Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1420 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Problématique sécurité réseau et Exchange 2003

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problématique sécurité réseau et Exchange 2003

n°2148901
Pims
Posté le 06-09-2005 à 12:17:03  profilanswer
 

Hello à tous,
 
Voilà, nous avons recemment mis en place un Webmail exchange 2003.
Au niveau réseau:
Nous avons donc un serveur Exchange 2003 sur notre LAN, un serveur exchange 2003 frontal en DMZ.
On autorise les connexions de l'extérieur uniquement vers le serveur en DMZ.  
 
Le trafic entre DMZ et LAN et limité par notre firewall également.
 
Notre soucis (GROS): pour que l'exchange frontal fonctionne correctement il nous faut ouvrir pas mal de ports (Kerberos, Ldap, SMB etc...) entre le serveur frontal et le serveur dorsale ET EGALEMENT entre le serveur Frontal et notre DC.
 
Ce Lundi matin: Serveur Exchange Dorsale complettement planté et DC ETEIND !!!!! :eek: :eek: :eek: :eek2:
 
Je cherche donc à sécurisé tout ca au mieux, car ca craint un peu là :/
 
(la méthode recommandé par MS et d'intercaler un ISA server entre le serveur exchange frontal et notre firewall)
 
Merci de votre aide et toutes les idées sont les bienvenues.
 
:jap:


Message édité par Pims le 06-09-2005 à 12:18:31

---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le 06-09-2005 à 12:17:03  profilanswer
 

n°2148905
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 06-09-2005 à 12:25:18  profilanswer
 

Entre ta DMZ et le net, y'a quoi d'ouvert ?
 
Sinon tres honnetement vu tes posts précédent utiliser Exchange en front/back ne n'a pas te servir a grand chose et t'apporter plus d'embetements qu'autre chose :/
Ton arkoon aurait largement été suffisant pour filtrer ce qui venait du net vers ton Exchange.


Message édité par El Pollo Diablo le 06-09-2005 à 12:27:35
n°2148908
Pims
Posté le 06-09-2005 à 12:29:26  profilanswer
 

Entre le net et la DMZ uniquement HTTPS d'ouvert.
 
Sans frontal je me vois pas ouvrir des connexion direct sur mon LAN...
(tu me diras ca revient quasiment au même :( )
 
Huum pour l'arkoon apparemment non vu que j'ai bien l'impression qu'on a eu un pb à cause de notre serveur Frontal...


Message édité par Pims le 06-09-2005 à 12:31:53

---------------
Life is like a box of chocolate you never know what you gonna get.
n°2149716
Pims
Posté le 07-09-2005 à 08:31:29  profilanswer
 

Et ben, ca vous passionne la sécurisation d'un webmail... :bounce:


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2149747
Jef34
Je ferai mieux demain
Posté le 07-09-2005 à 09:23:50  profilanswer
 

Perso, nous avons opté pour un OWA sur ISA Server 2004.
 
Maintenant, s'il n'y avait que le HTTPS ouvert entre ton frontal et Internet, je me permets de douter que quelqu'un de l'extérieur ait éteind tes servers et planté ton frontal.
 
Vous source electrique est ondulée, protégée ?
Il ne sagit pas de l'action d'un admin junior ou tierce ?

n°2149753
Pims
Posté le 07-09-2005 à 09:29:23  profilanswer
 

éteind un DC et planté le dorsal (pas le frontal) :eek:
 
Cela dit uniquement avec du HTTPS ca me parait difficile mais bon...
 
Tu peux me détailler un peu? un OWA sur ISA Server 2004?
 
:jap:


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2149757
Jef34
Je ferai mieux demain
Posté le 07-09-2005 à 09:34:35  profilanswer
 

L'avantage ce cette méthode, c'est que ce n'est pas ton serveur Exchange qui génère le formulaire de login, mais le serveur ISA.
 
Le mode opératoire est exactement celui-ci
 
Microsoft :
http://www.microsoft.com/technet/p [...] shing.mspx
 
http://www.microsoft.com/technet/p [...] rough.mspx
 
ISA Server.org
http://www.isaserver.org/articles/2004pubowartm.html
 

n°2149776
Pims
Posté le 07-09-2005 à 09:49:41  profilanswer
 

Merci pour tout ca :)
 
Seulement maintenant qu'on a un serveur frontal et un dorsale, je vais essayer de rester dans cette optique là sinon il nous reste plus qu'a jeter notre licence Exchange 2003 serveur...
 


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2149779
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 07-09-2005 à 09:54:05  profilanswer
 

Mais la tu pas pas franchement pouvoir plus sécuriser que ça ne l'est actuellement.
 
A la limite tu peux te mettre en ipsec entre le frontal et le dorsal, mais a par ça...


Message édité par El Pollo Diablo le 07-09-2005 à 09:54:50
n°2149787
Pims
Posté le 07-09-2005 à 09:59:20  profilanswer
 

Je voulais mettre en IPsec justement mais au contraire c'est moins sécurisé !
 
Car si je crée un tunnel IPSec entre le frontal et le dorsale, sur mon firewall je dois autorisé IPsec... et de ce fait je n'ai plus de control sur les ports que je souhaite ouvrir... car tout le trafic sera cripté.
 
Par contre ISA server 2004 est capable de filtrer un flux IPsec c'est bien ca?


Message édité par Pims le 07-09-2005 à 09:59:38

---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le 07-09-2005 à 09:59:20  profilanswer
 

n°2149791
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 07-09-2005 à 10:06:04  profilanswer
 

IPSec moins sécurisé que tout en clair, c'est pas mal comme concept...

n°2149827
Pims
Posté le 07-09-2005 à 10:35:25  profilanswer
 

hé didons, t'as bien compris ce que je veux dire non?
 
