Téléverser un fichier

sécuriser un serveur exchange 2003 frontal

prev
next
out of 10
Download Sécuriser un serveur Exchange 2003 frontal

Upload: brahim-khalil-zakraoui

Post on 18-Jul-2015

117 views

Category:

Documents


0 download

Report

TRANSCRIPT

Scuriser un serveur Exchange 2003 frontalAccueil > Articles > Serveurs Auteurs Mathieu MANSION EXAKIS Ingnieur d'tudes Tous les articles de cet auteur 122562 113/321

Microsoft Exchange est le serveur de messagerie de Microsoft. Celui-ci offre beaucoup de services afin de permettre tous vos utilisateurs d'accder de manire simple et rapide leurs messages, comme par exemple un accs par Webmail, par serveur POP ou encore un serveur IMAP. Microsoft Exchange 2003 permet galement l'utilisation d'une architecture serveur frontal / serveur dorsal. Les serveurs dorsaux excuteront Exchange 2003 et contiendront toutes les botes aux lettres de vos utilisateurs, tandis que les serveurs frontaux agiront comme des redirecteurs et transmettrons les demandes des utilisateurs aux serveurs dorsaux. A cette architecture, vous pourrez rajouter la mise en cluster de vos serveurs Exchange afin de permettre un accs constant vos serveurs de messagerie. Cette article concernera uniquement les serveurs frontaux, leurs configuration, leurs scurisation, ainsi que leur mise en cluster. Pour raliser cette article, la ralisation d'une petite architecture Exchange 2003 tait ncessaire. Cette architecture contiendra un serveur Exchange dorsal ainsi que deux serveurs frontaux, sans oublier notre contrleur de domaine qui hbergera tous les services Active Directory, celui-ci tant ncessaire pour installer Microsoft Exchange 2003. Voici donc le schma de l'infrastructure utilise :

Sommaire 1. Configuration du serveur frontal 1.1 Les diffrentes architectures 1.2 Dclaration d'un serveur frontal 2. Configuration et scurisation du serveur frontal 2.1 Paramtrage d'Outlook Web Access (OWA) 2.2 2.2 Scurisation d'OWA 2.3 Utilisation de S/MIME avec OWA 2.4 Implmentation de IPSec entre les serveurs frontaux et dorsaux 2.5 Scurisation de POP et IMAP 3. Exchange et le clustering 3.1 NLB 3.2 MSCS Conclusion

1. Configuration du serveur frontal1.1 Les diffrentes architecturesEn choisissant d'implmenter une architecture de serveur frontaux et dorsaux, vous aurez plusieurs possibilits selon votre choix du niveau de scurit ou de complexit de configuration. Microsoft propose principalement quatres types d'architecture :

L'architecture ci-contre isole les serveurs frontaux entre deux pare-feu. L'avantage de cette architecture est l'isolement de des serveurs frontaux puisque, si vos serveurs frontaux venaient se faire pirater, le pirate n'aurait pas accs vos banques de bote aux lettres. Les deux pare-feu jouent galement un rle de filtrage puisque le pare-feu situ entre le client (rseau externe) et le serveur frontal servira filtrer les demandes concernant les serveurs frontaux tandis que le deuxime pare-feu filtrera les demandes entre les serveurs frontaux et dorsaux. Dans cette architecture, on place les serveurs frontaux dans le rseau interne avec les serveurs dorsaux. La particularit de cette infrastructure est le placement d'un serveur ISA jouant le rle de proxy entre deux parefeu. Les deux pare-feu dispose du mme rle que dans la configuration prcdente, cependant, les demandes du client seront retransmises par le serveur ISA aux serveurs frontaux contrairement l'architecture prcdente o c'tait les pare-feu qui transfraient la demande. Cette architecture offre un niveau de scurit lev et c'est la configuration recommand par Microsoft.

