Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à certains
privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur supplémentaire
mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux à
l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à certains
privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur supplémentaire
mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux à
l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à certains
privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur supplémentaire
mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux à
l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou à
partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre en
place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si oui,
ça fonctionne avec Outlook Web Access. Par contre, effectivement, les
détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à certains
privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur supplémentaire
mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux à
l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou à
partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre en
place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si oui,
ça fonctionne avec Outlook Web Access. Par contre, effectivement, les
détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm4o0r$l9c$1@s1.news.oleane.net...
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à certains
privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur supplémentaire
mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux à
l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou à
partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre en
place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si oui,
ça fonctionne avec Outlook Web Access. Par contre, effectivement, les
détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à certains
privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur supplémentaire
mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux à
l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et si
oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou
à partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre
en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux
à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et si
oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" <laurentf@online.microsoft.com> a écrit dans le
message de news: O3UzHYU8FHA.632@TK2MSFTNGP10.phx.gbl...
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou
à partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre
en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm4o0r$l9c$1@s1.news.oleane.net...
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux
à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et si
oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou
à partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre
en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux
à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu placerais
en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et si
oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou
à partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre
en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux
à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu placerais
en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm6hdd$grq$1@s1.news.oleane.net...
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et si
oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" <laurentf@online.microsoft.com> a écrit dans le
message de news: O3UzHYU8FHA.632@TK2MSFTNGP10.phx.gbl...
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou
à partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre
en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm4o0r$l9c$1@s1.news.oleane.net...
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux
à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu placerais
en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et si
oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC, ou
à partir de portables appartenant au domaine AD de l'entreprise ? La
réponse à cette question va pas mal influer sur l'architecture à mettre
en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le serveur
ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal. Rien de
particulier à ce niveau, il te faut simplement des certificats émanant
d'une autorité de certification, par exemple celle fournie en standard
avec Windows 2003. Attention quand même aux effets de bord, la sécurité
c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant la
transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient mieux
à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" a écrit dans le message de
news: OxA%Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC,
ou à partir de portables appartenant au domaine AD de l'entreprise ?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des certificats
émanant d'une autorité de certification, par exemple celle fournie en
standard avec Windows 2003. Attention quand même aux effets de bord, la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" <mthibaut-NOSPAM-@le-pi.com> a écrit dans le message de
news: OxA%23ZVi8FHA.1248@TK2MSFTNGP14.phx.gbl...
Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm6hdd$grq$1@s1.news.oleane.net...
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" <laurentf@online.microsoft.com> a écrit dans le
message de news: O3UzHYU8FHA.632@TK2MSFTNGP10.phx.gbl...
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC,
ou à partir de portables appartenant au domaine AD de l'entreprise ?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des certificats
émanant d'une autorité de certification, par exemple celle fournie en
standard avec Windows 2003. Attention quand même aux effets de bord, la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm4o0r$l9c$1@s1.news.oleane.net...
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" a écrit dans le message de
news: OxA%Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC,
ou à partir de portables appartenant au domaine AD de l'entreprise ?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des certificats
émanant d'une autorité de certification, par exemple celle fournie en
standard avec Windows 2003. Attention quand même aux effets de bord, la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Oui je pense qu'en prospectant les éditeurs de solution crypto, tu devrais
trouver ton bonheur.
Reste à savoir combien ils vont te vendre "cette petite sucrerie" de
technologie ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dmedbr$3q1$Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" a écrit dans le message de
news: OxA%Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC,
ou à partir de portables appartenant au domaine AD de l'entreprise ?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des certificats
émanant d'une autorité de certification, par exemple celle fournie en
standard avec Windows 2003. Attention quand même aux effets de bord, la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Oui je pense qu'en prospectant les éditeurs de solution crypto, tu devrais
trouver ton bonheur.
Reste à savoir combien ils vont te vendre "cette petite sucrerie" de
technologie ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dmedbr$3q1$1@s1.news.oleane.net...
Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" <mthibaut-NOSPAM-@le-pi.com> a écrit dans le message de
news: OxA%23ZVi8FHA.1248@TK2MSFTNGP14.phx.gbl...
Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm6hdd$grq$1@s1.news.oleane.net...
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" <laurentf@online.microsoft.com> a écrit dans le
message de news: O3UzHYU8FHA.632@TK2MSFTNGP10.phx.gbl...
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC,
ou à partir de portables appartenant au domaine AD de l'entreprise ?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des certificats
émanant d'une autorité de certification, par exemple celle fournie en
standard avec Windows 2003. Attention quand même aux effets de bord, la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm4o0r$l9c$1@s1.news.oleane.net...
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonsoir,
Oui je pense qu'en prospectant les éditeurs de solution crypto, tu devrais
trouver ton bonheur.