IPsec sécurise le flux ok.
Mais par contre sur le firewall a partir du moment ou l'on autorise IPsec, tout et n'importe quoi peut passer entre les deux serveurs (plus de filtrage).
 
Imagine un virus par exemple... si un tunnel IPSec est configuré, il passera sans pb.


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2149845
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 07-09-2005 à 10:49:06  profilanswer
 

Vu tous les ports qui tu dois ouvrir de toutes façons, ton virus n'aura que l'embaras du choix.
 
Mais bon, dans tous les cas si tu ne peux pas remettre en cause ton architecture actuelle, y'a pas grand chose a faire.

n°2149863
Pims
Posté le 07-09-2005 à 11:07:57  profilanswer
 

Oui, sauf que avec un bon firewall niveau 7 il y a moyen d'analyser intelligemment les trames...
 
Il n'y a pas moyen de mixer les deux archi? c'est a dire serveur Frontal et dorsale... avec publication du frontale avec ISA?


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2149868
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 07-09-2005 à 11:13:54  profilanswer
 

C'est même souvent ça qu'on voit, ISA en DMZ, et frontal et dorsal dans le LAN.
 
Dans ton cas vu que tu n'as pas des centaines d'utilisateurs qui vont se connecter en même temps le frontal/dorsal sera largement sous exploité, mais bon.

n°2149889
Pims
Posté le 07-09-2005 à 11:23:27  profilanswer
 

El Pollo Diablo a écrit :

C'est même souvent ça qu'on voit, ISA en DMZ, et frontal et dorsal dans le LAN.
 
Dans ton cas vu que tu n'as pas des centaines d'utilisateurs qui vont se connecter en même temps le frontal/dorsal sera largement sous exploité, mais bon.


 
Huum ok, moi je voyais plus un frontal histoire d'avoir un serveur peu sensible accessible du net... pas pour des raisons de perf c'est sur.
 


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2155470
jolebarjo
http://www.forum-citrix.com/
Posté le 12-09-2005 à 15:45:03  profilanswer
 

Pims a écrit :

hé didons, t'as bien compris ce que je veux dire non?
 
IPsec sécurise le flux ok.
Mais par contre sur le firewall a partir du moment ou l'on autorise IPsec, tout et n'importe quoi peut passer entre les deux serveurs (plus de filtrage).
 
Imagine un virus par exemple... si un tunnel IPSec est configuré, il passera sans pb.


Tu peut définir les ports autorisés à travers ton tunnel VPN.
Pense aussi que le https est crypté, donc tu ne pourras pas filtré les virus non plus (même si certains appliances décpryptent le https en real time).

n°2156242
Pims
Posté le 13-09-2005 à 08:17:34  profilanswer
 

Punaise, ce matin rebelotte, un DC HS et l'autre arreté complettement !
 
J'y comprends plus rien, c'est pas possible !


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2156277
jolebarjo
http://www.forum-citrix.com/
Posté le 13-09-2005 à 09:14:55  profilanswer
 

Ils disent quoi, les journaux d'events ?? Le fichier de dump ??

n°2156285
Pims
Posté le 13-09-2005 à 09:26:25  profilanswer
 

il disent rien justement.
Sur le DC qui s'est arreté il n'y a rien. uniquement: "L'arrêt du system n'était pas prévu"
 


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2156311
Jef34
Je ferai mieux demain
Posté le 13-09-2005 à 10:11:15  profilanswer
 

Pims a écrit :

il disent rien justement.
Sur le DC qui s'est arreté il n'y a rien. uniquement: "L'arrêt du system n'était pas prévu"


 
Ben ca c'est un plantage OS. Je me demande s'il y a du hacking derrière ca ou pas.
 
Il n'y aurait pas un job de sauvegarde un truc du genre qui pousse la machine dans ses retranchements ?

n°2156316
jolebarjo
http://www.forum-citrix.com/
Posté le 13-09-2005 à 10:18:07  profilanswer
 

Es tu a jour sur les patchs de sécurité, services pack, etc.
Et au niveau virus, tu as regardé??
Regarde si tu n'a pas un job qui se lance vers l'heure du plantage, replication DC...

n°2156377
Pims
Posté le 13-09-2005 à 10:52:04  profilanswer
 

Rebelotte juste maintenant :eek:  
 
Je penche plus pour un problème matériel du serveur !
Maintenant il ne démarre plus :eek:
 


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2156443
jolebarjo
http://www.forum-citrix.com/
Posté le 13-09-2005 à 11:32:18  profilanswer
 

C'est quoi comme machine ??

n°2156623
Pims
Posté le 13-09-2005 à 13:25:38  profilanswer
 

C'est un Dell poweredge 4600 !
 
Je suis entrain de tout mettre à jour: BIOS / ESM / firmware Raid ect... pour ensuite mettre la dernière version du soft de management DELL.


---------------
Life is like a box of chocolate you never know what you gonna get.
n°2156724
jolebarjo
http://www.forum-citrix.com/
Posté le 13-09-2005 à 14:39:34  profilanswer
 

Dsl, je connais pas dell, seulement hp, nec et ibm....

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Problématique sécurité réseau et Exchange 2003

 

Sujets relatifs
Questions avant la création d'un réseau WIFI dans une maisonexchange 2003 et smtp
créer mon petit réseau wifi (enfin presque)Reseau Wi Fi non disponible
Etat de Connexion au réseau local >> cadenas???Reseau et partage net
propriétés de favoris réseau > pr connection internet > onglet partageplusieur réseau sans fil mais un seul visible ???
réseau sans fil 
Plus de sujets relatifs à : Problématique sécurité réseau et Exchange 2003


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR