Danger Serveur de messagerie dans la DMZ ??

[led0b10]

Bonjour,
Je fais appel à votre bonté afin d'éclairer ma lucarne sur qques point de sécurité.

En effet, j'ai actuellement :

1 serveur w2000 controleur de domaine + exchange 2000
1 Firewall PIX cisco neuf pas installer
1 liaison loué internet oleane avec 5 IP publiques

Et je voudrais comme bcp de monde d'entre nous (dit il apres avoir rechercher dans le forum) une messagerie accessible par les nomades via OWA.

Dans une entrevue téléphonique avec la personne en charge de venir configurer le firewall, cette personne m'affirmé qu'il n'y avait pas de problème, il suffisait de désigner une ip au niveau de l'enregistrement de mon nom de domaine avec laquelle le firewall redirigera vers le serveur et de placer le serveur de messagerie dans la DMZ.

1/Y a t'il de réel dangers à placer le serveur dans la DMZ notamment du fait qu'il est controleur de domaine !

2/Actuellement nous fonctionnons avec une DMZ configurée sous linux et un serveur avec sendmail pour la messagerie externe auquel nous accedons par pop individuellement pour rapatrier nos mails dans nos boites exchanges --> donc double gestion des comptes assez lourde, de plus les boites ne sont pas accessible de l'extérieur

Je me demande donc s'il ne serait pas préférable de configurer un serveur linux en relais smtp (deja fait et il fonctionne correctement) (Euh je crois aussi que le firewall le gère directement avec Mail Guard.)
Le seul problème serait OWA ?? Existe t'il des relais OWA pour linux ??
J'ai lu sur un topic que je pourrai installé un serveur 2000 avec ISA ce qui pourrait me servir de relais OWA mais cela va faire tres onéreux pour une structure comme la mienne qui a deja pas mal investi !!

Voila donc mon problème

Si qqun peux m'éclairer sur un de ces points je le remercie d'avance amplement !!!!!!!!!!

[voodoo.child]

Tu n'es pas obligé owa pour accéder à tes mails depuis l'exterieur. Essaye de mettre un webmail comme imp ou squiremail pour te connecter à tes bal.

[fraedhrim]

Salut !

L'architecture avec exchange en interne et relai de messagerie linux en DMZ me parait bien : c'est propre, c'est standard, c'est beau.

Pour accéder à OWA il y a plusiseurs solutions :

1- Transfert de port : beurk !
Tu dis à ton firewall que tout ce qui attaque une de tes adresses IP publiques attaquent en fait ton exchange par translation. Pratique mais pas top sécurité : tu as du trafic entrant directement depuis Internet.

2- reverse-proxy : mieux !
Tu ajoutes dans ta DMZ un serveur (linux + apache par exemple) configuré en mode reverse-proxy. C'est à dire que tu t'adresses depuis internet à ton reverse-proxy et lui transmets ta demande au serveur Exchange. Ce qui fait que tu n'as aucune rentrée directe sur ton réseau depuis Internet. C'est un proxy à l'envers quoi. C'est pas mal comme solution sauf que ça peut-être un peu la guerre à configurer (problèmes de réécriture d'URL entre autres, genre : https://messagerie.ton_domain.com doit être réécrit en https://ton_exchange/exchange et aussi des fois https://ton_exchange/exchweb donc c'est un peu le bazar pour lever le paradoxe entre les deux choix)

3- portail d'accès : top !
Le principe c'est mélanger la noption de reverse proxy avec la notion de portail. En gros tu te connectes à une page (authentification tout le bazar...) qui t'offre accès à différentes ressources suivant ton profil (annuaire LDAP, RADIUS,... tout le bazar ...). Entre autres tu peux accéder à OWA (tu as un lien sur ta page d'accueil qui fonctione en reverse proxy). Quelle différence vas-tu me dire avec la solution pure reverse proxy ? Et bien toute la différence est dans le produit. Déjà c'est tout déjà maché y'a quasiment rien à faire et surtout certains ne réécrivent pas l'URL mais font un truc du genre : https://accueil.ton_domaine.com?zyva=ht ... ange/...... Donc plus de soucis de réécriture d'URL.
Le hic : le prix ! Ca peut être un peu cher en fonction du nombre de connexion simultanée mais ça vaut le coup pour l'élégance de la solution si on s'oriente vers un produit comme neoteris de netscreen ou NSAS de nokia (base BSD sécurisé comme les Checkpoint Firewall-1, administration SSH et web,...)


Voilà ma vision des choses mais je pense qu'il y en a d'autres (à base de front-end exchange en DMZ, back-end sur le LAN reste que tu as toujours du Microsoft en DMZ : pas top).

Bon courage.

[led0b10]

D'abord merci pour ta réponse immédiate
Je peux utiliser ces webmails pour consulter mes boites exchanges ?

