Est ce possible (SBS Exchange + IPCOP)

[irad]

Bonjour,

D’abord ma config.

Une superbe Live box pro avec IP Fixe Redirigeant tous ses port vers Un sublissime et magnifique IPCOP (Lui au moins fonctionne tous le temps) Derrière cela une DMZ avec 1 serveur WEB en Debian qui fonctionne lui aussi à la perfection. La c'est la partie que j'aime le moins mon LAN avec un serveur SBS2003 (pas eut le choix mon chef a vu tournée sa dans une boite et a dit "Tu achète ça maintenant", donc j'ai fait) donc se serveur est la, il récupère les mails chez mon FAI, il partage bien les fichiers, imprimantes etc.

Le problème :

Sur le SBS2003 y'a un super webmail que mon chef a vue tournée et qu’il veut absolument que je mette en ligne mais comme il est sur mon LAN je n'arrive pas à y accéder a partir du net (Cela dit de mon LAN ça marche très bien).

Comment puis-je faire pour ouvrir mon LAN (un seul port bien sûr de préférence le 443 (https)) ? Est-ce que cela provoquera une faille de sécurité ? Ou comment puis-je faire autrement ?

Si quelqu'un m’a compris peut ‘il m’aider car la je sèche totalement ça fait 1 mois que je suis dessus (1 mois mais tu aurais du demander avant … bah non j’aime faire les choses par moi-même ^^)

[loberty]

Bonjour

Oui c'est possible.
Le plus simple, mais pas spécialement le plus sécurisé c'est de faire un transfert de port de 443 vers 443 en y indiquant l'adresse de ton SBS.
Les utilisateurs saisiront alors https://adresse-ip-publique/exchange.

Ton SBS est donc accessible depuis le net, donc par translatoion, le LAN aussi.

Il y a d'autres solutions :
. mettre ton SBS2003 en DMZ, autoriser les ports adéquates de GREEN vers DMZ, mais bon ton SBS est toujours visible de l'extérieur
. forcer les utilisateurs à avoir un accès VPN, c'est lourd car il faut avoir le soft de VPN, donc c'est un accès nomade pas très nomade car on ne peux pas accéder à OWA de n'importe où dans ce cas
. mettre en place la solution de serveur frontal en DMZ qui est le seul à accéder au SBS2003 du LAN (faut peut être une licence en plus, peut être pas suppporté par SBS)

Sinon, ton peux aussi utiliser un logiciel (j'ai oublié le nom) sur un serveur en DMZ qui permette de servir de portail à des accès intranet.
Il gère l'identification (AD).
Désolé j'ai oublié son nom.

Donc tu as ici la solution d ebase, reste bien entendu à prendre en compte la sécurité avec les autres solutions proposées plus toutes celles dont je n'ai pas parlé/pensé.

Penses à donner des nouvelles de ce que tu met en place une fois ton choix fait.

A+

[irad]

Pour l'instant je pense prendre l'option transfert de port 443 vers 443 de mon server SBS, car

mettre ton SBS2003 en DMZ, autoriser les ports adéquates de GREEN vers DMZ, mais bon ton SBS est toujours visible de l'extérieur ... me semble encore mon sécurisé que la première option

. forcer les utilisateurs à avoir un accès VPN, c'est lourd car il faut avoir le soft de VPN, donc c'est un accès nomade pas très nomade car on ne peux pas accéder à OWA de n'importe où dans ce cas ..... pas possible vu le niveau des utilisateurs Nomade qui vont m'appeller tous les jours pour cela ( en plus c'est Impossible de faire un VPN avec Ipcop l'orsque l'on à un Live box, du moins c'était pas possible l'année dernière.)

. mettre en place la solution de serveur frontal en DMZ qui est le seul à accéder au SBS2003 du LAN (faut peut être une licence en plus, peut être pas suppporté par SBS) ..... faut bien une licence de plus et en plus une licence serveur donc solution trop couteuse

Pour le logiciel je trouve rien (mais j'ai pas beaucoup cherché )

Par contre en autre solution je me demander si y'avait pas un moyen d'heberger de l'ASP sur un serveur linux (pardont pour les puriste qui allume déja un bucher pour moi) pour faire un page ASP qui contiendrais un Include de la page web du OWA pour faire justement un serveur frontal bidouiller ?

Merci a vous

[Gesp]

Pour l'instant je pense prendre l'option transfert de port 443 vers 443 de mon server SBS, car

mettre ton SBS2003 en DMZ, autoriser les ports adéquates de GREEN vers DMZ, mais bon ton SBS est toujours visible de l'extérieur

... me semble encore mon sécurisé que la première option

C'est le contraire.
La solution en DMZ est plus sùre et c'est à cela que sert une DMZ.
Si le SBS2003 est compromis:
- s'il est en GREEN, il n'y a plus de barrage,
- s'il est en ORANGE, il n'a pas accès au GREEN donc le réseau GREEN reste sécurisé (pour autant que le mail n'infecte pas les postes)

Merci de mettre des titres signifiants sur les sujets

[irad]

Pour l'instant je pense prendre l'option transfert de port 443 vers 443 de mon server SBS, car

mettre ton SBS2003 en DMZ, autoriser les ports adéquates de GREEN vers DMZ, mais bon ton SBS est toujours visible de l'extérieur