Cette configuration place vos serveurs frontaux dans le rseau interne de votre entreprise. Afin de scuriser l'accs celui-ci on place un pare-feu entre le rseau externe et le rseau interne. Avec cette architecture, vous devez ouvrir certains ports et les rediriger vers vos serveurs Exchange frontaux, comme par exemple les ports http, imap, pop, ou bien https, imaps ou encore pops.

La dernire architecture est le placement de vos serveurs frontaux en dehors de votre rseau et de vos pare-feu. Bien videment, c'est l'architecture la plus dconseille puisqu'elle met disposition de tout le monde vos serveurs frontaux sans scurit.

Il ne vous reste plus qu'a choisir quelle architecture est la plus adapte votre rseau, selon vos besoins de scurit et selon les ouvertures de ports qu'elles requirent sur les diffrents pare-feu. Vous retrouverez ci-dessous les diffrents ports utiliss par les services de messagerie : Protocole Numro de port SMTP 25 HTTP 80 POP3 110 NNTP 119 IMAP 143 LDAP 389 HTTPS 443 NNTPS 563 IMAPS 993 POPS 995

1.2 Dclaration d'un serveur frontal

Une fois que vous aurez install Microsoft Exchange 2003 sur votre futur serveur frontal, il ne vous reste qu'a le dclarer dans le Gestionnaire de systme Exchange. Lancez donc le Gestionnaire de systme et rendez-vous dans le dossier "Serveurs". Affichez les proprits du serveur destin devenir un serveur frontal, puis cochez la case Serveur Frontal dans la nouvelle fentre qui s'affiche.

L'utilisation de serveurs frontaux demandent quelques petites modifications au niveau de l'application de mise jour comme par exemple le service pack 2 de Microsoft Exchange 2003. En effet, vous devrez d'abord appliquer les mises jour sur le ou les serveurs frontaux puis sur les serveurs dorsaux. Si vous essayez d'installer la mise d'abord sur un serveur dorsal, vous obtiendriez un message d'erreur et la mise jour ne sera pas possible.

2. Configuration et scurisation du serveur frontal2.1 Paramtrage d'Outlook Web Access (OWA)La principale interface de communication entre vos serveurs Exchange et vos clients sera Outlook Web Access. Il est donc important de bien configurer ce service pour permettre aux utilisateurs un accs simple et fiable. La premire tape de configuration sera la mise en place d'une authentification OWA avec des formulaire afin d'obetnir une authentification avec une page web et donc personnalisable. Pour se faire, rendez-vous dans le Gestionnaire de systme Exchange, puis dveloppez l'arborescence ci-dessous :

A partir de cet emplacement, il vous suffit d'afficher les proprits de l'objet Serveur virtuel Exchange du conteneur HTTP. Dans la nouvelle fentre qui s'affiche, il vous suffit d'aller dans l'onglet Paramtre, puis de slectionner Activer l'authentification base sur les formulaire ainsi qu'une haute comprhension pour minimiser la taille des trames HTTP.

2.2 Scurisation d'OWA

Afin de scuriser la communication des mots de passe Outlook Web Acces, vous pouvez implmenter HTTPS sur le site web. Pour se faire, l'utilisation de certificat est ncessaire. Cette demande de certificat demande plusieurs tapes, et la premire de ces tapes s'effectuent sur votre serveur frontal et plus prcisment dans la console IIS, que vous pouvez lancer partir de la commande Excuter et entrant inetmgr. Faites ensuite un clic droit pour afficher les proprits du site contenant le rpertoire virtuel Exchange (le site par dfaut, sauf si changement) afin den afficher les proprits. Allez ensuite dans longlet Scurit de rpertoire et cliquez sur Certificat de serveur.

Cette action va lancer un assistant qui vous permettra dobtenir un certificat pour le https. Suivez lassistant en entrant les paramtres suivant : Cration dun certificat. Prparation de la demande, mais ne pas lenvoyer maintenant. Rentrez le nom de votre site web et laissez la longueur de la clef (1024 bits). Lassistant vous demande des informations concernant le serveur de certificat, rentrez simplement le nom de votre autorit de certification dans le champ Organisation et Websrv dans le champ Unit dorganisation. Remplissez ensuite les demandes de localit et laissez lemplacement par dfaut du certificat (c:\certreq.txt) Vous venez de crer une demande de certificat, il ne vous reste plus qu lenvoyer au serveur de certificat. Pour ce faire, connectez-vous au site web du serveur de certificat ladresse suivante : http://adresse_du_serveur/certSrv.

