de messagerie
2. Infrastructure ISA : Introduction
2.1. Microsoft ISA Server en deux mots
2.2. Différents positionnement (DMZ, deux ISA, …)
2.3. Modèle conseillé pour la publication d’un serveur Exchange Server
2.4. Les assistants de publication du serveur de messageries Microsoft Exchange Server
3. Accès client WEB
3.1. Pourquoi utiliser Microsoft ISA Server pour publier Outlook Web Access ?
3.2. Les assistants publication du serveur Outlook Web Access
3.3. Utilisation de certificats SSL (HTTPS)
3.4. L’authentification par formulaires pour augmenter la sécurité de Microsoft Outlook® Web Access (OWA)
4. Accès Client
4.1. Différences entre POP3/SMTP et POP3S/SMTPS
4.2. L’assistant de publication sécurisée sur serveur SMTP/POP3/IMAP4 (POP3S,IMAP4S)
4.3. La publication RPC sécurisée pour octroyer aux employés distants un accès client complet à Outlook
4.4. La réduction de courriers électroniques non sollicités à l’aide du filtre de messages SMTP
4.5. Les filtres SMTP et POP3 pour se protéger contre les attaques de serveur de courrier
5. Communication de serveur à serveur
5.1 Publication des ports de communication nécessaire pour la communication serveur à serveur sur ISA Server 2004
5.2. Création d'une règle de sortie du protocole SMTP
6. Annexes
6.1. Les différents modèles de configuration ISA Server 2004
7. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Protegez Exchange Server 2003 avec ISA Server 2004
