Remove From My Forums

Evaluer risque dû à la non-utilisation d'ISA ou d'un serveur Edge au périmètre

Question
0

Connectez-vous pour voter

Je me retrouve dans la même situation que cette personne :

http://forums.microsoft.com/TechNet-FR/ShowPost.aspx?PostID=3758733&SiteID=45

Au fond, j’essaie d’évaluer le niveau de risque résultant de la non-utilisation d’un second serveur, situé au périmètre et exécutant soit le rôle Edge, soit ISA.

Selon Fréderic Laubel :

« […] ce type d'architecture […] présente un GROS risque puisque directement accessible depuis Internet. »

Mais selon Thierry DEMAN-BARCELÒ :

« Si seuls les ports 25, 80 et 443 sont ouverts et redirigés sur le serveur Exchange, les risques sont faibles. »

D’abord, c’est mon intention de n’ouvrir que ces portes au pare-feu. De plus, l’accès au 25 ne serait autorisé qu’à la société qui va s’occuper du préfiltrage du trafic SMTP pour virus et pourriel.

Quant à IIS, ce serait IIS 7 sur W2K8. C’est un pas en avant en termes de sécurité il me semble. Mais à quel point ? C’est justement une des choses que je tente de peser.

Je vais configurer le verrouillage de compte en cas de X tentatives de connexion infructueuses (chez Active Directory).

Exécuter SCW, c’est évidemment une bonne idée.

A quel niveau les menaces se situent-elles ? Des failles potentielles dans IIS ?

Merci en avance pour vos conseils.

vendredi 19 septembre 2008 16:22

Réponse

|

Citation

Réponses

0

Connectez-vous pour voter
Bonjour,

Etes vous pret à accepter que des serveurs de production, de votre réseau LAN, qui se trouvent dans votre Active Directory, soient directement accessible depuis le monde entier ?

Avec ISA c'est le serveur ISA (qui lui ne se trouve PAS dans Active Directory, ni sur votre LAN de production) qui authentifie les utlisateurs et répond à la place des serveurs Exchange (Du serveur CAS). De plus il analyse le flux pour détecter des paquets malformés, et il est capable de décrypter le flux SSL.

Pour moi la question est plutôt : pourquoi ne pas mettre ISA ??
Ne pas mettre ISA c'est faire un pari...peut être que je n'aurais pas d'attaques en prenant des mesures de bases. Peut être...

Un ISA standard c'est quelques centaines d'euros + une licence Windows, et ca tourne très bien sur une machine virtuelle.
Donc même pas besoin de serveur dédié.

Présentation en Français (ISA 2004) :
http://download.microsoft.com/download/7/9/9/7991f4e7-bce4-4b48-bf83-6be4cbd96cd5/ISAserver2004.ppt

Guide ISA 2006 :
http://www.microsoft.com/isaserver/prodinfo/guide.mspx

Les WebCasts ISA 2006 :
http://www.microsoft.com/technet/isa/community/sharpen.mspx
- Marqué comme réponse Roxana PANAITMicrosoft employee vendredi 30 octobre 2009 11:44
vendredi 19 septembre 2008 18:29

Réponse

|

Citation
0

Connectez-vous pour voter
Bonsoir,

ISA 2006 est effectivement supporté en machine virtuelle, je l'utilise de cette manière chez moi!

Dans de nombreux cas, ISA est intégré au domaine même si ce n'est pas obligatoire, souvent pour faciliter la configuration des accès par groupes.

Un serveur Edge n'est "réellement" nécessaire que pour les clients qui reçoivent des quantités importantes de messages (et de Spam). Cela est rarement justiifié (en terme de cout) pour les petites entreprises.

Un serveur Hub-Transport peut assurer le même niveau de filtrage.

Le serveur ISA a pour avantage, contrairement à la plupart des autres solutions de firewall, de pouvoir authentifier et ne laisser passer que les réels utilisateurs de l'entreprise.

Donc, ensuite, la configuration choisie dépend du compromis entre le coût, la sécurité et la confiance que l'on a en chaque composant.

A bientôt,
- Marqué comme réponse Roxana PANAITMicrosoft employee vendredi 30 octobre 2009 11:44
vendredi 19 septembre 2008 19:32

Réponse

|

Citation

Modérateur

Toutes les réponses

0

Connectez-vous pour voter
Bonjour,

Etes vous pret à accepter que des serveurs de production, de votre réseau LAN, qui se trouvent dans votre Active Directory, soient directement accessible depuis le monde entier ?

