4. Accès Client
4.1. Différences entre POP3/SMTP et POP3S/SMTPS
Dans cette partie, je vais vous montrer ce qui transit entre
le client et le serveur ISA dans les deux modes de publication (standard ou
sécurisé).
Lors de la réalisation de cette démonstration, l’infrastructure
était configurée, comme le montre le schéma suivant :
Lors du premier test, il a fallu lancer le service POP3
sur le serveur Exchange, configurer la publication de ces 2 protocoles sur le
serveur ISA puis configurer le client POP3 (Outlook 2003) pour
qu’il se connecte au serveur ISA.
Lors du lancement de Microsoft Outlook 2003, nous pouvons constater
que l’ordinateur Paribis(192.168.0.121) s’authentifie sur le port
POP3 (110) avec le mot de passe password. Il est, donc, très
facile de récupérer le mot de passe utilisé.
Lors de l’envoi d’un mail, on s’aperçoit
tout simplement que celui-ci est transmis sur le réseau en clair. Voici
les informations que nous pouvons relever :
- Emetteur : Administrateur@labo.org
- Destinataire : antoine@labo.org
- Sujet du message : Test
- Contenu du message : Ceci est un message en clair
Pour sécuriser cette communication, lors du deuxième
test, les services POP3 et SMTP sont protégés
par l’utilisation d’un certificat. Dans ce cas de figure, il est
souhaitable d’utiliser un certificat provenant d’une autorité
commerciale. De plus, comme Exchange Server et Microsoft Outlook utilisent le
port 25 pour le trafic SMTPS, il faut créer
un nouveau protocole sur le serveur ISA utilisant le port 25 au lieu du port
465 utilisé, par défaut, par ISA pour ce protocole.
Dans ce test, on s’aperçoit que le trafic POP3
est crypté et transit par le port « POP3 protocol over
TLS/SSL (was spop3) » (numéro : 995)
Ensuite lors de l’envoi d’un mail, le client se
connecte au serveur SMTP (par le même port, 25), via
la commande HELO, et averti le serveur de messagerie que la
communication va être crypté (STARTTLS). Il devient,
donc, impossible de lire le contenu du mail envoyé.
4.2. L’assistant de publication sécurisée sur serveur SMTP/POP3/IMAP4 (POP3S,IMAP4S)
Indiquez le nom de votre nouvelle règle.
Vous pouvez indiquer ce que vous désirez mais il est conseillé,
comme dit précédemment, d’indiquer un nom qui vous permettra
de vous y retrouver.
Cochez : « Accès client : RPC, IMP, POP3,
SMTP ».
La fenêtre ci-dessus est très importante. Elle
vous permet de choisir les protocoles qui seront publiés.
Attention : si des règles sont déjà
établies, cette manipulation ne les modifiera pas. Par exemple : si vous
avez publié auparavant le protocole POP3 avec l’option port standard
et que vous publiez POP3 en ne cochant que le port sécurisé, les
deux ports seront actifs. Si vous voulez supprimer un port déjà
actif, il faut que vous le supprimiez dans les « Stratégie
de Pare-feu ».
Chaque protocole sélectionné donnera suite à une règle
indépendante. L’assistant vous permet de les créer ces règles
de manière groupées car elles sont similaires.
Vous pouvez, à présent, sélectionner les services que
vous désirez publier.
Par exemple, dans l’image ci-dessus, nous publions les protocole POP3
et IMAP4 de manière sécurisée.
Indiquez l’adresse IP du serveur Exchange.
Indiquez le ou les réseaux concernés par cette
règle. Vous avez, également, la possibilité d’indiquer
des plages d’adresses IP.
Cliquez sur « Suivant » puis sur « Termier
»
4.3. La publication RPC sécurisée pour octroyer aux employés
distants un accès client complet à Outlook
Pour publier RPC, par le protocole http,
vous devez, tout d’abord, ajouter, sur le serveur ISA, le composant Proxy
RPC sur HTTP dans les Services de mise en réseau.
