SOUS PROJET FIREWALL



    Projet TSMSI promotion 2002 / 2003

    Réalisé par :

    Philippe CAMPAGNOLA
    Gilles DALMAS
    Christophe DESAPHY
    Yann LEFEBVRE

    SOMMAIRE



    I INTRODUCTION

    1.1 Généralités
    1.2 Illustration du projet
    1.3 Cahier des charges
    1.4 Cahier des charges de sécurité

    II DESCRIPTION MATERIELLE ET LOGICIELLE

    2.1 Généralités
    2.2 Configuration d'ISA server
    2.3 Configuration du service DNS
    2.4 Configuration du serveur WEB
    2.5 Configuration d'Exchange
    2.6 Les attaques mises en œuvre

    III BILAN DES PROBLEMES ET SOLUTIONS

    IV CONCLUSION

    V ANNEXES

    5.1 Procédure d'installation de ISA server
    5.2 Procédure d'installation d'Exchange
    5.3 Procédure d'installation du service DNS
    5.4 Procédure d'installation du serveur WEB (IIS)
    5.5 Eléments de stratégie ISA server
    5.6 Les différents types d'attaques sur les protocoles IP gérés par ISA server
    5.7 Attaques aux niveaux des applications
    5.8 Glossaire


  1. INTRODUCTION

    2.

    1.1 Généralités

     Le travail demandé était l'installation d'un service Proxy afin d'offrir une connexion Internet aux différents réseaux privés. De plus, nous avions à mettre en place une DMZ (zone démilitarisée) avec un serveur WEB, un DNS père des DNS locaux, un serveur de messagerie dans le but de communiquer par mail avec le reste du monde. Enfin, un travail de sécurisation (firewall) des réseaux locaux était demandé afin de parer à d'éventuelles attaques venant de l'internet.
    Internet:
    Tout le monde connaît les avantages d'Internet : communication planétaire, source d'informations gigantesques……malheureusement, Internet est aussi la porte ouverte aux actes malveillants (piratage, virus, vol….). Alors que de plus en plus d'entreprises s'ouvrent sur Internet, il apparaît indispensable de les protéger, de sécuriser l'accès aux ressources, données…
    La DMZ:
    La DMZ (DeMilitarized Zone) ou zone publique est la vitrine d'une entreprise pour son environnement extérieur. Cette zone réside dans l'entreprise mais est publique donc intégrée à internet. Dans notre projet, nous y mettrons en place un serveur Web, un serveur de messagerie et un serveur DNS.
    La zone locale:
    Cette zone regroupe les réseaux privés de l'entreprise, qu'ils soient locaux ou distants.
    Le proxy-firewall:
    Cet ordinateur aura un rôle multiple et primordial. Il aura la tache d'aiguiller les ordinateurs du monde Internet vers les serveurs en DMZ de la société, de mettre en cache les pages Web les plus téléchargées afin d'en accélérer le chargement en cas de nouvel appel, mais aussi de permettre la sortie de la zone locale sur internet. Enfin, son rôle sera de sécuriser tous ces échanges.

    1.2 Illustration du projet

    1.3 Cahier des charges

     La sécurité du système sera appréhendée dans les deux sens :

    - en sortie pour filtrer l'accès à Internet aux utilisateurs de la société.
    - en entrée pour protéger l'ensemble du réseau d'entreprise de toute attaque venant de l'extérieur.

    L'établissement d'un cahier des charges de sécurité, mentionnant les règles à mettre en œuvre aussi bien dans le sens entrant, sortant que forward. La machine proxy-firewall aura comme OS 2000 serveur. La machine représentant Internet aura le choix de l'Os, elle servira d'attaque pour les tests en entrée et de serveur WEB pour les tests en sortie. Une machine représentant le réseau local sera sur 2000 pro le temps du maquettage.