Cliquez sur le lien Demander un certificat, puis sur demande de certificat avance. On vous proposera plusieurs choix avec diffrent mode de chiffrage, choisissez :

Copiez/collez dans la fentre lensemble du document se trouvant dans c:\certreq.txt. Pensez mettre Serveur Web dans le champ Modle de certificat et validez la demande. On vous proposera enfin de tlcharger votre certificat. Enregistrez-le avec un nom clair et dans un emplacement que vous pourrez facilement retrouver. Il ne vous reste plus qua linstaller dans IIS. Pour se faire, dans la console de gestion dIIS, retournez dans lassistant que vous avez utilis pour crer une demande de certificat. Vous remarquerez que lassistant a chang et vous propose de traiter votre demande de certificat en attente. Choisissez donc cette option et indiquez lemplacement du certificat que vous venez denregistrer. Laissez ensuite le port par dfaut pour le SSL et validez la fin de lassistant. Maintenant que votre site web possde un certificat, il faut le configurer pour quil lutilise. Encore une fois, affichez les proprits du site web contenant le rpertoire virtuel Exchange, et allez dans longlet Scurit de rpertoire. Modifiez ensuite les communications scurises et cochez la case Requrir un canal scuris et Exiger le cryptage 128 bits.

Dernire petite chose concernant la configuration d'IIS avec HTTPS, vous devrez permettre un accs authentifier de base en cochant la case Authentification de base dans la fentre de mthode dauthentification. Cette fentre sobtient en cliquant sur Modifier de la partie Authentification et contrle daccs de longlet Scurit de rpertoire. Vous pouvez galement spcifier un domaine par dfaut dans cette fentre de manire ce que les utilisateurs n'aient pas besoin de l'indiquer lors de leur accs OWA.

2.3 Utilisation de S/MIME avec OWAPour pouvoir utiliser la signature des messages avec Exchange 2003, il vous faut installer le service pack 2 sur vos serveurs. De plus, comme HTTPS, S/MIME requiert un certificat, et donc une autorit de certificat.

S/MIME servira deux choses dans votre infrastructure Exchange. La premire concernera la signature des messages afin de pouvoir identifier de manire sure les utilisateurs vous envoyant des mails. En effet, il peut arriver que l'identit d'un utilisateur soit usurpe pour l'envoie de pice jointe contenant des virus. Le systme de signature permettra donc d'identifier ce type de mail afin de ne pas les ouvrir. La deuxime utilisation de S/MIME sera le chiffrement des mails. De cette manire, avec le systme de clef publique / clef prive, vous pouvez vous assurer que seul la personne possdant un de ces certificats pourra lire votre message. Cet article concernera la configuration de S/MIME avec Outlook Web Acces, si vous dsirez configurer S/MIME avec Outlook 2003, vous pouvez consulter l'article de Nicolas Milbrand ici.

La premire tape de configuration de S/MIME sera la demande de certificat pour vos utilisateurs. De la mme manire que le HTTPS, connectez-vous ladresse http://nom_serveur/certSrv. Cliquez ensuite sur Demander un certificat, puis Certificat utilisateur. Validez enfin en cliquant sur Envoyer. Cette action installera un certificat utilisateur au nom de l'utilisateur sur l'ordinateur. L'utilisation de S/MIME avec OWA requiert l'installation d'un module. Pour pouvoir l'installer, il vous suffit d'ouvrir une session sur OWA. Choisissez ensuite d'afficher les options d'OWA en cliquant sur Option dans le menu en bas, et dans la nouvelle page qui saffiche, cliquez sur Tlcharger dans la zone Scurit de messagerie.

