Reverse proxy et owa 2003

[popoch]

Bonjour la compagnie,

Je vais bientot installer un exchange 2003 sur un 2000 serveur en labo de test avant passage en prod....
Je voulais tester aussi l acces a l owa (outlook web access) via un reverse proxy...

Je voulais savoir si quelqu un avait deja reussit a mettre en place une config reverse proxy + owa et si cela fonctionnait correctement, car je n ai vraiment pas envie d exposer directement un IIS avec owa...

j ai trouve 2 reverse proxy gratuit interessant :

Apache biensur mais aussi Orenosp ( http://hp.vector.co.jp/authors/VA027031 ... ex_en.html )

Merci d avance pour vos reponses....

[Squastana]

Bonjour,

La publication d'OWA (2000 ou 2003) se fait très bien via un reverse proxy. C'est d'ailleurs ce type d'architecture qui est désormais recommandé par Microsoft.

Personnellement, je l'ai fait de nombreuses fois en utilisant ISA Server 2000 ou ISA Server 2004.

L'avantage étant que ces 2 produits incluent des assitants très clairs permettant d'éviter de faire des erreurs de configuration et limitant les chemins exposés.

Pour publier un OWA, il suffit d'exposer les chemins suivants :

http://nomdudomaine/Exchange
http://nomdudomaine/Exchweb
http://nomdudomaine/Public

Pour la partie SSL, il suffit de placer le certificat du serveur (+ sa clé privée) sur le reverse proxy.

Selon les reverse proxy, il est également possible de rejouer les requêtes reverse proxy vers serveur OWA en HTTPs.

Pour la partie authentification, cela dépend du produit de reverse proxy (ISA permet de faire de la pré-authentification, de l'authentification form-based, du Secure-ID...)

Pour la partie filtrage d'url, il est possible de s'inspirer du fichier de configuration URLScan pour OWA disponible lors de l'exécution de l'assistant de IISLockdown

Pour quelques informations supplémentaires sur la publication web (reverse proxy) avec ISA, une présentation est disponible sur : http://download.microsoft.com/download/ ... er2004.ppt

Cordialement

[popoch]

Merci beaucoup pour tes conseils...

Malheureusement pour moi, j ai deja mis mon budjet ds exchange. Mais c est vrai que isa 2004 a l air d un produit tres interessant et si j ai le temps un de ses 4 je m y mets promis

En fait je voulais utiliser apache ou orenosv sur une machine linux, puisque achete isa uniquement pour le reverse proxy ca fait cher du reverse proxy...

orenosv a l air pas mal du tout comme reverse proxy en plus il fonctionne aussi bien sur une machine windows que linux... les exemples de fichiers de configs sont nombreux, mm pour owa... Je vais essayer de ce cote la .... Et si je me plante completement je regarderais la solution ISA...

Au fait est ce un produit difficile a prendre en main ?
Et j ai lu sur un autre topic ou tu es intervenu que ISA 2004 est propose sur des appliances, tu aurais des exemples a me donner ?

PS: Je tiens a preciser que j ai poste moult fois sur le labo supinfo a ce sujet et c est ici qu on me propose des reponses... je trouve ca hallucinnant.......


Merci pour tes reponses

[Squastana]

Il n'y a aucun soucis à utiliser un reverse proxy Linux et il est vrai que selon la taille de l'entreprise et le budget disponible, ISA peut être cher et difficile à acheter (surtout si ce n'est que pour utiliser une partie des fonctions).

Je ne connaissais pas orenosv mais je vais tester ça rapidement

La prise en main d'ISA Server 2004 est assez simple (surtout pour une personne ayant déjà administré d'autre FW).

Si tu veux essayer l'interface sans rien installer, il existe un mini training gratuit sur : http://www.isa2004training.com/ (nécessite d'avoir un compte Passport)

Le TP de la task 2 explique pas à pas comment publier OWA avec ISA (avec un exercice interactif en Flash)


Voici la liste des appliances que je connais :

RimApp ROADBLOCK Firewall
http://www.rimapp.com/roadblock.htm

HP ProLiant DL320 Firewall/VPN/Cache Server http://h18004.www1.hp.com/products/serv ... index.html

Network Engines NS Appliances
http://www.networkengines.com/sol/nsapp ... eries.aspx

Celestix Application-Layer Firewall, VPN and Caching Appliance
http://www.celestix.com/products/isa/index.htm

Pyramid Computer ValueServer Security 2004
http://www.pyramid.de/e/produkte/server/isa_2004.php

Pour l'instant ma préférée c'est celle de Network Engine (qui est vraiment une "boite" pré-configurée)

Cordialement

[popoch]

Merci encore !!!!

Je posterais mes resultats des que possible (orenosv + owa.....)

[popoch]

Bon finalement changement de plan, j ai installe mon reverse proxy sur ma passerelle smtp en dmz... C est un windows 2000 serveur. Cela fonctionne tres tres bien. Le reverse proxy que j ai pris est
orenosp. Pour ce que ca interesse je peux faire un tuto.

J ai teste avec l authentification par formulaire et l authentification windows (qui plante avec apache en reverse proxy...)

[Moez Mezghani]

Bonsoir Popoch,

Tu peux nous fournir plus d'information sur Orenosp? un lien etc?

Merci d'avance

[popoch]

Biensur...

Le lien etait dans mon premier post :

http://hp.vector.co.jp/authors/VA027031 ... ex_en.html

C est un reverse proxy fonctionnant sous windows ou linux...

J ai teste la version windows.

Il s installe sous forme de service et se configure tres facilement via un fichier texte... Plein d exemples de configs sont donnes avec dont 4 pour securiser des owa. D autres exemples sont fournis pour du webdav...