... me semble encore mon sécurisé que la première option

C'est le contraire.
La solution en DMZ est plus sùre et c'est à cela que sert une DMZ.
Si le SBS2003 est compromis:
- s'il est en GREEN, il n'y a plus de barrage,
- s'il est en ORANGE, il n'a pas accès au GREEN donc le réseau GREEN reste sécurisé (pour autant que le mail n'infecte pas les postes)

Merci de mettre des titres signifiants sur les sujets

Bah pas vraiment car toute les données de mon Asso sont sur le SBS donc c'est lui qui doit etre protégé mais en même tant etre disponible sur le net pour le OWA Mais surtout sans que les fichiers stocker sous accessible (ou de manière plus que sécure donc par HTTPS) le reste de mes PC je m'en fou y'a rien dessus c'est juste des clients

[Gesp]

Bah pas vraiment car toute les données de mon Asso sont sur le SBS donc c'est lui qui doit etre protégé mais en même tant etre disponible sur le net pour le OWA Mais surtout sans que les fichiers stocker sous accessible (ou de manière plus que sécure donc par HTTPS) le reste de mes PC je m'en fou y'a rien dessus c'est juste des clients

Toutes les données sur le SBS ont le même degré de sécurité que le SBS, qu'il soit placé en ORANGE ou en GREEN.

Dans les 2 cas, le seul accès possible pour y accèder depuis l'extérieur sera l'accès que tu auras configuré vers le SBS (en https en l'occurence)

Donc la seule différence est si le SBS est compromis :
- si la machine est en ORANGE, tu as une machine en ORANGE compromise, donc qui peut sortir sur le net mais pas rentrer en GREEN, seul l'accès venant de GREEN peut aller sur la machine,
- si la machine est en GREEN, tu as une machine ayant accès au GREEN qui est compromise, donc l'attaquant peut aller se balader sur ton réseau GREEN.

Tu aurais intérêt à faire un backup depuis GREEN de ton SBS par exemple.

[loberty]

Bonjour,
Il est clair qu'avoir un serveur de secours est obligatoire.
Il te faudrait, dans GREEN un serveur AD de secours qui recoive aussi un backup des données.
Tu as indiqué qu'à travers une livebox il nétait pas possible d efaire du VPN.
Saches que via une LIVEBOX il est possible d'utiliser VPN.
Peut être que des solutions via IPSEC ne passe pas (je ne sais pas), mais si tu emploie d'autres solutions, comme celle utilisée par ZERINA, cela fonctionne très bien.
A+

[irad]

Bonjour,
Il est clair qu'avoir un serveur de secours est obligatoire.
Il te faudrait, dans GREEN un serveur AD de secours qui recoive aussi un backup des données.
Tu as indiqué qu'à travers une livebox il nétait pas possible d efaire du VPN.
Saches que via une LIVEBOX il est possible d'utiliser VPN.
Peut être que des solutions via IPSEC ne passe pas (je ne sais pas), mais si tu emploie d'autres solutions, comme celle utilisée par ZERINA, cela fonctionne très bien.
A+

Pour un serveur backup ... pas possible bien trop cher pour mon asso, ce serveur et un don ^^(très jolie don d'ailleur) donc je vais surement le mettre sur ma DMZ.

Sinon pour la DMZ, je me souvenais plus et loberty vient de me rappeler que j'était obliger de faire de l'IP SEC ... pourquoi ? bah parceque je suis dans la fédération départemental d'une asso qui dépend d'une asso national (pété de tunes ^^) qui à un AS400 et qui adore prendre des solutions payantes, sans consulter avant :'( donc je me souvient plus trop des détails mais sa c'est finit avec installation d'un petit logiciel pour les utilisateur du VPN ....pour une fois leur solution marche.

En tous cas merci de votre aide

[hphilg]

salut,

dommage pour la solution vpn car le vpn de sbs est sympa et tres simple d'emploi. pour les soucis que tu pourrai renconterr avec la livebox pro..pourquoi ne pas la virer et mettre un modem a la place, comme ca c ton ipcop qui gerera ta connexion et pas de pb de nat ou "d'entete marquée" qui bloque souvent les vpn.

pour un serveur de backup, impossible avec un sbs. le sbs c'est pas cher mais c bridé...pas plus d'un CPD par domaine. docn il est preferable d'avoir un bon backup sur bande et de sauvegarder le system state.

la redirection du 443 vers le 443 de ton sbs me parait le plus judicieux et le plus simple

++

phil

[fabzz007]

la solution d'un portail dans la dmz donnant accès au lan me parait adapté à la situation présrentée ici...

J'ai eu l'occasion de tester une solution nommé SSL-explorer : ça tourne sur du cro$oft mais aussi sur linux...

ya une version gratuite et très complète qui permet de faire du VPN/SLL c à dire que les utilisateur se connect via une page web à ton serveur SSL-Eplorer ils s'authentifie et peuvent ainsi monter un vpn via des aplets java et accéder à des ressources du lan... la version payante propose des option plus poussée (authentification par certificats par exemple)

J'avais ouvert un topic ici... si ça peut donner une petite idée mais le mieux est d'aller sur leur site

Je suis en mesure de fournir un how-to (qui n'est pas sans erreur) pour une install sur debian... qui même si il est un peux vieux et pas toujours juste pourrai aider dans les étapes de l'install...

Il suffit de demander

en esperant avoir aider
++