par Pascal Creusot - Mis en ligne le 18/05/2005 - Publié en Mai 2004
Assurer la disponibilité des services de messagerie et protéger les serveurs de
messagerie
Dans la seconde partie de ce dossier,
nous allons voir les aspects de la
sécurité au niveau des services
Exchange, des bases de données, des
données, des clients et aussi
comment diminuer le temps d'indisponibilité
du serveur Exchange ...Le premier niveau de sécurité lors
de la mise en place d'Exchange
consiste à définir de manière correcte,
la machine chargée d'héberger les
données. Généralement la configuration
du serveur Exchange doit disposer
de 3 grappes de disques gérés de manière
indépendante. Tout d'abord un
RAID 0 avec 2 disques en miroir pour
supporter le système d'exploitation
Windows et l'application Exchange, un
autre RAID 0 avec 2 disques pour y placer
les journaux (logs) et enfin une
unité de stockage pour les bases et les
données. Cette dernière unité est généralement
composée de disques en
RAID 5. D'autres configurations plus
complexes peuvent être envisagée
pour répondre à des besoins plus importants
en termes de sécurité, mais
cette configuration constitue la configuration
de base pour un serveur
Exchange en entreprise. La séparation
des journaux et des bases sur deux
disques différents permet une simplification
de la phase de récupération en
cas d'incident. Mais après la protection
matérielle, il faut prévoir la protection
au niveau logiciel, et dans ce domaine,
il existe deux familles de produits : la
protection et la sécurité en fonctionnement
et ensuite la sauvegarde et la récupération
des données en cas d'incident.
Le premier niveau de protection
consiste donc à sécuriser les données et le serveur contre les intrusions et
autres actions malveillantes.
Sécurité de la messagerie d’entreprise Microsoft Exchange (partie 2)
La protection du serveur avec un antivirus
est indispensable. Il faut alors
prendre soin de bien mettre en place
deux systèmes antivirus sur un
serveur Exchange : un au niveau système
et le second au niveau Exchange.
La protection du système doit être assurée,
comme sur l’ensemble des serveurs
de l’entreprise. Cet antivirus au
niveau système fonctionne principalement
sur les fichiers et sur les
échanges réseau du serveur. Il doit
prendre en compte la totalité des dossiers
du serveur excepté les répertoires
qui sont utilisés et gérer par les
services de la messagerie Exchange. Ce
point est capital et il faut être sûr et certain
d’exclure les dossiers Exchange
des dossiers et fichiers qui sont contrôlés
par l’antivirus système. Les dossier
concernés par cette exclusion de l’antivirus
système sont : MDBDATA, DSADATA,
MTADATA et le répertoire serveur.
log (ces répertoires changent de
nom ou n’existent pas toujours selon
les versions d’Exchange). Ensuite, il
faut mettre en place l’antivirus spécifique
à Exchange. Dans ce domaine, il
existe plusieurs solutions et plusieurs
éditeurs. Il faut en premier lieu, s’assurer
que la version utilisée est compatible
avec la version d’Exchange qui est
installée, car les moteurs d’antivirus
diffèrent en fonction des versions
d’Exchange. En particulier, un antivirus
conçu i n i t i a l e m e n t pour
Exchange 2000 n’est pas obligatoirement
utilisable avec Exchange 2003. Il
existe différents modes de travail pour
un antivirus sous Exchange. On trouve
tout d’abord la sécurisation du transport
SMTP, que nous verrons plus en
détail plus loin et la sécurité au niveau
du contenu des boîtes aux lettres avec
notamment 2 technologies qui sont
connues sous les termes de MAPI
et de VS API. Les premiers anti-virus
n’avaient d’autres solutions que
d’effectuer un scan du contenu de la
boîte aux lettres en effectuant une ouverture
de celle-ci en mode MAPI, au
même titre qu’un client Outlook. Pour
remédier aux nombreux inconvénients
de cette méthode, Microsoft a
développé une interface de programmation
(API) spécifique pour les antivirus
et cette interface a été désignée
sous le terme de VS API (Virus Scan
API). Cette technologie permet une
analyse en temps réel du contenu des
boîtes aux lettres avant qu’il ne soit
stocké dans la base Exchange et les
bases peuvent aussi être scannées à
tout moment manuellement ou à des
périodes définies. Il est donc préférable
d’utiliser une solution logicielle
qui support le mode VS API. Parmi
les produits les plus souvent rencontrés,
on peut citer comme exemple
Norton for Exchange ou encore Trend
Scanmail, mais il en existe de nombreux
autres. Cette stratégie de protection
antivirus au niveau des bases
Exchange ne dispense pas de la mise
en place de l’antivirus système, ni de
dispositifs de protection au niveau des
utilisateurs (client Outlook), ni même
de la mise en place d’autres systèmes
de filtrage ou de protection, en particulier
au niveau du service SMTP.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
