SUPINFO International University

SUPINFO Institute of Information Technology
Laboratoire Microsoft
  Laboratoire Microsoft |  Blog  |  Forum |  FaqXP |  CertifExpress 




Tous les Articles du Laboratoire Microsoft

Protegez Exchange Server 2003 avec ISA Server 2004
Accueil > Articles > Serveurs
Auteurs 
Antoine RICHET
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Ingénieur Système

 Tous les articles de cet auteur

3,8/5
Bien


106204
155/597

3. Accès client WEB

3.1. Pourquoi utiliser Microsoft ISA Server pour publier Outlook Web Access ?

La publication d’Outlook Web Access par l’intermédiaire de Microsoft ISA Server 2004 vous permet d’empêcher un accès externe direct à votre serveur. Le nom et l’adresse IP du serveur Exchange ne sont pas divulgués à l’utilisateur. L’utilisateur se connecte, donc, au serveur ISA qui se charge de l’authentification du client en fonction de la stratégie mise en place. Si l’authentification est concluante, ISA crée le lien entre ce client et le serveur.

De plus, ISA Server vous offre tout un ensemble de moyens qui vous permettra d’adapter la sécurité de vos connexions aux besoins de l’entreprise.

3.2. Les assistants publication du serveur Outlook Web Access

Les assistants de publications sont disponibles dans l’arborescence : ISA > Stratégie de pare-feu

A droite de l’écran, dans l’onglet « Tâches », cliquez sur « Publier un serveur de courrier ».

L’assistant s’ouvre, cliquez sur suivant.

Nommez votre stratégie de manière explicite. Cela vous permettra de vous y retrouver. Si cela est nécessaire, n’hésiter pas à la renommer par la suite (Bouton de droite sur la règle > Propriétés).

Sélectionnez la première option. Les deux autres options vous seront présentées dans les chapitres suivants.

Sélectionner les types de services que vous désirez publier :

  • Outlook Web Access comprend la publication Web du serveur Exchange. Il définira les modalités de connexion qui seront requises pour la connexion d’un navigateur Web au serveur Exchange.
  • Outlook Mobile Access permet aux clients utilisant les technologies mobiles de pouvoir avoir accès aux différents services Outlook. Par exemple : un téléphone utilisent le WAP ou Imod aura la possibilité d’afficher les mails reçus.
  • Exchange ActiveSync offre la possibilité de synchroniser la messagerie d’appareil de type Pocket PC avec le serveur de messagerie. L’utilisateur évite de se connecter à son ordinateur pour pouvoir synchroniser les mails avec son Pocket PC. Cette méthode est disponible avec les appareils de type Pocket PC, et Smartphone utilisant le client ActiveSync.

Ensuite il faut indiquer le mode de pontage souhaité. Le pontage va définir le type de connexion autorisé entre le client et le serveur de messagerie via le ISA Server. Dans un premier temps, l’assistant va nous permettre de choisir entre trois différentes configurations de pontage :

  • Connexion sécurisée aux clients :

    Cette connexion permet de sécuriser le trafic extérieur en obtenant un certificat SSL auprès d’une autorité de certification commerciale (Verisign,…). Dans ce cas de figure tout le trafic généré entre les clients et le serveur ISA va être crypté.
  • Connexion sécurisée aux clients et au serveur de courrier :

    Ce type de pontage va apporter un degré de sécurité supplémentaire car elle va crypter à la fois le trafic externe et interne. Pour réaliser cette connexion, il faut cette fois-ci posséder deux certificats SSL et dans ce cas de figure, l’entreprise peut créer son certificat à l’aide d’une racine de certification pour chiffrer les données transitant entre le serveur de messagerie et ISA server.
  • Connexions standard uniquement :

    Cette connexion n’apporte aucun niveau de cryptage et permet simplement la publication d’Outlook Web Access pour les personnes extérieures.

Il ne faut pas oublier qu’ISA Server accroît la sécurité de la publication à l’aide de son filtre HTTP et ce dans tous les cas cités précédemment. Pour configurer ce filtre HTTP, il faut faire un clic droit sur la règle créé et choisir Configurer HTTP.