[led0b10]

ok merci pour ta réponse super complète!!
je connaissais le reverse-proxy je vais essayer de me documenter la dessus !!
D'ailleurs je ne veux po abuser mais si t'as des bons liens qui trainent !!!
En tout merci et remerci

[fraedhrim]

Avant de te plonger dans le reverse-proxy jette quand même un oeil au webmail. Je ne sais pas trop si c'est possible parce que le webmail de Exchange c'est OWA alors que IMP et Cie ce sont des webmail qui s'appuient sur des systèmes de messagerie Linux normalement.

Cela dit c'est peut-être possible.

Toujours est-il que tu auras des connexions sur des ports zarbis entre ton IMp (ou...) en DMZ et ton Exchange. Alors qu'avec un reverse-proxy tu n'auras que du https (qui aura d'abord été inspecté par ton reverse-proxy donc pas de problèmes de nimda et code/red).

[fraedhrim]

Zut.
Et non je n'ai pas de pointeurs sur de la doc (on a choisi la facilité avec un boitier NOKIA ).

Bon courage.

[led0b10]

J'ai commencé à regarder pour le webmail mais ca a pas l'air super compatible avec exchange je continu à explorer.
Pour le inverse proxy y a des appli qui se base dessus comptible avec owa donc ca doit etre fesable

[voodoo.child]

Un webmail se paramètre comme un client de messagerie (outlook, thunderbird...) tu dois préciser l'adresse de ton serveur smtp et l'adresse de ton serveur imap (le reste c du classic).
imp -> http://www.horde.org

[fraedhrim]

Si c'est le cas pour le webmail (et on dirait bien) et que tu ne veux rien publier d'autre ne t'$%#&! pas avec unreverse-proxy ....

[voodoo.child]

Si mes souvenirs sont bon, le reversproxy permet de faire un filtrage au niveau des connexions entrantes. Je ne pense pas que cela soit utile pour accéder aux bals exchange

[fraedhrim]

Faire du filtrage oui en quelques sortes.
C'est surtout que tu permets d'accéder à un ressource interne avec un rebond que tu contrôles. Donc pas d'accès direct et moins d'attaques possibles.
Ce qu'il faut voir c'est que c'est comme un proxy de navigation web mais à l'envers, par rentrer sur le réseau. Ce qui fait que personne ne s'adresse à tes ressources internes directement.

Par exemple pour accéder à OWA qui est à base de IIS si tu es en direct tu t'exposes aux exploits célèbres de IIS. Si tu mets un reverse-proxy à base linux ce genre de requête à la ../../../../cmd.exe sont repérées et jetées.
Ca n'est pas la solution absolue cela dit (y'en a-t-il une ?). Tu auras toujours le problème que à la finale une requête initiée depuis internet arrive bien sur ta ressource interne même si c'est moyennant la réécriture de l'URL et l'inspection de la requête.

Avec un webmail c'est pareil tu as toujours du trafic entrant à un moment ou un autre depuis ta DMZ (smtp, imap ?...)

Bref. On a encore du pain sur la planche ça fait plaisir....

[led0b10]

c clair ca fait plaisir !
Au moins ca m'aurait permis de me renseigner sur pas mal de techniques !
Enfin maintenant je vais retourner chercher de l'infos dans le webmail !!

[mrjeanguy]

Purée! Je viens d'apprendre un paquet de rucs là!! Merci les gars.

[bleu]

Bonjours à tous,

Votre poste à attiré mon attention car je travail sur un serveur WebMail qui se trouve dans mon LAN et qui est accessible via un serveur Apache qui fait du reverse proxy qui est qt à lui dans la DMZ.

Mon problème est que mon WebMail est accessible depuis l'extérieur, on a bien la 1er page d'accueil Horde mais dès que l'on veut se connecter.... Plus rien


En interne tout fonctionne bien, accès normale vers le web mail même en https.

Pour info, dans le Lan il y a un autre serveur web qui est accessible via le même reverse proxy avec la même configuration et il est accessible depuis l'extérieur.

Voici le contexte:

Internet
I
I
Routeur
I
I
Firewall (Distribution Debian, Netfilter)
I
I DMZ
Serveur Web (Distribution Debian Wody 3, Apache 1.3, Reverse Proxy)
I
I
Serveur Web Mail (Distribution Fedora Core1, Apache 1.3, Horde 2.2.5, IMP 3.2.6)
I
I
Serveur Messagerie (Windows NT, Exchange 5.5)

On pense que le problème peut provenir d'une incompatibilité entre reverse proxy de la DMZ et le WebMail. D'autant plus, qu'un stagiaire a bidouillé le fichier /var/www/horde/imp/redirect.php et avec ce nouveaux redirect.php ça fonctionne. Mais n'étant pas développeur on voudrait comprendre surtout pour un serveur qui a pour vocation d'être en production avec un accès en https.

Merci d'avance si quelqu'un peut me guider dans ce problème et me reporter une expérience similaire.

A bientôt