Ensuite, vous devez configurer la méthode d’authentification
du répertoire virtuel RPC dans le gestionnaire IIS sur « authentification
de base ».
Configurer le serveur proxy RPC pour qu’il utilise les
ports spécifiques à RPC sur HTTP : Modifier la clef de registre
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy\ValidPorts sur le
serveur proxy RPC en y ajoutant les informations suivantes
sans aucuns espaces ni saut de ligne :
« ExchangeServer:593;ExchangeServerFQDN:593;
ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;
ExchangeServer:6004;ExchangeServerFQDN:6004; GlobalCatalogServer:593;GlobalCatalogServerFQDN:593;
GlobalCatalogServer:6004;GlobalCatalogServerFQDN:6004 »
Sachant que les variables ExchangeServer et GlobalCatalogServer
sont les noms NetBIOS de votre serveur Exchange et de votre catalogue global.
ExchangeFQDN et GlobalCatalogServerFQDN sont
les noms DNS complets de votre serveur Exchange et de votre catalogue global.
En suite, dans l’utilitaire de gestion de votre serveur ISA, développez
l’arborescence, comme dans l’exemple ci-dessous, et sélectionnez
« Stratégie de pare-feu ». A votre droite,
dans l’onglet « Tâche », cliquez sur
« Publier un serveur de courrier »
Après avoir indiquez le nom de votre règle, sélectionnez
« Accès client : RPC, IMAP, POP3, SMTP »
puis sélectionnez Outlook RPC dans la boîte suivante.
Dans les fenêtres suivantes, iIndiquez l’adresse
IP de votre serveur et sélectionnez le réseau sur lequel ISA Server
va écouter.
Une fois la rêgle terminé, allez dans les propriétés
de celle-ci.
Dans l’onglet « Trafic »,
cliquez sur « Filtrage ».
Sélectionnez « Appliquer le cryptage
» et cliquer sur « OK ».
Dans l’arborescence du gestionnaire d’ISA Server, développez,
comme dans l’exemple ci-dessous, et cliquez sur « ADD-ins
».
En affichant les propriétés de « Filtre
RPC », vous pouvez vérifier que le filtre est bien activé.
4.4. La réduction de courriers électroniques non sollicités à l’aide
du filtre de messages SMTP
Le protocole SMTP est le principal mode de transfert de courrier
dans le monde entier. De nos jours, avec l'augmentation des messages non sollicités
(spam, publicité, …), il devient primordial d'appliquer le filtrage SMTP pour
limiter l'activité des serveurs de messageries.
L'implémentation d'ISA Server 2004 apporte deux puissantes
fonctions qui protègent l’utilisation du protocole SMTP non chiffré avec un certificat des pirates informatiques.
Pour cela, il faut, tout d'abord, configurer la publication SMTP du serveur de courriers
sur ISA Server.
 |
L’assistant, «Publier un serveur de courrier», va permettre de
mettre en place la publication de votre serveur de courrier. Il vous aidera
à configurer les protocoles de communication ainsi que les autorisations
permettant à vos clients de joindre le serveur de courrier. |
Tapez le nom de la règle.
Sélectionnez Accès client : RPC, IMAP, POP3, SMTP.
Vous pouvez remarquer dans la boîte de dialogue, ci-dessus,
qu’il est stipulé que, pour bénéficier pleinement du filtrage SMTP, le filtreur
de messages doit être installé. Ce composant s’installe en même temps que
le serveur ISA 2004. Il ne faut pas non plus oublier que pour fonctionner,
vous devez aussi installer un serveur virtuel SMTP. (Le service SMTP est un
service IIS, vous le trouverez dans la console «ajout de composants
Windows»).
Une fois les protocoles sélectionnés, il ne vous reste plus
qu'à entrer l'adresse du serveur SMTP vers lequel vous souhaitez rediriger
les paquets reçus, en spécifiant, par la suite, à partir de quel réseau vous
allez attendre ces paquets.
