Hello à tous,
 
Voilà, nous avons recemment mis en place un Webmail exchange 2003.
Au niveau réseau:
Nous avons donc un serveur Exchange 2003 sur notre LAN, un serveur exchange 2003 frontal en DMZ.
On autorise les connexions de l'extérieur uniquement vers le serveur en DMZ.  
 
Le trafic entre DMZ et LAN et limité par notre firewall également.
 
Notre soucis (GROS): pour que l'exchange frontal fonctionne correctement il nous faut ouvrir pas mal de ports (Kerberos, Ldap, SMB etc...) entre le serveur frontal et le serveur dorsale ET EGALEMENT entre le serveur Frontal et notre DC.
 
Ce Lundi matin: Serveur Exchange Dorsale complettement planté et DC ETEIND !!!!!
 
Je cherche donc à sécurisé tout ca au mieux, car ca craint un peu là
 
(la méthode recommandé par MS et d'intercaler un ISA server entre le serveur exchange frontal et notre firewall)
 
Merci de votre aide et toutes les idées sont les bienvenues.
 

Entre ta DMZ et le net, y'a quoi d'ouvert ?
 
Sinon tres honnetement vu tes posts précédent utiliser Exchange en front/back ne n'a pas te servir a grand chose et t'apporter plus d'embetements qu'autre chose
Ton arkoon aurait largement été suffisant pour filtrer ce qui venait du net vers ton Exchange.

Entre le net et la DMZ uniquement HTTPS d'ouvert.
 
Sans frontal je me vois pas ouvrir des connexion direct sur mon LAN...
(tu me diras ca revient quasiment au même )
 
Huum pour l'arkoon apparemment non vu que j'ai bien l'impression qu'on a eu un pb à cause de notre serveur Frontal...

Et ben, ca vous passionne la sécurisation d'un webmail...

Perso, nous avons opté pour un OWA sur ISA Server 2004.
 
Maintenant, s'il n'y avait que le HTTPS ouvert entre ton frontal et Internet, je me permets de douter que quelqu'un de l'extérieur ait éteind tes servers et planté ton frontal.
 
Vous source electrique est ondulée, protégée ?
Il ne sagit pas de l'action d'un admin junior ou tierce ?

éteind un DC et planté le dorsal (pas le frontal)
 
Cela dit uniquement avec du HTTPS ca me parait difficile mais bon...
 
Tu peux me détailler un peu? un OWA sur ISA Server 2004?
 

L'avantage ce cette méthode, c'est que ce n'est pas ton serveur Exchange qui génère le formulaire de login, mais le serveur ISA.
 
Le mode opératoire est exactement celui-ci
 
Microsoft :
http://www.microsoft.com/technet/p [...] shing.mspx
 
http://www.microsoft.com/technet/p [...] rough.mspx
 
ISA Server.org
http://www.isaserver.org/articles/2004pubowartm.html
 

Merci pour tout ca
 
Seulement maintenant qu'on a un serveur frontal et un dorsale, je vais essayer de rester dans cette optique là sinon il nous reste plus qu'a jeter notre licence Exchange 2003 serveur...
 

Mais la tu pas pas franchement pouvoir plus sécuriser que ça ne l'est actuellement.
 
A la limite tu peux te mettre en ipsec entre le frontal et le dorsal, mais a par ça...

Je voulais mettre en IPsec justement mais au contraire c'est moins sécurisé !
 
Car si je crée un tunnel IPSec entre le frontal et le dorsale, sur mon firewall je dois autorisé IPsec... et de ce fait je n'ai plus de control sur les ports que je souhaite ouvrir... car tout le trafic sera cripté.
 
Par contre ISA server 2004 est capable de filtrer un flux IPsec c'est bien ca?

IPSec moins sécurisé que tout en clair, c'est pas mal comme concept...

hé didons, t'as bien compris ce que je veux dire non?
 
IPsec sécurise le flux ok.
Mais par contre sur le firewall a partir du moment ou l'on autorise IPsec, tout et n'importe quoi peut passer entre les deux serveurs (plus de filtrage).
 
Imagine un virus par exemple... si un tunnel IPSec est configuré, il passera sans pb.

Vu tous les ports qui tu dois ouvrir de toutes façons, ton virus n'aura que l'embaras du choix.
 
Mais bon, dans tous les cas si tu ne peux pas remettre en cause ton architecture actuelle, y'a pas grand chose a faire.

Oui, sauf que avec un bon firewall niveau 7 il y a moyen d'analyser intelligemment les trames...
 
Il n'y a pas moyen de mixer les deux archi? c'est a dire serveur Frontal et dorsale... avec publication du frontale avec ISA?

C'est même souvent ça qu'on voit, ISA en DMZ, et frontal et dorsal dans le LAN.
 
Dans ton cas vu que tu n'as pas des centaines d'utilisateurs qui vont se connecter en même temps le frontal/dorsal sera largement sous exploité, mais bon.

 
Huum ok, moi je voyais plus un frontal histoire d'avoir un serveur peu sensible accessible du net... pas pour des raisons de perf c'est sur.
 

Tu peut définir les ports autorisés à travers ton tunnel VPN.
Pense aussi que le https est crypté, donc tu ne pourras pas filtré les virus non plus (même si certains appliances décpryptent le https en real time).

Punaise, ce matin rebelotte, un DC HS et l'autre arreté complettement !
 
J'y comprends plus rien, c'est pas possible !

Ils disent quoi, les journaux d'events ?? Le fichier de dump ??

il disent rien justement.
Sur le DC qui s'est arreté il n'y a rien. uniquement: "L'arrêt du system n'était pas prévu"
 

 
Ben ca c'est un plantage OS. Je me demande s'il y a du hacking derrière ca ou pas.
 
Il n'y aurait pas un job de sauvegarde un truc du genre qui pousse la machine dans ses retranchements ?

Es tu a jour sur les patchs de sécurité, services pack, etc.
Et au niveau virus, tu as regardé??
Regarde si tu n'a pas un job qui se lance vers l'heure du plantage, replication DC...

Rebelotte juste maintenant  
 
Je penche plus pour un problème matériel du serveur !
Maintenant il ne démarre plus
 

C'est quoi comme machine ??

C'est un Dell poweredge 4600 !
 
Je suis entrain de tout mettre à jour: BIOS / ESM / firmware Raid ect... pour ensuite mettre la dernière version du soft de management DELL.

Dsl, je connais pas dell, seulement hp, nec et ibm....