Cette solution ne dispense pas de la mise en place d'un parefeu, mais au contraire, les deux approches sont complémentaires. L'architecture Frontend-Backend permet une grande modularité, mais il n'est pas simple de mettre en place le ou les serveurs frontaux dans une zone protégée comme une DMZ, car les serveurs
Mise en place d’une DMZ

Exchange communiquent entre eux en
utilisant de nombreux ports (RPC, AD, HTTP…) entre les serveurs
Exchange, mais aussi avec les contrôleurs de domaine
(DC) et les serveurs de catalogue global (GC). Cela impose
donc l’ouverture de nombreux canaux de communication
entre les serveurs Exchange frontaux situés dans la DMZ et
différents serveurs situés sur le réseau local. Pour information,
il faut effectuer plusieurs modifications de la base de registre,
et ouvrir les ports 80, 691, 389, 3268, 53, 135, 88 et
1024 et supérieur. Toutes ces ouvertures, même si elles
sont définies entre les différents serveurs Exchange, sont autant
de moyens de communication et donc de failles de sécurité.
Pour limiter le nombre de ports de communications
ouvert au sein du pare-feu (firewall), une alternative consiste
à laisser l’ensemble des serveurs Exchange directement
connectés au réseau local et de placer des serveurs SMTP au
sein de la DMZ. L’idéal en termes de sécurité étant de placer
un service SMTP différent (par exemple SMTP avec ISA
Server) au niveau de la DMZ. Ainsi tous les flux de messagerie
en provenance de l’Internet seront orientés vers ce ou ces
serveurs et ensuite la communication entre cette passerelle
SMTP et les serveurs frontaux ou Exchange ne seront basés
que sur le protocole SMTP. Il est aussi possible de définir la
communication SMTP entre les serveurs du réseau local et
de la DMZ en utilisant un autre port de communication que
le standard SMTP qui est en port 25. L’utilisation d’un autre
port renforce le niveau de sécurité en évitant ainsi une ouverture
du port 25 du coté réseau local, alors que ce port est
ouvert du coté Internet. Le serveur SMTP situé en frontal
pourra alors aussi intégrer des fonctions de filtrage de
contenu, d’anti-spam ou encore d’anti-virus. Plusieurs éditeurs
d’antivirus proposent ce type de logiciels pour gérer et
filtrer le contenu des messages et le fait d’utiliser une passerelle
SMTP différente d’Exchange diminue aussi les risques
d’attaques car les vulnérabilités de deux systèmes différents
ne sont pas les mêmes. Si une vulnérabilité est découverte et
qu’elle est exploitée sur le premier frontal qui n’est pas
Exchange, elle ne pourra alors certainement pas être exploitée
directement sur les serveurs Exchange et inversement.
Cette protection sera encore plus efficace si les ports de
communication utilisés en interne ne sont pas ceux définis
par défaut. C’est ce que je nomme le
principe des chicanes, c’est à dire utiliser
des technologies différentes à
chaque niveau de vérification pour limiter
les risques d’exploitation des défaillance
d’un seul système pour passer
toutes les vérifications.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Afficher les icônes cachées dans la barre de notification
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Chiffrements symétrique vs asymétrique
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- AI Appreciation Day,16 juillet « cet email de 10 pages aurait pu se résumer en 3 points »
- L’informatique quantique perçue comme la menace de cybersécurité la plus critique
- Bâtir une entreprise AI-native : par où commencer
- La France à l’avant-garde de la conteneurisation et de l’IA générative
- La souveraineté numérique pour renforcer la cybersécurité