La stratégie HTTP va vous permettre de configurer le filtre HTTP pour la règle voulue.

Par exemple, vous avez la possibilité de bloquer une demande en fonction :

  • de la longueur de la trame,
  • de la longueur de l’URL,
  • de la méthode de demande HTTP (Post, Get),
  • de l’extension du nom de fichier de la demande HTTP,
  • de l’en-tête de réponse ou de demande HTTP,
  • et/ou de la signature ou modèle figurant dans les en-têtes ou dans le corps des demandes ou des réponses.

Pour plus de sécurité, il est conseillé de choisir « Connexion sécurisée aux clients et au serveur de courrier ».

Une fois le style de pontage définit, vous aurez la possibilité de modifier les ports utilisés lors de ce pontage. Dans les propriétés de la règle créée, l’onglet Pontage permet de spécifier le port vers lequel va être redirigé le trafic en fonction du protocole (HTTP ou HTTPS).

Indiquez le nom du serveur Exchange ou son adresse IP.

Le contenu du champ « serveur de courrier Web » doit correspondre à la fois au nom permettant de joindre le serveur Exchange en interne mais surtout au nom utilisé par sur le certificat que vous avez créé pour le serveur de courrier. Si vous utilisez un nom différent, le serveur affichera l’erreur suivante sur les écrans des clients :

Indiquez le nom que l’utilisateur saisira sur son navigateur pour atteindre le serveur Web. Il vous sera possible de rajouter des noms publics auxquels le serveur devra répondre par la suite.

Indiquez le port concerné par cette règle. Si vous n’avez pas spécifié de port d’écoute, cliquez sur Nouveau pour en créer un.
C’est justement dans le port d’écoute qu’il va falloir spécifier le certificat SSL utilisé pour chiffrer le trafic entre les clients et le serveur ISA.

Dans la fenêtre suivante, spécifier les utilisateurs ou les groupes d’utilisateurs autorisés à se connecter à Outlook Web Access.

Il est important de rappeler qu’ISA Server est un outil de sécurité Microsoft qui peut tirer tout profit d’Active Directory.

3.3. Utilisation de certificats SSL (HTTPS)

L’utilisation de certificats SSL permet de crypter le trafic réseau. Dans le cadre de cet article, il peut permettre de crypter les connexions entre le client et le serveur ISA, puis, entre le serveur ISA et le serveur Exchange.
Afin de poursuivre la mise en sécurité de vos connexions, vous devez préalablement installer un certificat. Cette étape vous permet de tirer entièrement profit de l’utilisation des certificats par l’utilisation d’un serveur ISA. Nous ne traiterons pas, dans cet article, la mise en place d’un certificat. Pour cela, je vous invite à consulter le site de Microsoft : http://www.microsoft.com/france/technet/securite/secmod30.mspx

Pour mettre en place l’utilisation de certificat au sein de votre serveur ISA Server, vous devez configurer le port d’écoute qui est utilisé pour la publication et que vous désirez sécuriser. Pour cela, rendez-vous dans le gestionnaire de votre serveur ISA. Développez ISA et cliquez sur « Stratégie de pare-feu ». A droite de l’écran, cliquez sur l’onglet « Boîte à outils ». Sélectionnez, comme dans l’image ci-dessous, Objet de réseau > Ports d’écoute Web.
Vous pouvez voir apparaître les ports d’écoute, qui vous ont été proposés de créer avec les utilitaires de publications. Si vous n’avez pas encore créer de port d’écoute, vous pouvez en créer un. Pour cela, cliquez, avec le bouton de droite, sur « Ports d’écoute » et « nouveau port d’écoute Web ».

A présent, cliquez, avec le bouton droit, sur le port utilisé pour publier votre serveur Exchange.

Activez le SSL et sélectionnez votre certificat.

Il vous est, également, possible de désactiver l’écoute sur le port http port 80. De plus, en cliquant sur « Authentification… », vous avez la possibilité d’obliger les clients à s’authentifier (de base, intégré, Radius, digest, certificat SSL, ..).

