ISA 2006 et Exchange 2007: deux maillons d’une chaîne de sécurité

Avant de commencer à voir comment la mise en place d’un serveur ISA peut sécuriser une architecture Exchange, il faut définir quels sont les moyens de communication qui peuvent être utilisés pour accéder aux informations gérées par une infrastructure Exchange 2007 depuis le monde extérieur à l’entreprise ou depuis des environnement considérés comme moins fiables. La première approche pour permettre à des collaborateurs externes d’accéder aux ressources de la messagerie depuis un site distant ou depuis un équipement de type portable a été la mise en place de connexions à distance de type RAS (Remote Access Server) ou VPN (Virtual Private Network).

Ces solutions consistent d’une manière ou d’une autre à connecter à distance un ou plusieurs postes au réseau de l’entreprise en passant soit par une connexion directe de type téléphonique, soit en utilisant une connexion publique Internet et en sécurisant le transfert des données dans un tunnel VPN. Au final, le poste client est raccordé au réseau de l’entreprise et il a accès aux applications et aux données de la même manière que s’il était connecté en local au débit près. Cette solution a été utilisée pendant plusieurs années pour permettre l’accès à distance à la messagerie. Mais dans ce cadre, l’ensemble des ressources du réseau est exposé sur les postes distants, ce qui n’est pas toujours souhaitable. Pour l’accès distant à la messagerie, cette solution n’est donc maintenant plus recommandée. Il est maintenant possible depuis Exchange 2000 et 2003 d’accéder à la messagerie en utilisant d’autres modes de connexion qui n’ont cessé d’être améliorés au fil du temps. Ces différents modes d’accès à distance ont subi quelques évolutions mais ceux qui sont disponibles avec Exchange 2007 sont Outlook Web Access (OWA), Outlook Remotely Anywhere, ActiveSync, MailPush et Outlook Voice Access. On remarquera la disparition de Outlook Mobile Access (OMA) et le remplacement de Outlook RPC over HTTPs par Outlook Anywhere. Cette dernière évolution n’est en aucun cas technique, mais simplement un remplacement d’un nom ‘barbare’ RPC over HTTPs par un nom plus commercial avec Outlook Anywhere.

 La disparition de Outlook Mobile Access est certainement due à la disparition des téléphones WAP au profit de téléphones disposant d’un navigateur Web. D’autre part, on notera l’apparition de Outlook Voice Access (OVA) qui permet un accès par voie vocale aux éléments de sa boîte aux lettres. Ce type d’accès ne passe pas par ISA Server, mais fait l’objet d’une protection par code PIN, comme la plupart des systèmes de PABX ou de répondeurs téléphoniques. Donc, les flux qui seront gérés par ISA Server 2006 sont OWA, ActiveSync, Mailpush et Outlook Anywhere. Il faut ajouter à cette liste les accès à des documents Sharepoint car ce sont ces derniers qui doivent remplacer les dossiers publics, qui ne sont déjà plus accessibles avec le protocole NNTP, IMPA4, ni au travers d’un client OWA. Une précision sur ce dernier point. Les dossiers publics d’une architecture Exchange 2000 ou 2003 seront accessibles par OWA pour des utilisateurs de boîtes aux lettres sous Exchange 2007. Les dossiers publics sous Exchange 2007 s’ils existent ne seront pas accessibles depuis un client OWA. ISA Server 2006 prend en charge de manière native ces différents protocoles pour la publication de serveurs Exchange 2007 et de serveurs Sharepoint.