On peut faire tres facilement du "ssl bridging", connexion ssl d un poste internet au reverse proxy et autre connexion ssl du reverse proxy vers le IIS...

IL est fournit avec un certificat genere avec open ssl que l on peut facilement remplace...

De plus on peu se servir d une page web fournit avec orenosp pour centraliser ttes les authentifications sur les serveurs que l on possede. En effet Orenosp possede sa propre authentification par formulaire qu il transmet au bon serveur web suivant l url de depart tappe

Voici un exemple tire de mon fichier de config pour securiser un owa heberge sur un IIS en lan, le reverse proxy etant en dmz...

Code: Tout sélectionner

#
# Orenosp OWA sample config
#
# a) SSL Bridging and OWA Form Auth - OWA 2003 only
# for Oreonosp 0.8.2 or later.
#
# For list of all available parameters,
# see ORENOSP_HOME/padmin/doc/sproxy_full.txt.
#
# For setting up SSL Port Forwarding,
# see ORENOSP_HOME/padmin/doc/tunnel/sampleconfig_en.txt.
#

#
# --- Listen ports ---
#

proxy_listen_name = ls-https   0.0.0.0@443   https

#
# --- Pass rules ---
#
proxy_pass_by = url  ls-https://webmail.toto.com/exchange \
  https://webmail.toto.lan/exchange  -hh="_self_"

proxy_pass_by = url  ls-https://webmail.toto.com/ExchWeb \
  https://webmail.toto.lan/ExchWeb   -hh="_self_"

proxy_pass_by = url  ls-https://webmail.toto.com/Public \
  https://webmail.toto.lan/Public    -hh="_self_"



#
# --- Redirects ---
#

# redirect "/" to "/exchange"
proxy_redirect_by = url ls-https://webmail.toto.com/ \
  https://webmail.toto.com/exchange -s

#
# --- SSL Config ---
#
# pass phrase for server private key
proxy_ssl_keypass = orenosp

#
# --- Logging ---
#
# access log file
#proxy_log_access_io = single logs/access.log

#
# --- HTTP compression ---
#
# uncomment both lines below to enable HTTP compression

#proxy_filter_define = comp-txtonly mod_filt_zlib    mtype="text/" z_cmplvl=1 log=1
#proxy_filter_assign = *       comp-txtonly


# You need to disable HTTP compression on backend servers for content rewrite to happen
#proxy_origin_gzip_disable = 1


#
# --- Monitoring ---
#
# You can place monitoring page at any URL.
# Here, we dedicate one listen port for the monitoring page.
#
proxy_listen_name = https-mon   127.0.0.1@4443   https
proxy_mon_xurl = https-mon://*/_monitor

proxy_auth_url = https-mon://*/_monitor* -u="admin:pass" -rlm="Admin Only"
proxy_authck_assign = https-mon://*/_monitor*  _skipthis_



#
# --- Tracing ---
#
proxy_hctrace_level = 0
proxy_hbtrace_level = 0
proxy_davtrace_level = 0


#EOF

# =============
# Nimda Filters
# =============
# see http://online.securityfocus.com/archive/1/261549
# for many kinds of nimda attacks.
#

# --- switch to enable nimda filter ---
#     default is 0 (off)
proxy_nimda_enable = 1

# --- nimda rules, specify path pattern ---
#     up to 128 rules can be specified
# syntax
#   proxy_nimda_path = <path-pattern-1> [options]
proxy_nimda_path = /scripts/root.exe*
proxy_nimda_path = /c/winnt/system32/cmd.exe*
proxy_nimda_path = /d/winnt/system32/cmd.exe*
proxy_nimda_path = /_vti_bin/*winnt/system32/cmd.exe*
proxy_nimda_path = /_vti_cnf/*winnt/system32/cmd.exe*
proxy_nimda_path = /_mem_bin/*/winnt/system32/cmd.exe*
proxy_nimda_path = /scripts/*/winnt/system32/cmd.exe*
proxy_nimda_path = /adsamples/*winnt/system32/cmd.exe*
proxy_nimda_path = /cgi-bin/*winnt/system32/cmd.exe*
proxy_nimda_path = /iisadmpwd/*winnt/system32/cmd.exe*
proxy_nimda_path = /samples/*winnt/system32/cmd.exe*
proxy_nimda_path = /scripts*winnt/system32/cmd.exe*
proxy_nimda_path = /MSADC/root.exe*
proxy_nimda_path = /MSADC/*winnt/system32/cmd.exe*
proxy_nimda_path = /msadc/*winnt/system32/cmd.exe*
proxy_nimda_path = /PBServer/*winnt/system32/cmd.exe*
proxy_nimda_path = /default.ida*
proxy_nimda_path = /scripts/Admin.dll
proxy_nimda_path = /scripts/shell.exe*

# --- nimda filter mode ---
#   pass : pass nimda requests to backend servers
#   refuse : return http error status
#   discard : close connection without returning anything to client
# default is refuse.
#
proxy_nimda_opmode = refuse

# --- nimda filter log mode ---
#   mylog : write to logfile specified by proxy_nmida_logio
#   common : write to proxy-common logfile
#   nolog : don't write to any log
# default is mylog
#
proxy_nimda_logmode = mylog

# --- logfile for nimda access ---
#   Relevant only when logmode is "mylog".
#   The default is "single trash.log".
#   As for the log format, the same setting of proxy_log_access_{fmt|flags}
#   is used.
#
# this is the prefered syntax
#proxy_nimda_logio = single trash.log
#
# this param will go away
proxy_nimda_logfile = trash.log



le fichier de config se nomme sproxy.conf...

Les differents fichier d exemples se trouvent ds le sous dossier "doc" du dossier "padmin"

Voila....