    1.4 Cahier des charges de sécurité

     Différentes règles sont à mettre en place :

    En premier lieu, seul l'administrateur de sa machine aura le droit de se loguer sur sa machine. Les bios des trois ordinateurs seront configurés pour démarrer sur C :, les bios seront protégés par mot de passe. Un écran de veille sera mis en place avec protection par mot de passe.

    L'accès au Web sera autorisé du lundi au vendredi de 08h à 18h, la navigation sur tous les sites sera autorisée.

    Nous n'autorisons que la consultation de pages Web, les seuls protocoles autorisés à traverser le proxy-firewall sont les protocoles HTTP, POP3, SMTP et DNS (tous les autres sont interdits).

    Notre serveur Web offre un accès anonyme pour les utilisateurs Internet ainsi que des pages sécurisées par mot de passe pour les utilisateurs internes autorisés à se connecter de leur domicile au serveur.

    Toutes nos machines sont protégées par un antivirus. Les définitions de virus sont mises à jour.

    Des journaux d'alertes seront crées afin de garder une trace d'éventuelles tentatives intrusions, Les administrateurs des systèmes Exchange et ISA seront avertis par mail en cas d'événements anormaux.

    Au niveau messagerie, Exchange doit remplir uniquement le rôle de messagerie et seul l'administrateur a les droits nécessaires pour se loguer sur la machine.

    Les clients internes devront s'authentifier via une authentification de base à l'ouverture de leur client de messagerie.

    Un anti-virus sera installé sur la machine. Cet antivirus aura la tache de surveiller les mails entrants et sortants. Les serveurs virtuels seront configurés pour affaiblir le risque contre les attaques de deni de service.

    Une application sera installée pour protéger le serveur du courrier non sollicité.

    Quelques éléments de surveillance du serveur seront mis en place


  2. DESCRIPTION MATERIELLE ET LOGICIELLE

    3. 2.1 Généralités

     Firewall-proxy:

    128 mo RAM, 3 cartes réseaux. L'OS est imposé (2000 serveur). Le service pack 3 a été installé afin de régler les différents bugs et autres failles de l'OS (le SP1 minimum est obligatoire pour installer ISA server). L'installation de 2000 serveur sera du type serveur autonome (il est inutile de faire rentrer cette machine dans un domaine) sur une partition NTFS. Il nous a été proposé ISA server (produit Microsoft) pour le logiciel proxy-firewall, nous avons retenu cette possibilité, afin de travailler avec un logiciel très utilisé et performant dans son domaine. Cette machine sera le centre de notre projet, reliant les réseaux LAN à Internet, assurant une liaison vers une DMZ pour les utilisateurs de l'internet. Le nom de cette machine sera firewall-proxy

    Serveur WEB:

    Cette machine dispose de 128 mo de ram et d'une carte réseau. Elle prendra sa place dans la DMZ. Nous avons opté pour un 2000 serveur comme système d'exploitation (installé aussi en serveur autonome) pour des raisons de commodité (+ le SP3). Un serveur WEB étant fourni avec (IIS), nous avons naturellement opté pour ce logiciel pour notre serveur WEB. Cette machine aura deux partitions NTFS. Le nom de cette machine sera serveurweb.

    Serveur de messagerie:

    Cette machine dispose de 256 Mo de RAM et d'une carte réseau. Nous avions à notre disposition Exchange server comme serveur de messagerie (produit Microsoft) nous avons donc opté pour 2000 serveur comme système d'exploitation (+ SP3) installé sur deux partitions NTFS. Exchange nécessite d'être intégré dans un domaine, nous avons installé cette machine comme contrôleur de domaine (domaine synthese). Elle assurera aussi la fonction de serveur DNS. Cette machine fait aussi partie de la zone DMZ. Le nom de cette machine sera messagerie.