Reste à savoir combien ils vont te vendre "cette petite sucrerie" de
technologie ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dmedbr$3q1$Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" a écrit dans le message de
news: OxA%Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel PC,
ou à partir de portables appartenant au domaine AD de l'entreprise ?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des certificats
émanant d'une autorité de certification, par exemple celle fournie en
standard avec Windows 2003. Attention quand même aux effets de bord, la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de type
carte à puce ou clé USB contenant le certificat de l'utilisateur ? Si
oui, ça fonctionne avec Outlook Web Access. Par contre, effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco <----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique marchent
bien . Je souhaiterais maintenant passer en production en sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant 3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous !
Vous en remerciant par avance,
@+
Bonjour,
mon experience pour secu OWA:
- SSL bien sur
- RSA, ca marche tres bien pour l'authentification a deux facteurs (je
l'ai
mis en marche) mais cela necessite effectivement l'instal d'un serveur de
jeton RSA - par contre ce qui est bien avec RSA, c'est qu'il existe un
agent
web (que tu peux utiliser pour owa bien sur) et que cela n'existe pas
forcement chea les autres (activecard par exemple)
- protection de la session: attention cela n'est actif que en mode premium
et pas en mode basic - si les users vont utiliser des ordinateurs publics,
il
faut imperativement une soluce de protection de la session http, il existe
plu sieurs produit, je connais Session Guard tres simple et efficace
(www.cerberis.com)
pour resumer, RSA ca marche nickel, mais il faut compter 2 jours de
boulot -
ne pas uoblier la securisation de la session.
marcBonsoir,
Oui je pense qu'en prospectant les éditeurs de solution crypto, tu
devrais
trouver ton bonheur.
Reste à savoir combien ils vont te vendre "cette petite sucrerie" de
technologie ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dmedbr$3q1$Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je
ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques
utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" a écrit dans le message
de
news: OxA%Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur
Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non
autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement
sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis
des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à
au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et
et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans
le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel
PC,
ou à partir de portables appartenant au domaine AD de l'entreprise
?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des
certificats
émanant d'une autorité de certification, par exemple celle fournie
en
standard avec Windows 2003. Attention quand même aux effets de bord,
la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de
type
carte à puce ou clé USB contenant le certificat de l'utilisateur ?
Si
oui, ça fonctionne avec Outlook Web Access. Par contre,
effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco
<----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique
marchent
bien . Je souhaiterais maintenant passer en production en
sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant
3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous
!
Vous en remerciant par avance,
@+
Bonjour,
mon experience pour secu OWA:
- SSL bien sur
- RSA, ca marche tres bien pour l'authentification a deux facteurs (je
l'ai
mis en marche) mais cela necessite effectivement l'instal d'un serveur de
jeton RSA - par contre ce qui est bien avec RSA, c'est qu'il existe un
agent
web (que tu peux utiliser pour owa bien sur) et que cela n'existe pas
forcement chea les autres (activecard par exemple)
- protection de la session: attention cela n'est actif que en mode premium
et pas en mode basic - si les users vont utiliser des ordinateurs publics,
il
faut imperativement une soluce de protection de la session http, il existe
plu sieurs produit, je connais Session Guard tres simple et efficace
(www.cerberis.com)
pour resumer, RSA ca marche nickel, mais il faut compter 2 jours de
boulot -
ne pas uoblier la securisation de la session.
marc
Bonsoir,
Oui je pense qu'en prospectant les éditeurs de solution crypto, tu
devrais
trouver ton bonheur.
Reste à savoir combien ils vont te vendre "cette petite sucrerie" de
technologie ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dmedbr$3q1$1@s1.news.oleane.net...
Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je
ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques
utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" <mthibaut-NOSPAM-@le-pi.com> a écrit dans le message
de
news: OxA%23ZVi8FHA.1248@TK2MSFTNGP14.phx.gbl...
Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur
Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non
autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement
sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm6hdd$grq$1@s1.news.oleane.net...
Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis
des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à
au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et
et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" <laurentf@online.microsoft.com> a écrit dans
le
message de news: O3UzHYU8FHA.632@TK2MSFTNGP10.phx.gbl...
Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel
PC,
ou à partir de portables appartenant au domaine AD de l'entreprise
?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des
certificats
émanant d'une autorité de certification, par exemple celle fournie
en
standard avec Windows 2003. Attention quand même aux effets de bord,
la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de
type
carte à puce ou clé USB contenant le certificat de l'utilisateur ?
Si
oui, ça fonctionne avec Outlook Web Access. Par contre,
effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" <NewsUser@nospam.fr> a écrit dans le message de news:
dm4o0r$l9c$1@s1.news.oleane.net...
Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco
<----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique
marchent
bien . Je souhaiterais maintenant passer en production en
sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant
3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous
!