Une fois le fichier setupmcl.exe excut, retournez dans la page des options dOWA et vous verrez que la zone Scurit de messagerie a chang. Il ne reste plus qu cocher la case Ajouter une signature numrique aux messages sortants.

Vous remarquerez galement lapparition de nouvelles options dans la fentre de composition dun mail.

Cependant, vous l'aurez remarqu, avec cette mthode, tous vos utilisateurs vont devoir faire une demande sur le serveur de certificat. Afin d'automatiser cette demande, vous pouvez dployer les certificats via les GPO. Pour se faire, rendez-vous dans la console dadministration de certificat : Autorit de certificat. Dans la console, dveloppez larborescence afin dobtenir le dossier Modle de certificat, puis dans la partie de droite, faites un clic droit puis slectionnez Grer afin de lancer une nouvelle console : Certtmpl.msc. Faites un clic droit sur Utilisateur et choisissez Dupliquer. Validez la nouvelle fentre sans modifier les paramtres par dfaut pour permettre au certificat dtre dlivr automatiquement. Affichez les proprits de votre nouveau modle et rendez vous dans longlet Scurit. Assignez Utilisateurs du domaine le droit dinscrire automatiquement ce certificat.

Fermez la console pour retourner dans la console Autorit de certificat. Il vous suffit ensuite de rajouter le modle que vous venez de crer comme dans la partie 2.4. Il vous suffit de configurer une GPO larborescence ci-contre. Le paramtre configurer est Paramtre dinscription automatique. Il ne vous reste plus qua configurer votre GPO pour la lier votre domaine et de cette manire, tous vos utilisateurs possderont un certificat pour signer leurs mails.

2.4 Implmentation de IPSec entre les serveurs frontaux et dorsauxAfin que la communication entre vos serveurs frontaux et vos serveurs dorsaux soient scurises, il est recommand de mettre en place un systme de chiffrement avec IPSec. Pour se faire, IPSec permet l'utilisation de plusieurs possibilits d'authentification des clients, notamment l'utilisation d'une cl prpartage, l'utilisation de Kerberos ou encore d'utiliser une structure PKI avec les certificats. Bien videment, cette dernire solution est de loin la plus scurise, et c'est pourquoi nous dtaillerons son utilisation dans cet article. Il est noter que vos serveurs frontaux et dorsaux devront possder un certificat et IPSec de configurer afin de permettre le chiffrement des communications. Outre la configuration du serveur du certificat, vous devrez dans un premier temps configurer ce serveur de certificat distribuer des certificats IPSec aux ordinateurs. Pour se faire, ouvrez la console Autorit de certification se trouvant dans les outils d'administrations. Dveloppez ensuite l'arborescence de la console, puis faites un clic droit sur Modles de certificats, slectionnez ensuite Nouveau / Modle de certificat dlivrer. Dans la fentre Activer les modles de certificats, slectionnez IPSEC.

Une fois que votre ordinateur est capable de distribuer des certificats IPSec, il ne vous reste plus qu'a l'attribuer vos serveurs. Pour se faire, vous pouvez le faire manuellement en important le certificat localement, ou bien en utilisant les Stratgies de groupe. Cet article dtaillera l'attribution via les Stratgies de groupe puisque d'un point de vu pratique, il est prfrable de les utiliser dans le cas o vous disposez d'un parc d'ordinateur assez consquent. Crez donc une nouvelle stratgie de groupe, soit via GPMC ou bien la console Utilisateur et ordinateur Active Directory, puis rendez-vous dans Configuration ordinateur, Paramtres Windows, Paramtres de scurit, puis Stratgies de cl publique. Faites ensuite un clic droit sur Paramtres de demande automatique de certificat, et enfn slectionnez Nouveau / Demande automatique de certificat Vous lancerez un assistant. Dans la page Modle de certificat, slectionnez IPSEC. Il ne vous reste plus qu'a lier votre GPO une unit d'organisation contenant vos serveurs afin de dployer vos certificats.

