Mise en place d’une DMZ

Exchange communiquent entre eux en
utilisant de nombreux ports (RPC, AD, HTTP…) entre les serveurs
Exchange, mais aussi avec les contrôleurs de domaine
(DC) et les serveurs de catalogue global (GC). Cela impose
donc l’ouverture de nombreux canaux de communication
entre les serveurs Exchange frontaux situés dans la DMZ et
différents serveurs situés sur le réseau local. Pour information,
il faut effectuer plusieurs modifications de la base de registre,
et ouvrir les ports 80, 691, 389, 3268, 53, 135, 88 et
1024 et supérieur. Toutes ces ouvertures, même si elles
sont définies entre les différents serveurs Exchange, sont autant
de moyens de communication et donc de failles de sécurité.
Pour limiter le nombre de ports de communications
ouvert au sein du pare-feu (firewall), une alternative consiste
à  laisser l’ensemble des serveurs Exchange directement
connectés au réseau local et de placer des serveurs SMTP au
sein de la DMZ. L’idéal en termes de sécurité étant de placer
un service SMTP différent (par exemple SMTP avec ISA
Server) au niveau de la DMZ. Ainsi tous les flux de messagerie
en provenance de l’Internet seront orientés vers ce ou ces
serveurs et ensuite la communication entre cette passerelle
SMTP et les serveurs frontaux ou Exchange ne seront basés
que sur le protocole SMTP. Il est aussi possible de définir la
communication SMTP entre les serveurs du réseau local et
de la DMZ en utilisant un autre port de communication que
le standard SMTP qui est en port 25. L’utilisation d’un autre
port renforce le niveau de sécurité en évitant ainsi une ouverture
du port 25 du coté réseau local, alors que ce port est
ouvert du coté Internet. Le serveur SMTP situé en frontal
pourra alors aussi intégrer des fonctions de filtrage de
contenu, d’anti-spam ou encore d’anti-virus. Plusieurs éditeurs
d’antivirus proposent ce type de logiciels pour gérer et
filtrer le contenu des messages et le fait d’utiliser une passerelle
SMTP différente d’Exchange diminue aussi les risques
d’attaques car les vulnérabilités de deux systèmes différents
ne sont pas les mêmes. Si une vulnérabilité est découverte et
qu’elle est exploitée sur le premier frontal qui n’est pas
Exchange, elle ne pourra alors certainement pas être exploitée
directement sur les serveurs Exchange et inversement.
Cette protection sera encore plus efficace si les ports de
communication utilisés en interne ne sont pas ceux définis
par défaut. C’est ce que je nomme le
principe des chicanes, c’est à  dire utiliser
des technologies différentes à 
chaque niveau de vérification pour limiter
les risques d’exploitation des défaillance
d’un seul système pour passer
toutes les vérifications.