Accès messagerie sécurisée via Internet ???

par **jerph** » 24 Oct 2002 18:01

Bonjour à tous, J'aimerais avoir votre avis sur une architecture réseau (je voudrais rajouter un webmail pour la consultation des mails depuis le Net) : Matériels : - pix cisco - Interscan de TrendMicro dans la DMZ - Microsoft Exchange dans le réseau interne 1er soucis : Je n'ai qu'un serveur mail (en interne) je suis donc obligé d'ouvrir le port 25 entre la DMZ et le réseau interne (de ce que je connais on ne doit pas avoir de port ouvert entre la DMZ -> réseau interne pour être le plus "secure" possible) Solution : il faut que je mette un deuxième serveur mail sur la DMZ et utiliser la commande ETRN (comme ca plus de port ouvert c'est le serveur en interne qui récupére les mails et non plus InterScan qui les envoie). Est-ce la seule solution et comment l'implémenter (sendmail....??? avec Exchange en interne ) 2 eme soucis : Je souhaite donc mettre un webmail dans la DMZ pour que mes utilisateurs puissent récupérer leurs mails via le Net...je pense utiliser Squirrelmail en https sur apache. Squirrelmail serait configuré pour dialoguer directement avec mon serveur Exchange d'ou des ports ouverts entre ma DMZ et mon réseau interne (IMAP+SMTP) et l'authentiification se fait directement sur le compte mail de ce serveur (pas top hein ?) Alors comment faire : comme tout à l'heure mettre un serveur mail dans la DMZ et squirrelmail dialoguerait avec ce dernier (tout se passe dans la DMZ). Mais alors comment synchroniser les deux serveurs sans ouvrir de port depuis la DMZ vers le réseau interne (ETRN sert au serveur interne pour récupérer les mails de l'extérieur (il établit la connexion, fait-il par la même occasion un transfert des données du serveur interne vers le serveur DMZ). Quelqu'un peut-il m'expliquer comment on fait pour synchroniser et mettre en place de façon sécurisée un accès mail via le Net ? (ou me donner des liens) Merci pour vos infos...

par **tomtom** » 25 Oct 2002 14:50

Je ne comprends pas porquoi tu as un serveur en mail en interne.... Il ne te suffit pas d'avoir un serveur sur la dmz ???? Tu pourrais tout faire sans souci, c'est cette config qui est utilisée la plupart du temps...

par **antolien** » 25 Oct 2002 15:53

C'est compliqué ce que tu veux faire, Interscan renvoie tes messages sur ton lan oui après les avoir vérifiés, donc il n'y a pas trop de problème de sécurité car il n'y a pas de renvoi direct de l'xterieur vers ton lan. pour le webmail, si tu veux sychroniser ton serveur de mail avec un autre type de serveur, cela me parraît difficile. Si tu es sur exchange, la version 2000 integre via iis la consultation via le web et pour une meilleure securité, il vaut mieux avoir un serveur fontal qui ne contien aucune donnée. Cette question est intéressante mais là il va falloir faire appel à des ingénieurs securité. C'est pas le genre de truc qui se fait à l'aveuglette. M'enfin je te conseillerai plutôt de créer un vpn road warrior pour que les user puissent consulter leurs e-mail en pop, via le web et bien sécurisé. Car souvent le webmail est un peu lent et pas très pratique pour certaines choses. C'est mon avis ...

par **jerph** » 25 Oct 2002 16:33

- "l'idéal c'est que j'ai la même chose sur les 2 serveurs comme ca si y'en a un qui tombe je déplace l'autre..." Pour mon webmail qui serait sur la DMZ il ne dialoguerait qu'avec le serveur mail situé sur la DMZ en IMAP/SMTP... lui-même serait accesible via https (je me pose la question de l'utilité d'un reverse proxy ? (squid)) Pour simplifier un peu, je pense qu'il y a des pros de sendmail ici ; alors est-il possible d'éviter d'ouvrir des ports (sinon lesquels ?) de la DMZ vers le réseau interne. "antolien" Interscan renvoie tes messages sur ton lan oui après les avoir vérifiés, donc il n'y a pas trop de problème de sécurité car il n'y a pas de renvoi direct de l'xterieur vers ton lan. oui mais mais c'est interscan qui initialise la connexion (port 25 ouvert) donc pas bon. (car en gros c'est un rebond) J'ai OWA qui tourne en interne mais si je peux basculer Exchange vers Sendmail pourquoi pas ;o) car pour faire dialoguer 2 serveurs Exchange (un sur la DMZ et l'autre en interne) faut ouvrir 3 ou 4 ports ;o)) L'idée de monter un VPN pourquoi pas mais l'idéal c'est que mes utilisateurs puissent se connecter via un cybercafé <IMG SRC="images/smiles/icon_eek.gif">) Pour les pros de la sécurité : <IMG SRC="images/smiles/icon_eek.gif">) Solutions à mon problème : - je pense obligatoire : le mail DMZ reçoit les mails externes via Interscan et le mail INTERNE récupère ces derniers - pour le webmail ??? je le configure pour tapper sur mon mail INTERNE en ouvrant le port SMTP et IMAP ou bien j'essai de synchroniser les data sur le mail DMZ (quels ports dans le cas de 2 seveurs Sendmail) et dialoguer qu'en DMZ (mieux à mon avis). Merci

