|
Tous les Articles du Laboratoire Microsoft
3. Exemples d'architectures sécurisées
exemple d'architecture type
Le schéma représente un réseau
type où est intégré un service
de messagerie sécurisé. En interne,
les utilisateurs vont interroger leur serveur DNS qui va leur donner
les informations sur le serveur dorsal de messagerie. Et
comment cela va-t-il se passer pour les utilisateurs en déplacements?
Ils vont devoir utiliser Internet pour se connecter au serveur de
messagerie de leur entreprise. Vous comprenez alors qu'il ne serait
pas judicieux d'ouvrir une porte directe vers le serveur interne
à votre système d'information. C'est pourquoi, il
faut mettre un firewall qui va autoriser les protocoles
SMTP en entrée et IMAP4, POP3 en sortie vers l' IP du serveur
frontal que l'on isole dans un réseau intermédiaire
communément appelé DMZ (DeMilitarized
Zone).
|
Depuis Internet, vos utilisateurs vont interroger
le serveur frontal qui va se charger de les authentifier et de faire
les requêtes auprès du serveur dorsal. En fait, le
serveur frontal ne contient pas la base de donnée des messages.
Ainsi, même si un hacker arrive à franchir le premier
firewall, il n'aura accès à aucune boîte mail
et pourra pas non plu franchir le second pare-feu qui filtre avec
l' adresse IP du serveur frontal et l'adresse IP du serveur dorsal
(celle étant attribuer de manière fixe et permanente).
Mais afin d'obtenir une sécurité maximale, il faut
mettre aussi un firewall entre le serveur frontal et
dorsal qui n'autorise que les échanges selon
certains protocoles entre ces deux serveurs. De cette façon,
aucun client ne pourra interroger directement le serveur dorsal
depuis Internet: ce serait une faille de sécurité
importante car votre serveur de messagerie serai à la merci
de n' importe quel spammer. .
|
En local, vos utilisateurs peuvent directement
consulter le serveur dorsal. Ainsi, vous
pourrez définir des autorisations d'accès différentes
entre les utilisateurs qui accèdent aux serveurs dans le
LAN et ceux qui veulent avoir accès depuis Internet. En effet,
les risques ne sont pas les mêmes: en local il est plus facile
de détecter la présence d'un hackeur sur le réseau!
L'avantage de mettre en place un système frontal/dorsal est
donc de procéder à une différenciation
des utilisateurs à partir de leur méthode
d'accès aux serveurs (locale ou distante). De plus votre
serveur frontal va vous permettre une répartitions
de charge, en effet, il s'occupera des échanges
vers internet. Tirant partie de la bande passante importante entre
les serveurs (un backbone d'1Gb/s permet d'avoir des communications
bien plus rapides qu'Internet!), votre serveur dorsal s'occupera
uniquement des accès locaux et ne sera pas ralenti par les
accès distants.
|
Un serveur frontal est le serveur vers lequel les
utilisateurs d'Internet vont faire des requêtes. Il se charge
alors de rechercher le serveur dorsal vers qui s'adresser pour pouvoir
répondre à la requête du client. De cette façon
les utilisateurs n'ont pas à se soucier de votre architecture,
ils n'ont qu'à savoir qui est le serveur frontal. La gestion
de sa boîte mail lui reste alors transparente.
|
Quels sont les pré requis?
Voici la liste des services minimums pour utiliser
Outlook Web Access sur votre serveur frontal :
- Microsoft Exchange – Moteur de routage
- Services IPSec
- Service d’admin IIS
- Service de publication World Wide Web
À moins que vous souhaitiez activer les connexions POP3,
IMAP4 ou SMTP, auquel cas, les services correspondant seront nécessaires.
Les autres services lies à Exchange peuvent alors être
désactivés.
|
Comment interroger un serveur Dorsal?
Dans une topologie serveur frontal/dorsal, chaque
serveur frontal détermine le serveur dorsal qui contient
la ressource voulue en interrogeant Active Directory avec une requête
LDAP. Active Directory va quant à lui chercher dans les informations
de son DNS pour fournir l'adresse IP du serveur dorsal correspondant.
Dans la pratique vous devez attribuer
manuellement ce rôle sur le serveur frontal.
Pour cela, vous devrez modifier les propriétés de
votre serveur comme sur le screenshot qui suit. Notez que cette
console vous permet de configurer de nombreux paramètre relatif
au serveur Microsoft Exchange (Active directory, Exchange, IIS).
|
 |
Ce serveur va donner la possibilité à
vos utilisateurs d'accéder à leur messagerie à
l'intérieur du LAN. En outre, il va donner tous les renseignements
qu'un serveur frontal pourra lui demander.
|
Le serveur dorsal Microsoft Exchange contient
la base de donnée Exchange, c'est à dire l'ensemble
des boites mails de vos utilisateurs ainsi que les dossier public,
agenda partagé et autre... Il sera donc le seul à
connaître le contenu de toutes les boites mails de toute
votre infrastructure : de ce fait son rôle est critique.
Peut-être serait-il serait même préférable
d'avoir au minimum deux serveurs dorsaux si vous souhaiter avoir
un service de messagerie qui soit sujet à la
tolérance de panne. Et dans ce cas vous pourriez
aussi gérer la répartition de charge que les
technologies Microsoft Server mettent à votre
disposition.
|
En fait, le serveur dorsal est Le serveur de
messagerie à proprement parler. Le serveur frontal gérant
plutôt les interfaces ouvertes aux utilisateurs, le serveur
dorsal va s'occuper, quant à lui, de la gestion des alias,
du routage des messages au sein de votre domaine et des envois
et réception des mails vers l'extérieur.
|
Quels sont les pré requis?
Voici maintenant les services
que vous pouvez désactiver sur un serveur Exchange dorsal
:
- Microsoft Exchange – IMAP4
- Microsoft Exchange – POP3
- Microsoft Search
- Microsoft Exchange – Service Événement
- Microsoft Exchange – Service de réplication de sites
- Localisateur d’appels de procédure distante (RPC)
- NNTP
|
 Introduction
1.Présentation d'OWA
1.1 Les avantages
1.2 Description de l'interface
1.3 Les inconvénients
2. Sécurisation
2.1 Introduction
2.2 Un outils sécurisé ?
2.3 HTTP over SSL, votre meilleure arme !
2.4 IPSec, pourquoi une seconde méthode de criptage...
3. Exemples d'architectures sécurisées
3.1 Le système frontal/dorsal
3.2 Implémentation d'un serveur frontal
3.3 Implémentation d'un serveur dorsal
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
|
 |
Présentation de Microsoft Outlook Web Access 2003 (OWA) 