Il ne vous reste plus qu'a configurer IPSec sur vos serveurs Exchange. Pour se faire, il suffit d'ouvrir une console MMC afin dy ajouter le composant Gestion de la stratgie de scurit IP. Lors de lajout du composant, il faut bien vrifier que celui-ci va configurer lordinateur local. L'ajout du composant Moniteur de scurit IP peut tre utile afin de vrifier que le trafic est scuris. De la mme manire que pour l'attribution des certificats IPSec, vous pouvez utiliser les stratgies de groupe pour affecter une configuration IPSec sur vos ordinateurs. Dans votre GPO, dveloppez l'arborescence Configuration ordinateur, Paramtres Windows, Paramtres de scurit, puis cliquez sur Stratgie de scurit IP sur Active Directory, puis dans le panneau droite sur Serveur (demandez la scurit) afin den afficher les proprits. Dans longlet Rgles, Modifiez Tout le trafic IP. Slectionnez ensuite longlet Mthode dauthentification. Supprimez les ventuelles entres dj existantes, puis crer une nouvelle mthode d'authentification avec le bouton Ajouter. Dans la nouvelle fentre, cochez le bouton radio Utiliser un certificat mis par cette Autorit de certification et slectionnez le nom de votre autorit de certificat en cliquant sur Parcourir.

2.5 Scurisation de POP et IMAPPour clore ce chapitre, nous allons scuriser avec SSL les services POP et IMAP. Il est important de noter la configuration de ces services avec SSL doit tre faite sur vos serveurs frontaux et dorsaux. Cependant, la configuration pour POPS ou IMAPS tant la mme procdure, cet article ne dtaillera que la mise en place de POPS. De la mme manire qu'HTTPS, il faut que votre serveur possde un certificat afin de pouvoir chiffrer avec SSL. Afin de faire la demande, rendez-vous dans la console de gestion d'Exchange : Gestionnaire de systme Exchange. Affichez ensuite les proprits de votre serveur virtuel et rendez-vous dans longlet Accs. Cliquez ensuite sur le bouton Certificat pour lancer un assistant de demande de certificat. Cette assistant se prsente de la mme manire que celui cr pour https, il ne vous reste qua le suivre afin dobtenir votre certificat.

Une fois votre certificat obtenu correctement, cliquez sur Communication pour cocher les cases Requrir un canal scuris puis Requrir un cryptage sur 128 bits et obtenir votre communication POP avec SSL.

3. Exchange et le clusteringMicrosoft Exchange 2003 supporte les deux types de cluster Microsoft : le Network Load Balancing et le Microsoft Clustering Services. Cependant,

3.1 NLBContrairement au cluster MSCS, le cluster NLB (Network Load Balancing) ne ncessite pas de configuration particulire ou serveur reproduisant la mme configuration matrielle. En effet, la configuration du cluster peut se faire directement dans les cartes rseau du serveur. Plus prcisment, l'implmentation du cluster NLB se matrialise par l'lment Equilibrage de la charge rseau dans les proprits de votre carte rseau.

De cette manire, pour installer et configurer le cluster, il vous suffit de cocher la case. Une fois active, vous aller pouvoir configurer certains paramtres pour le cluster. La premire chose configurer est l'adresse IP de votre cluster. En effet, votre groupe de cluster va possder sa propre adresse IP, ainsi que son propre nom DNS, de cette manire, vos clients pourront accder au cluster via un nom DNS ou bien une adresse IP. A partir de cette adresse IP, le service de cluster va rediriger les utilisateurs selon la priorit de l'ordinateur. Vous pouvez galement configurer un mode d'opration de cluster : Monodiffusion ou Multidiffusion. Cette option fait rfrence aux nombres de carte rseau sur votre ordinateur. En effet, si vous disposez d'une carte rseau, vous devrez utiliser le mode de multidiffusion pour coupler le traffic rseau normale et celui du cluster. Tandis que si vous avec une carte rseau ddi au cluster, donc au minimum deux cartes rseau sur votre serveur, vous pourrez slectionner le mode de monodiffusion. La dernire option de cet onglet est l'autorisation de l'administration distance et la dfinition du mot de passe. Ce mode vous permet de prendre le controle distance de votre cluster via un systme en ligne de commande.