    Machine simulant Internet:

    Cette machine dispose de 128 Mo de RAM et une carte réseau, l'Os est laissé au libre choix. Pour des raisons pratique, nous décidons d'installer 2000 PRO et d'utiliser IIS fourni avec comme serveur WEB. Il a été installé sur cette machine divers logiciels d'attaque dans le but de tester la sécurité du proxy-firewall.

    Autre:

    Nous avions à notre disposition une machine connectée en permanence sur Internet, ceci dans le but de faciliter les recherches d'informations nécessaires à l'élaboration de notre projet. En cours de projet, cette machine nous a servi aussi pour tester la redirection et la délégation de zones DNS. Dans ce but, elle a été placée sur le réseau 192.168.13.0 afin de simuler les réseaux privés. Afin de réaliser ce test, nous avons du formater le disque dur et installer 2000 serveur (autonome) ainsi que le service DNS. Le service DNS a été désinstallé après le test.

    Câbles et autre matériel:

    3 câbles droits et 2 câble croisé RJ45 sont nécessaires (dont un pour la connexion avec le routeur) à l'élaboration de ce projet ainsi qu'un switch 4 ports.

    2.2 Configuration d'ISA server

     Généralités sur ISA server:

    Internet Security and Acceleration Server (ISA Server) 2000 est un serveur pare-feu d'entreprise et de cache pour le Web, compatible avec le système d'exploitation Microsoft Windows 2000, offrant des fonctions de sécurité par stratégies, d'accélération et de gestion des interconnexions de réseaux.

    ISA Server présente deux modes étroitement intégrés : un serveur pare-feu multicouche et un serveur de cache pour le Web très performant. Le pare-feu assure le filtrage au niveau des couches de paquets, de circuits et d'applications, l'examen des états pour examiner les données traversant le pare-feu, le contrôle de la stratégie d'accès et le routage du trafic. Le cache améliore la performance du réseau en stockant le contenu du Web fréquemment demandé. Les services de pare-feu et de cache peuvent être déployés séparément sur des serveurs dédiés ou intégrés sur un même ordinateur.

    ISA server permet le filtrage par stratégies de paquets IP et la journalisation de tous les paquets ignorés. La stratégie à appliquer peut être spécifiée soit au niveau IP, avec des protocoles IP et des adresses IP explicites, ou en fonction de critères définis à l'aide d'un protocole d'application de haut niveau. Si les données sont autorisées à passer la couche des filtres de paquets, elles sont transmises aux services de pare-feu et du Proxy Web, où les règles ISA Server sont traitées pour déterminer si la requête doit être adressée.

    On peut utiliser ISA Server pour créer une stratégie de publication afin de publier un ou des serveurs internes de manière sécurisée. La stratégie de publication, comprenant des filtres de paquets IP, des règles de publication Web ou des règles de publication serveur, ainsi que des règles de routage, déterminant la manière dont les services internes sont publiés. Lorsque Microsoft ISA Server traite une requête en provenance d'un client externe, il vérifie les filtres de paquets IP, les règles de publication et les règles de routage pour déterminer si la requête est autorisée et désigne le serveur interne qui traitera la requête.

    La stratégie d'accès et les règles de routage déterminent la manière dont les clients accèdent à Internet. Lorsque ISA Server traite une requête sortante, il vérifie les règles de routage, les règles de sites et de contenus, et les règles de protocoles pour déterminer si l'accès est autorisé. Une requête est uniquement autorisée si une règle de protocole et une règle de site et de contenu autorisent toutes deux la requête et si aucune règle ne la refuse explicitement.