Vous en remerciant par avance,
@+
Bonjour,
mon experience pour secu OWA:
- SSL bien sur
- RSA, ca marche tres bien pour l'authentification a deux facteurs (je
l'ai
mis en marche) mais cela necessite effectivement l'instal d'un serveur de
jeton RSA - par contre ce qui est bien avec RSA, c'est qu'il existe un
agent
web (que tu peux utiliser pour owa bien sur) et que cela n'existe pas
forcement chea les autres (activecard par exemple)
- protection de la session: attention cela n'est actif que en mode premium
et pas en mode basic - si les users vont utiliser des ordinateurs publics,
il
faut imperativement une soluce de protection de la session http, il existe
plu sieurs produit, je connais Session Guard tres simple et efficace
(www.cerberis.com)
pour resumer, RSA ca marche nickel, mais il faut compter 2 jours de
boulot -
ne pas uoblier la securisation de la session.
marcBonsoir,
Oui je pense qu'en prospectant les éditeurs de solution crypto, tu
devrais
trouver ton bonheur.
Reste à savoir combien ils vont te vendre "cette petite sucrerie" de
technologie ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dmedbr$3q1$Bjr
Merci pour cette idée, mais nous l'avions déja écartée pour 2 raisons :
1 - Toutes solutions sans serveur sup doit etre privilégiée.
2 - Sachant que tous les utilisteurs utilisent déja OWA en INTRAnet, je
ne
sais pas comment restreindre l'accès à OWA INTERnet à quelques
utilsateurs
seulement sans token,carte à puce ou autres dispositif PHYSIQUE ?
Est ce que tu sais si la solution que j'envisage est envisageable et si
oui ou trouver de la doc pour monter une plateforme de test ?
Encore merci,
@+
"Michaël THIBAUT" a écrit dans le message
de
news: OxA%Bonsoir,
Utiliser des clés Token me semble une idée un peu extrême...
Une solution plus simple et tout aussi sécurisé serait d'implémenter
ceci:
- Ton serveur Exchange actuel que tu transforme en Back end
- Installer un nouveau serveur Exchange 2003 en Front end que tu
placerais en DMZ de ton ISA 2000.
- Acheter un certificat SSL (Verasign, thawte, etc) pour l'ISA 2000
- Installer Le certificat sur ton ISA puis plublier ton serveur
Frontal
- Créer des rêgles de contenu enfin d'empêcher des chemins non
autorisés
sur ton Frontal
Et c'est tout ! A partir de là tu auras un accès OWA largement
sécurisé
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"NewsUser" a écrit dans le message de news:
dm6hdd$grq$Bonjour et merci pour cette réponse rapide,
Le but est effectivement de doter de CLEF USB en ReadOnly (Token)
contenant un certificat les utilisateurs autorisés à consulter leur
messagerie depuis l'extérieur de l'entreprise.
Ils doivent avoir accès à OWA depuis n'importe quel PC même depuis
des
cyber-café par exemple. Il y a très peu de portable chez nous.
Cela est-il possible uniquement avec les fonctionnalité intégrées à
au
couple Win2k3 / WinXP comme l'autorité de certification de w2k3 et
et
si oui saurais tu ou je pourrais trouver un peu de doc la dessus ?
Encore merci.
@+
"Laurent Francfort [MS]" a écrit dans
le
message de news:Bonjour,
Les utilisateurs vont-ils se connecter à partir de n'importe quel
PC,
ou à partir de portables appartenant au domaine AD de l'entreprise
?
La réponse à cette question va pas mal influer sur l'architecture à
mettre en place.
Passer en HTTPS : tu vas crypter la communication entre IE et le
serveur ISA, puis entre le serveur ISA et le serveur Ex2K3 frontal.
Rien de particulier à ce niveau, il te faut simplement des
certificats
émanant d'une autorité de certification, par exemple celle fournie
en
standard avec Windows 2003. Attention quand même aux effets de bord,
la
sécurité c'est tout un projet ;-)
Pour ce que tu appelles le "Token", s'agit-il d'un dispositif de
type
carte à puce ou clé USB contenant le certificat de l'utilisateur ?
Si
oui, ça fonctionne avec Outlook Web Access. Par contre,
effectivement,
les détails d'implémentation ne courent pas les rues.
Laurent
"NewsUser" a écrit dans le message de news:
dm4o0r$l9c$Bonsoir,
Notre config :
Exchange Serveur 2k3 <-----> ISA 2000 <-------> Firewall cisco
<----->
Internet
Pour l'instant les tests OWA via le port 80 en HTTP classique
marchent
bien . Je souhaiterais maintenant passer en production en
sécurisant
la transaction en HTTPS et d'autre part en limitant l'accès à OWA à
certains privilégies qui devront s'identifier par un TOKEN USB.
On me propose une solution en RSA qui nécessite un serveur
supplémentaire mais qui me parait bien lourde.
En sachant que tous mes serveurs sont en Win2k3 avec AD regroupant
3
domaines n'y aurait-il pas d'autres solutions qui s'integreraient
mieux à l'architecture existante ?
des idées, des liens, des retours d'expériences ..... Je prend tous
!
Vous en remerciant par avance,
@+