Le deuxime onglet, Paramtres de l'hte va vous permettre de configurer notamment la priorit d'un nud du cluster. Cette priorit s'effectue par ordre croissant, c'est dire que celui qui a la plus petite priorit sera considr comme le serveur par dfaut pour les utilisateurs. Vous aurez galement la possibilit d'attribuer une adresse IP la machine de manire ce que le nud soit joignable dans le rseau du cluster. Et enfin, vous pourrez paramtrer l'tat d'initialisation du cluster.

3.2 MSCSLe clustering MSCS est plus destin aux serveurs dorsaux ainsi qu'aux serveurs de base de donnes comme par exemple SQL Server. C'est pourquoi cet article ne parlera pas plus de ce type de cluster. Cependant, vous trouverez ici tout un tutorial concernant Microsoft Exchange 2003 et le clustering MSCS.

ConclusionTout au long de l'article nous avons vu que Microsoft Exchange offrait de grandes possibilits d'architecture et de scurisation via la possibilit de serveurs frontaux et dorsaux. Chacune des quatre architectures offrent des possibilits au niveau diffrentes selon le besoin de scurit de votre entreprise. Exchange offre galement des possibilits de mise en cluster afin que vos utilisateurs puissent accder tout moment leurs mails. Il ne reste plus qu'a attendre la sortie de Microsoft Exchange 2007, actuellement en version Beta, pour voir les nouvelles implmentations de Microsoft au niveau des serveurs de messagerie.

Sourceshttp://technet.microsoft.com/ http://www.laboratoire-microsoft.org/articles/win/nlb/ http://www.laboratoire-microsoft.org/mcp/70-284/


Exchange : Comment sécuriser un serveur Exchange 2010

Syndrome Frontal

Exchange DNS Dhcp Ftp

Sage XRT Business Exchange

Hosted Exchange 2010

Exchange et partie acquis - pxangleys.com

tèmes d’Information d’un groupe spé Exchange · 38,90 € ISBN : 978-2-409-00438-4 Pour plus d’informations : Exchange Server 2016 Configuration et gestion Exchange Server

Comment sécuriser une maison - fondation-lamap.org€¦ · 199 « Domotique avec Arduino » Séance 1 – Comment sécuriser une maison? FICHE 1 Sécuriser une maison Consigne: Indique

Exchange Stockage : Mythes et Réalités

Sécuriser votre projet

Exchange 2010

Sécuriser son PC

Postfix Messagerie, travail collaboratif, Exchange, Lotus, · Exchange 2013 Exchange 2013, mise en œuvre et administration (réf. GAN) ... l'administration de Windows Server 2012

Rapport de Stage Exchange

démarreurs et alternateurs Bosch eXchange

MELANGEURS À VIDANGE FRONTAL - Velati

Neurologie - Cours n°19 - Rousseau - Syndrome frontal

Messagerie Exchange CNRS

Bosch eXchange

Exchange 2013 - Kemp

Casque frontal KS70 - L'éclairage médical

Acadamie Exchange Server 2010 Module2

Connexion plate-forme Exchange · 2016-07-19 · au serveur Exchange, vous devez fournir votre mot de passe de compte Windows/Exchange 16 – Vous êtes maintenant dans Outlook connecté

Exchange 2013 Bonnes pratiques

Exchange 2007

Exchange Server 2007

Exchange Server 2010

Sécuriser vos accès nomades pour accéder à Exchange et Lync

Migration Exchange 2003 Vers 2010

Exchange 70 236

Sinus frontal

Serveur fax de réseau pour Exchange/SMTP. GFI FAXmaker for Exchange/SMTP GFI FAXmaker for Exchange/SMTP est le serveur fax de réseau leader du marché

Resume exchange 2010

Ontrack PowerControls pour Exchange & SharePoint

Documentation Livex Exchange