par **jerph** » 25 Oct 2002 16:35

"jtfillaud" Je ne comprends pas porquoi tu as un serveur en mail en interne.... Il ne te suffit pas d'avoir un serveur sur la dmz ???? Ben pour la sécurité ! Mais j'ai des doutes sur la réelle faisabilité de la chose : - le serveur mail en dmz recoit les mails de l'extérieur et le serveur en interne les récupère régulièrement pas de port ouvert entre la DMZ et le réseau interne. - le serveur interne est invisible d'internet (même pas de forward) - "l'idéal c'est que j'ai la même chose sur les 2 serveurs comme ca si y'en a un qui tombe je déplace l'autre..." Pour mon webmail qui serait sur la DMZ il ne dialoguerait qu'avec le serveur mail situé sur la DMZ en IMAP/SMTP... lui-même serait accesible via https (je me pose la question de l'utilité d'un reverse proxy ? (squid)) Pour simplifier un peu, je pense qu'il y a des pros de sendmail ici ; alors est-il possible d'éviter d'ouvrir des ports (sinon lesquels ?) de la DMZ vers le réseau interne. "antolien" Interscan renvoie tes messages sur ton lan oui après les avoir vérifiés, donc il n'y a pas trop de problème de sécurité car il n'y a pas de renvoi direct de l'xterieur vers ton lan. oui mais mais c'est interscan qui initialise la connexion (port 25 ouvert) donc pas bon. (car en gros c'est un rebond) J'ai OWA qui tourne en interne mais si je peux basculer Exchange vers Sendmail pourquoi pas ;o) car pour faire dialoguer 2 serveurs Exchange (un sur la DMZ et l'autre en interne) faut ouvrir 3 ou 4 ports ;o)) L'idée de monter un VPN pourquoi pas mais l'idéal c'est que mes utilisateurs puissent se connecter via un cybercafé <IMG SRC="images/smiles/icon_eek.gif">) Pour les pros de la sécurité : <IMG SRC="images/smiles/icon_eek.gif">) Solutions à mon problème : - je pense obligatoire : le mail DMZ reçoit les mails externes via Interscan et le mail INTERNE récupère ces derniers - pour le webmail ??? je le configure pour tapper sur mon mail INTERNE en ouvrant le port SMTP et IMAP ou bien j'essai de synchroniser les data sur le mail DMZ (quels ports dans le cas de 2 seveurs Sendmail) et dialoguer qu'en DMZ (mieux à mon avis). Merci

par **antolien** » 25 Oct 2002 17:27

Wahoo, j'ai pas tout compris... Mais il va bien falloir ouvrir des ports entre ton LAN et ta DMZ ne serai-ce que pour synchroniser tes deux serveurs de mails. Pareil pour le surf, tu es bien obligé de laisser le port du proxy interscan ouvert au lan. Ainsi l'exterieur peut initier une connexion sur le port 25 de ta DMZ mais pas sur le LAN, interscan lui seul peut communiquer sur ton lan. Reverse proxy n'a rien à voir dans l'histoire, c'est juste en cas de virus, au lieu de garder le virus sur le proxy-cache, il retransfère dessus les données à chaque fois après verification(ça evite d'avoir des virus sur le proxy-cache) ... J'aimerai juste savoir quel est ton firewall, ainsi que ta version d'exchange. Un truc qui pourrai t'aider, c'est scanmail (encore trend): c'est donc un antivirus qui s'installe sur exchange et donc c'est lui qui va chercher les mails sur ta DMZ.

par **arapaho** » 25 Oct 2002 17:40

Voila la situation qui s'est Droulé il y a quelques temps dans mon entreprise: Obligation de migrer le Sendmail Interne vers un un Exchange pour ses fonctions. On dispose d'un server sendmail dans la DMZ sur lequel tourne trend. Celui forward alors les mails OK vers l'exhange de l'interne. Pour l'accès de puis l'exterieur avec un webmail, c simple. Un squirrel mail (ou horde/imp peu importe <IMG SRC="images/smiles/icon_smile.gif">) qui va chercher les mails sur le exchange en interne. Maintenant niveau securité => Le webmail n'est accessible qu'en https. Les échanges entre le webmail et l'exchange ne se font que grace aux pop et au smpt sécurisé => SSL. Seul probleme, avec une solution autre que le OWA (Outlook Web Access), tu ne peux pas authentifier tes utilisateurs via l'Active Directory. Je suis en train de plancher sur une solution de ce type. Je peux te fournir le compte rendu lorsque ce sera fini si ca t'interesse. Pour tt ceux qui se demandent pkoi ils ne met pas son server de mail ds la DMZ je repondrai: 1- il faut tt simplement être inconscient pour mettre un Exchange ds une DMZ. 2- Un server de mail ds une DMZ frowardant les mails vers l'interne est une solution bcp plus sécurisée, je m'explique : compte tenu du fait que les protocoles smtp et pop3 ou imap sont des protocoles non sécurisés de base, il est facile de s'introduire dans une DMZ et d'écouter les conversations entre le server de mail et les client. Et vu que dans 90% des cas, le nom de compte et le password sont identique à ceux utilisés pour l'accés au reseau interne, je vous laisse imaginer la suite. 3- Avec une solution reposant sur un server de mail dans une DMZ forwardant vers la LAN, plus de soucis de ce genre: il n'y a plus d'authentification qui sont réalisées entre les clients et la DMZ. De plus, cela permet de faire tourner un TRend (ou autre) ailleur que sur la machine utilisée par les clients pour lire leurs mails.