    Possibilités d'ISA server:

    Stratégies d'accès Définit les protocoles et le contenu Internet auxquels ont accès les ordinateurs clients internes
    Mise en cache Web Stocke les objets Web demandés
    Réseaux VPN Ils étendent un réseau privé en utilisant des liens entre des réseaux privés et Internet
    Filtrage de paquets contrôle le flux de paquets IP à destination et en provenance de la carte externe de l'ordinateur exécutant ISA server
    Filtres d'application exécute des taches propres au protocole ou au système
    Publication Web met les serveurs Web de l'entreprise à la disposition des clients externes
    Publication de serveurs met les serveurs de l'entreprise à la disposition des clients externes
    Surveillance en temps réel permet de surveiller de manière centralisée l'activité de l'ordinateur exécutant ISA server
    Alertes avertissent lorsque des événements particuliers se produisent et exécutent les actions appropriées
    Rapports


    Voici une vue d'ensemble de la console d'ISA server :



    ISA server est configuré par défaut avec une protection maximale, c'est-à-dire qu'aucun trafic IP n'est autorisé. Il faut donc créer les filtres et règles qui nous permettront de sortir sur Internet et de rendre notre DMZ accessible. Des éléments de stratégie s'appliquent sur ces règles et filtres. Ces éléments de stratégie incluent les éléments ci-dessous :



    Nous n'avons utilisé dans le cadre de ce projet que la planification afin de restreindre la connexion Internet en fonction de l'heure. Nous n'avons pas utilisé les autres éléments car nous n'en avions pas l'utilité. (voir en annexe pour de plus amples explications sur ces éléments)

    Configuration:

    Nous devons avant toute chose activer le filtrage de paquets, la détection d'intrusion ainsi que le routage IP. Pour cela, bouton droit sur 'filtres de paquet IP' puis propriétés.




    Nous devons ensuite renseigner les adresses des réseaux internes, pour cela, bouton droit sur " table des adresses locales " dans la section configuration du réseau, puis " nouvelle entrée dans la table des adresses locales ". Nous enregistrons nos adresses de réseaux internes, soit :

    192.168.10.0 à 192.168.10.255
    192.168.11.0 à 192.168.11.255
    192.168.12.0 à 192.168.12.255
    192.168.13.0 à 192.168.13.255





    Autorisation d'accès à la DMZ:

    Le serveur WEB et le serveur de messagerie étant en DMZ, nous n'avons pas à créer de règle de publication (utilisé dans le cas de serveurs en zone locale). L'accès au serveur WEB via Internet est autorisé par la création d'un filtre de paquet IP autorisant le trafic entre Internet et la DMZ pour les requêtes HTTP.

    L'accès au serveur de messagerie passe par la création de deux filtres de paquets IP pour les protocoles POP3, SMTP.

    Créons le filtre IP HTTP (bouton droit sur filtre de paquet IP, puis nouveau). Nous lui donnons un nom (filtre IP), ensuite, nous cochons " autoriser la transmission de paquet ", puis nous choisissons comme type de filtre, " serveur http port 80 "




    Ensuite, nous appliquons ce filtre à l'ordinateur qui abrite le serveur Web (onglet " ordinateur local ") et à tous les ordinateurs distants.



    Le filtre étant crée ; nous vérifions sa configuration dans l'onglet 'type de filtre'.

    'port local' correspond au port utilisé sur le serveur Web.(port fixe, 80). 'port distant correspond au port demandeur sur la machine distante. (aléatoire).


    Créons les filtres de paquets IP POP3 et SMTP (bouton droit sur filtre de paquet IP, puis nouveau). Nous lui donnons un nom (pop3), ensuite, nous cochons " autoriser la transmission de paquet ", puis nous choisissons comme type de filtre, " pop3". Dans l'onglet " ordinateur local ", nous renseignons l'adresse du serveur de messagerie. Pour le filtre SMTP, choisir filtre SMTP (le reste de la configuration de ce filtre est identique au précédent).

    Réglementation d'accès à Internet pour les utilisateurs internes

    La règle de site et de contenu va déterminer si (et à quel moment) les utilisateurs internes ont le droit d'accéder à des destinations ou à des contenus spécifiques. Dans notre projet, nous autorisons les utilisateurs à accéder à Internet du lundi au vendredi de 08h à 18h vers tous les sites de leur choix. Nous modifions donc la règle par défaut par la création d'une nouvelle planification.