Avec ISA c'est le serveur ISA (qui lui ne se trouve PAS dans Active Directory, ni sur votre LAN de production) qui authentifie les utlisateurs et répond à la place des serveurs Exchange (Du serveur CAS). De plus il analyse le flux pour détecter des paquets malformés, et il est capable de décrypter le flux SSL.

Pour moi la question est plutôt : pourquoi ne pas mettre ISA ??
Ne pas mettre ISA c'est faire un pari...peut être que je n'aurais pas d'attaques en prenant des mesures de bases. Peut être...

Un ISA standard c'est quelques centaines d'euros + une licence Windows, et ca tourne très bien sur une machine virtuelle.
Donc même pas besoin de serveur dédié.

Présentation en Français (ISA 2004) :
http://download.microsoft.com/download/7/9/9/7991f4e7-bce4-4b48-bf83-6be4cbd96cd5/ISAserver2004.ppt

Guide ISA 2006 :
http://www.microsoft.com/isaserver/prodinfo/guide.mspx

Les WebCasts ISA 2006 :
http://www.microsoft.com/technet/isa/community/sharpen.mspx
- Marqué comme réponse Roxana PANAITMicrosoft employee vendredi 30 octobre 2009 11:44
vendredi 19 septembre 2008 18:29

Réponse

|

Citation
0

Connectez-vous pour voter
Bonsoir,

ISA 2006 est effectivement supporté en machine virtuelle, je l'utilise de cette manière chez moi!

Dans de nombreux cas, ISA est intégré au domaine même si ce n'est pas obligatoire, souvent pour faciliter la configuration des accès par groupes.

Un serveur Edge n'est "réellement" nécessaire que pour les clients qui reçoivent des quantités importantes de messages (et de Spam). Cela est rarement justiifié (en terme de cout) pour les petites entreprises.

Un serveur Hub-Transport peut assurer le même niveau de filtrage.

Le serveur ISA a pour avantage, contrairement à la plupart des autres solutions de firewall, de pouvoir authentifier et ne laisser passer que les réels utilisateurs de l'entreprise.

Donc, ensuite, la configuration choisie dépend du compromis entre le coût, la sécurité et la confiance que l'on a en chaque composant.

A bientôt,
- Marqué comme réponse Roxana PANAITMicrosoft employee vendredi 30 octobre 2009 11:44
vendredi 19 septembre 2008 19:32

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Pour moi la question est plutôt : pourquoi ne pas mettre ISA ??

Virtualisation ou pas, ne faudrait-il pas mettre un serveur (physique) à l’extérieur du pare-feu existant pour exécuter ISA ?

L’embêtant, cést justement que je n’aie pas de matériel en surplus.

Etes vous pret à accepter que des serveurs de production, de votre réseau LAN, qui se trouvent dans votre Active Directory, soient directement accessible depuis le monde entier ?

Tous directement ?

L’accès au port 25 ne serait autorisé qu’à une société du genre MessageLabs.

Ce sont les ports 80 et 443 qui pourraient poser problème, effectivement.

Mais le pare-feu peut se configurer de sorte que les paquets entrant ne peuvent aller qu’à une addresse IP donnée, soit celle du serveur de messagerie en l’occurrence.

Je comprends bien que c’est ouvrir une porte, et que si le serveur Exchange était compromis, cela pourrait servir de tremplin, mais, au risque de paraître candide, je ne comprends pas le « directement » ?

Pour reprendre l’analogie (imparfaite, comme toute analogie) de la porte, celle dont il est question ne s’ouvre que dans une seule chambre de la maison et à moins de prendre le contrôle du serveur Exchange (n’ayant accès initialement accès qu’à lui) un intrus ne pourrait pas accéder aux autres ?

dimanche 21 septembre 2008 20:56

Réponse

|

Citation
0

Connectez-vous pour voter

Question de confiance et de positionnement sécurité/coût.

Perso j'ai vu trop de serveurs compromis en passant uniquement par le port 80...

lundi 22 septembre 2008 08:20

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Evaluer risque dû à la non-utilisation d'ISA ou d'un serveur Edge au périmètre

Question

Réponses

Toutes les réponses