par **antolien** » 25 Oct 2002 18:03

voilà le balaise arapharo, AH AHHH, c'est corsé tout ça j'adore, très interessant ce post, pour commenter, c clair qu'il fo être inconscient pour mettre un exchange en dmz. c tout pour l'instant en fait @+

par **jerph** » 25 Oct 2002 18:09

antolien --> ben oui je crois que je vais finir par devoir ouvrir des ports DMZ vers INTERNE... Pour le surf oui j'ai un port ouvert mais c'est de l'INTERNE vers DMZ (le proxy) "interscan lui seul peut communiquer sur ton lan" oui et c'est pas bon !!! il devrait communiquer avec un serveur mail sur la DMZ qui lui-même est scanné par le serveur Exchange INTERNE. (ETRN) PAS DE PORT A OUVRIR et SURTOUT PAS DE FORWARD. Firewall Cisco PIX 515 Failover Exchange 5.5 arapaho --> "On dispose d'un server sendmail dans la DMZ sur lequel tourne trend. Celui forward alors les mails OK vers l'exhange de l'interne." -comme ci-dessus pas bon !!! tu devrais utiliser la fonction ETRN pour ne pas avoir a ouvrir le port 25...Erreur d'intégration de Trend. "Pour l'accès de puis l'exterieur avec un webmail, c simple. Un squirrel mail (ou horde/imp peu importe) qui va chercher les mails sur le exchange en interne." - ben c'est justement ce qui me CHAGRINE ...tu es obligé d'ouvrir IMAP/SMTP entre webmail (squirrelmail) et le serveur INTERNE !! Je n'ai pas d'Active Directory et l'utilisateur se connecterait au webmel via https et authentification directe sur le compte mail. (stratégie sécurité Windows : 3 tentatives erronées : compte bloqué) Est-ce correcte comme SOLUTION ??? <IMG SRC="images/smiles/icon_confused.gif"> "Je peux te fournir le compte rendu lorsque ce sera fini si ca t'interesse." : je suis intéréssé (je ne maitrise pas tout ;o) ) "Un server de mail ds une DMZ frowardant les mails vers l'interne est une solution bcp plus sécurisée" pas bon, risque de rebond !"

par **antolien** » 25 Oct 2002 18:19

c'est presque impossible ce que tu cherches à faire, une DMZ ne pouvant pas du tout communiquer avec le LAN n'est valable qu'a partir du moment ou ces services ne sont pas liés genre un serveur web. avec exchange 5.5, outlook web access existe ? , cela m'etonne beaucoup. pour une securité optimale entre dmz et lan , je te conseillerai IPSO, soit du checkpoint.

par **jerph** » 25 Oct 2002 18:30

"anatolien" --> oui tu as raison pour le serveur web (a part le webmail ;o) )... mais je cherche des "conseils" ou plutot j'espère surtout ne pas faire d'erreur dans l'intégration du webmail... <IMG SRC="images/smiles/icon_bawling.gif"> OWA existe sur 5.5 mais bonjour la galère et la sécurité pour un webmail !!! je partirais surement pour squirrelmail en https dans la DMZ en connexion directe sur mon serveur Exchange en interne si tout le monde fait comme ca dans les règles de l'art <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

par **antolien** » 25 Oct 2002 18:46

tu as tout à fait raison de demander des conseils et j'essaie de faire ce que je peux mais arapaho à l'air mieux placé ; je connais interscan, exchange, mais webmail n'est pas dans mes connaissances pratiques. les IDS sont biens aussi pour ça et puis des systèmes d'authentification plus poussées sont bien mieux pour la securité. NT4 et exchange 5.5 commencent à être dépassé par tout ça. Active directory serai sûrement meilleur malgré l'investissement engendré par cette architecture.

par **Xurlak** » 05 Nov 2002 13:53

Bonjour, Mettre un serveur HTTPS sur DMZ - Ouvrir le port 443 (SSL) depuis Internet vers WEBMAIL/DMZ - OUvrir DMZ -> LAN port 137+139 (SI tu authentifies les users par NT) + Ports 135 et 1328 pour le trafic entre Exchange et ton WEbmail ( a confirmer) Ta sécurité n'est pas excellente mais c'est typiquement le cas freudien entre sécurité ki coutent trop chers aux DG et fonctionnalités ki plaisent bcp aux meme DG !! A +

Accès messagerie sécurisée via Internet ???

Qui est en ligne ?