locked
Sécurité entre Exchange et ISA RRS feed

  • Question

  • Bonjour,

    Pour sécuriser l'accès à Internet, et en particulier un serveur Exchange 2003 avec ISA2004, quelle est la meilleure architecture à adopter ? Faut-il une DMZ réalisée par ISA2K4 avec Exchange à l'intérieur, ou y a t il des meilleures solutions ?

     

    Merci.

     

     

     

    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006). Inscrivez-vous aux webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions !

    jeudi 14 décembre 2006 15:14

Réponses

  • Bonjour,

    Le plus simple, et recommandé, consiste à laisser le serveur Exchange sur le LAN interne et à le publier sur ISA (OWA ou RPC sur HTTP).


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:16
  • Tout dépend de l'existant. ISA peut faire office de firewall unique s'il n'y en a pas, des firewalls supplémentaires n'augmenteront pas le niveau de sécurité. Si vous avez déjà une infrastructure, ISA peut être ajoutée dans la "DMZ".


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:20
  • OK, c'est un problème classique... Lorsque l'on publie une application (web port 80, ou SSL port 443...), les menaces actuelles concernent les attaques sur l'application publiée, pas sur les ports TCP/IP. Si trois firewalls laissent passer le port 443, l'application publiée court le même risque que si un seul firewall la protège. ISA apporte le filtrage IP et le filtrage applicatif. Il peut être considéré aujourd'hui comme la meilleure protection d'Exchange. Ajouter un firewall IP devant n'augmentera pas le niveau de sécurité..


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:23
  • Exactement.
    Et si besoin, ISA permet de filtrer le trafic entre plusieurs réseaux (extérieur, LAN, DMZ, etc.)
    Un peu de lecture sur le sujet : http://www.isaserver.org/articles/2004tales.html


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:25

Toutes les réponses

  • Bonjour,

    Le plus simple, et recommandé, consiste à laisser le serveur Exchange sur le LAN interne et à le publier sur ISA (OWA ou RPC sur HTTP).


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:16
  • Ok, merci pour cette réponse,

    Dans ce cas, il faut juste mettre ISA en bastion ou alors créer une DMZ avec deux firewall basiques et mettre ISA dans la DMZ pour qu'il s'occupe du filtrage et qu'il accède à Exchange ?

    Merci.

     

     

     

    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:18
  • Tout dépend de l'existant. ISA peut faire office de firewall unique s'il n'y en a pas, des firewalls supplémentaires n'augmenteront pas le niveau de sécurité. Si vous avez déjà une infrastructure, ISA peut être ajoutée dans la "DMZ".


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:20
  • Ok, merci je comprends mieux

    Le problème étant je n'ai pas encore l'infra. Il est donc recommandé de n'utiliser qu'UN seul firewall, en mode bastion ? Le fait de ne pas avoir de DMZ n'est-il pas gênant ? L'idée est peut être difficile à faire passer au personnel IT... Des arguments pour ?

     

    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:22
  • OK, c'est un problème classique... Lorsque l'on publie une application (web port 80, ou SSL port 443...), les menaces actuelles concernent les attaques sur l'application publiée, pas sur les ports TCP/IP. Si trois firewalls laissent passer le port 443, l'application publiée court le même risque que si un seul firewall la protège. ISA apporte le filtrage IP et le filtrage applicatif. Il peut être considéré aujourd'hui comme la meilleure protection d'Exchange. Ajouter un firewall IP devant n'augmentera pas le niveau de sécurité..


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:23
  • OK je vois, merci.

    Et pour publier ensuite d'autres services, genre VPN/L2TP, SMTP..., ISA tout seul suffit (ou plusieurs ISA) alors, pas besoin d'autre firewall devant ou derrière ?

    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:24
  • Exactement.
    Et si besoin, ISA permet de filtrer le trafic entre plusieurs réseaux (extérieur, LAN, DMZ, etc.)
    Un peu de lecture sur le sujet : http://www.isaserver.org/articles/2004tales.html


    Questions et réponses inspirées des chats Microsoft TechNet (2005-2006).
    Inscrivez-vous aux
    webcasts TechNet Live pour écouter nos experts techniques en direct, et poser vos questions 

    jeudi 14 décembre 2006 15:25