Une fois l’assistant terminé, vous pouvez constater la création de la règle,
ci-dessous, résumant les paramètres que vous venez de rentrer en créant celle-ci.
4.5. Les filtres SMTP et POP3 pour se protéger contre les attaques
de serveur de courrier
4.5.1 Le filtre SMTP
L'utilisation du Filtre SMTP permet d'inspecter le contenu
des mails, qui transitent par le protocole SMTP, directement sur le pare-feu
en examinant les commandes SMTP. Il s’assure, également, qu’elles ne sont pas
dangereuses pour votre serveur de messagerie.
Lors de la création de la règle de publication ci-dessus, ISA
Server 2004 a automatiquement
appliqué et activé le Filtre d’application SMTP aux règles définies précédemment.
Pour nous en rendre compte, il suffit de regarder les propriétés des protocoles
Serveur SMTP figurant dans notre règle.
Le filtre SMTP apparaît bien coché dans la catégorie filtre
d’application. Cela signifie que, lorsqu’un message SMTP transitera par le serveur
ISA en direction de notre serveur de courrier, celui-ci serra confronté aux
règles définies dans notre filtre SMTP.
Le filtre SMTP examine les commandes SMTP envoyées par des
serveurs et des clients SMTP Internet. Ce filtre peut intercepter des commandes
SMTP et vérifier qu'elles respectent la longueur maximale autorisée. Les commandes
SMTP d'une taille supérieure aux limites configurées sont considérées comme
des attaques contre le serveur SMTP. Elles peuvent être arrêtées par le filtre
SMTP.
Une longueur maximale est associée à chaque commande SMTP.
Cette longueur représente le nombre d'octets autorisé pour chacune de ces commandes.
Si un intrus envoie une commande qui excède le nombre d'octets autorisé pour
celle-ci, Microsoft ISA Server supprime la connexion et empêche l'intrus de
communiquer avec le serveur de courrier de l'entreprise.
Lorsqu'un client utilise une commande définie mais désactivée,
le filtre ferme cette connexion. Lorsqu'un client utilise une commande non reconnue
par le filtre SMTP, le message n'est pas filtré. Si un client utilise la
commande TURN, tous les messages électroniques sont ignorés par le filtre.
Le RFC considère que la commande AUTH fait partie dela
commande MAIL FROM. Pour cette raison, le filtre SMTP ne bloque les commandes
MAIL FROM que lorsqu'elles excèdent la longueur des commandes MAIL FROM et AUTH
émises (lorsque la commande AUTH est activée). Si, par
exemple, vous spécifiez une longueur maximale de 266 octets pour MAIL FROM et
de 1024 octets pour AUTH, le message n'est bloqué que si la commande MAIL FROM excède 1290
octets.
Ensuite, l'utilisation du composant «Filtreur de messages»
peut stopper les mails entrants et sortants à l'aide d'une étude en profondeur
sur :
- La destination,
-
La provenance,
-
La présence de mots clés dans le sujet ou dans le corps du mail,
-
Le nom, le type et la taille des pièces jointes.
Pour pouvoir intervenir sur les éléments ci-dessus, l’installation
du filtreur de messages, présenté plus haut, est obligatoire.
Si un message correspond à l'une des caractéristiques, ci-dessous,
à l'aide du filtre SMTP, le serveur ISA peut immédiatement supprimer ou transférer
le message au responsable de la sécurité si besoin est. Le filtre de message
peut être configuré pour qu'il bloque les mails dont les pièces jointes sont
identifiées comme nocives (virus ou logiciels néfastes).
Vous pouvez retrouver le filtre SMTP pour le configurer dans
le menu « Add-ins » :
Par défaut, le filtre SMTP est activé comme le montre la boîte
de dialogue des propriétés du filtre. Il est fortement recommandé de vérifier
l’activation de ce filtre sinon la configuration, que vous allez lui apporter,
ne serra pas appliquée aux messages qui transitent par le serveur ISA.
A) La destination et la provenance
Dans l’onglet Utilisateurs/domaines, vous avez la
possibilité de bloquer les messages qui transitent par votre serveur en fonction
de l’adresse Email de l’expéditeur et/ou en fonction du domaine de destination
du message.
B) La présence de mots clés dans le sujet ou dans le
corps du mail
Dans l’onglet « Mots clés », vous avez
la possibilité de rechercher la présence d’un ou plusieurs mots « interdits »
dans l’objet ou le corps d’un message au format brut ou HTML.
Vous pouvez configurer le filtreur de messages SMTP pour
qu'il supprime les messages électroniques, les mette dans une file d'attente
pour une analyse ultérieure, ou les transmette au compte de l'administrateur
de la sécurité afin qu'il puisse effectuer une analyse approfondie.
C) Le nom, le type et la taille des pièces jointes
Le filtreur de messages est, également, sensible à la présence
des pièces jointes dans les messages. Vous allez, donc, pouvoir attribuer le
même type d’actions que pour l’élément précédent mais, cette fois-ci, en fonction
du nom, de l’extension ou de la taille de la pièce jointe.
4.5.2 Le filtre POP3
Le filtre POP (Post Office Protocol) intercepte et
analyse le trafic POP destiné au réseau interne. Spécifiquement, il recherche
les attaques par dépassement de tampon POP.
Ce type d'attaque se produit lorsqu'un intrus distant tente
d'accéder à la racine d'un serveur POP en faisant déborder un tampon interne
du serveur.
Pour pouvoir utiliser le Filtre de détection d’intrusion
POP, il faut créer une règle de publication de serveur de courrier en autorisant
l’accès distant à l’aide du protocole POP3.
Une fois cette règle créée à l’aide de l’assistant, on peut
s’apercevoir que ce dernier lui attribue directement le filtre d’application
de détection d’intrusion POP tout simplement car celui-ci est associé au protocole
POP3 créer par défaut dans ISA Server 2004.
Le filtre de détection d’intrusion POP est activé par défaut
lors de l’installation d’ISA Server 2004. Pour vous en assurer, regardez dans
les propriétés de celui-ci.
 Sommaire
1. Exchange Server : Accès clients
1.1. Les différents types de clients de messageries
1.2. Rappel sur les ports TCP utilisés par les clients de messagerie
2. Infrastructure ISA : Introduction
2.1. Microsoft ISA Server en deux mots
2.2. Différents positionnement (DMZ, deux ISA, …)
2.3. Modèle conseillé pour la publication d’un serveur Exchange Server
2.4. Les assistants de publication du serveur de messageries Microsoft Exchange Server
3. Accès client WEB
3.1. Pourquoi utiliser Microsoft ISA Server pour publier Outlook Web Access ?
3.2. Les assistants publication du serveur Outlook Web Access
3.3. Utilisation de certificats SSL (HTTPS)
3.4. L’authentification par formulaires pour augmenter la sécurité de Microsoft Outlook® Web Access (OWA)
4. Accès Client
4.1. Différences entre POP3/SMTP et POP3S/SMTPS
4.2. L’assistant de publication sécurisée sur serveur SMTP/POP3/IMAP4 (POP3S,IMAP4S)
4.3. La publication RPC sécurisée pour octroyer aux employés distants un accès client complet à Outlook
4.4. La réduction de courriers électroniques non sollicités à l’aide du filtre de messages SMTP
4.5. Les filtres SMTP et POP3 pour se protéger contre les attaques de serveur de courrier
5. Communication de serveur à serveur
5.1 Publication des ports de communication nécessaire pour la communication serveur à serveur sur ISA Server 2004
5.2. Création d'une règle de sortie du protocole SMTP
6. Annexes
6.1. Les différents modèles de configuration ISA Server 2004
7. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Protegez Exchange Server 2003 avec ISA Server 2004
Accès
direct aux définitions :