3.4. L’authentification par formulaires pour augmenter la sécurité de Microsoft Outlook® Web Access (OWA)

L’authentification par certificats vous permet d’optimiser votre sécurité. En effet, l’authentification se fera par le biais de http, et donc, de HTTPS, si vous l’avez bien mis en place. Ce qui signifie, grâce à cette méthode, que vos identifiants de connexion seront cryptés.

Il est, donc, vivement conseillé de mettre en place une authentification par formulaires. Pour vérifier si cette étape est bien faite, vous devez voir apparaître à l’écran, quand vous vous connectez, ceci :

Pour mettre en place ce formulaire, vous devez vous rendre dans le gestionnaire du système Exchange, disponible sur le serveur Exchange. Démarrer > Programmes > Microsoft Exchange > Gestionnaire système.

Développez : Groupe d’administration > Premier groupe d’administration > (Votre serveur Exchange) > Protocoles > HTTP.
Cliquez avec le bouton de droit puis propriétés. Vous pouvez activer, dans l’onglet Paramètres, l’authentification basée sur les formulaires.

Pour vous assurer que le serveur ISA transmette l’utilisation du formulaire, suivez les étapes indiquées dans le chapitre précédant (Utilisation de certificats SSL (HTTPS)). Une fois que vous êtes arrivés dans les propriétés de votre port d’écoute, cliquez sur Authentification et sélectionnez l’authentification OWA Forms-Based, comme ci-dessous.

Cliquez sur OK deux fois.

Sommaire

1. Exchange Server : Accès clients
    1.1. Les différents types de clients de messageries
    1.2. Rappel sur les ports TCP utilisés par les clients de messagerie

2. Infrastructure ISA : Introduction
    2.1. Microsoft ISA Server en deux mots
    2.2. Différents positionnement (DMZ, deux ISA, …)
    2.3. Modèle conseillé pour la publication d’un serveur Exchange Server
    2.4. Les assistants de publication du serveur de messageries Microsoft Exchange Server

3. Accès client WEB
    3.1. Pourquoi utiliser Microsoft ISA Server pour publier Outlook Web Access ?
    3.2. Les assistants publication du serveur Outlook Web Access
    3.3. Utilisation de certificats SSL (HTTPS)
    3.4. L’authentification par formulaires pour augmenter la sécurité de Microsoft Outlook® Web Access (OWA)

4. Accès Client
    4.1. Différences entre POP3/SMTP et POP3S/SMTPS
    4.2. L’assistant de publication sécurisée sur serveur SMTP/POP3/IMAP4 (POP3S,IMAP4S)
    4.3. La publication RPC sécurisée pour octroyer aux employés distants un accès client complet à Outlook
    4.4. La réduction de courriers électroniques non sollicités à l’aide du filtre de messages SMTP
    4.5. Les filtres SMTP et POP3 pour se protéger contre les attaques de serveur de courrier

5. Communication de serveur à serveur
    5.1 Publication des ports de communication nécessaire pour la communication serveur à serveur sur ISA Server 2004
    5.2. Création d'une règle de sortie du protocole SMTP

6. Annexes
    6.1. Les différents modèles de configuration ISA Server 2004

7. Conclusion



En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

News

Microsoft annonce la sortie de Silverlight 2
13/10/2008

09/10/2008 : Configurez Windows Server 2008 Core sans taper aucune commande

09/10/2008 : Téléchargez et Testez Windows Embedded Standard 2009

09/10/2008 : L’outil MSAT disponible en version 4.0

08/10/2008 : Vérifiez la cohérence de votre système !

02/10/2008 : Annonce : sortie de Microsoft Hyper-V Server 2008

30/09/2008 : Steve Ballmer se donne 5 ans pour concurrencer Google

30/09/2008 : Cray et Microsoft nous dévoilent le supercalculateur de bureau

29/09/2008 : Découvrez l’expérience : SQL Server 2008 !

25/09/2008 : Nouveaux Bonus pour Windows Vista Ultimate

Toutes les news Réagir à une news dans le Forum