    Autorisation des sorties vers l'Internet

    L'accès à Internet passe aussi par la création d'une règle de protocole. Créons une règle de protocole (bouton droit sur règle de protocole puis nouveau). C'est une règle d'autorisation, par conséquent, nous cliquons sur " autoriser ", ensuite, nous choisissons les protocoles qui seront autorisés :

    HTTP…………………...….pour le serveur Web

    POP3, SMTP …………… pour le serveur de messagerie

    DNS query ………………...pour les requêtes DNS



    Ensuite, nous choisissons notre planification pour l'application de cette règle. Nous appliquons cette règle à toutes les demandes. Nous créons une règle qui va interdire tous les autres protocoles.

    Détection d'intrusion

    ISA server met en œuvre la détection d'intrusion à la fois au niveau des filtres de paquets et au niveau des filtres d'applications. Ces filtres s'appliquent pour les requêtes dans le sens Internet/local. Les filtres d'intrusions permettent de contrer les attaques mentionnées ci-dessous.



    Surveillance et alertes

    Tous les évènements d'alerte d'ISA serveur sont stockés dans la feuille alerte de l'objet configuration de l'analyse dans console ISA. Quand une intrusion est détectée une alerte apparaît dans l'objet 'analyse' de la console de management d'ISA server. Il est possible par le biais de la messagerie d'avertir par mail l'administrateur dès la détection d'un problème. ISA serveur stocke également les demandes entrantes et sortantes ainsi que les réactions adoptées par ISA server. Elles sont stockées dans trois journaux :

    - journaux de filtres de paquets
    - journaux du service de pare feu
    - journaux du service de proxy ISA server.

    ISA Server permet également de créer des rapports à l'aide des résumés de journaux. Il est possible de les enregistrer sous 2 format : soit au format html soit au format xls (Excel), ce qui permet une lecture claire pour l'administrateur.

    Il existe 5 types de rapports :

    - les rapports récapitulatifs intègre des statistiques résumant les fichiers journaux du service proxy Web et des journaux du service pare feu.

    - les rapports sur l'utilisation du Web : récapitule la manière dont ISA server a répondu aux demandes HTTP

    - les rapports sur l'utilisation de l'application : affichent le trafic HTTP, les principaux utilisateurs, les applications clientes et les destinations. Ils sont basés sur les journaux du service pare feu.

    - les rapports sur le trafic et l'utilisation : indiquent l'utilisation totale d'Internet par application, protocole et direction. Ces données proviennent des journaux du services pare feu et du service de proxy web.

    - les rapports de sécurité : affichent toutes les violations en rapport avec la sécurité du serveur. Ces rapports sont créées à l'aide des journaux du service pare feu, du service proxy Web et des journaux sur les filtres de paquets.

    ISA serveur permet également la surveillance en temps réel par le biais de divers compteurs. Cette tache est réalisée par l'analyseur de performances fourni avec le logiciel ISA server. Les compteurs sont tous rassemblés dans 5 objets différents et entièrement paramétrables.

    contrôle de bande passante filtrage de paquets
    cache service proxy Web
    service de pare feu


    2.3 Configuration du service DNS

     Le serveur DNS que nous avons à gérer doit être capable de résoudre une requête DNS concernant nos serveurs publiés et aussi de pouvoir rediriger une requête vers un autre serveur DNS s'il ne peut résoudre lui-même la requête. Rappelons que notre serveur DNS est en zone publique. La machine proxy-firewall sera cliente de ce serveur DNS afin de rediriger toutes les requêtes issues des réseaux locaux sur ce serveur DNS. Lançons le gestionnaire DNS par démarrer/programmes/outils d'administrations/dns

    Création d'une nouvelle zone:




    Nous choisissons zone principale standard car notre serveur n'est pas en domaine et ne peut donc pas dialoguer avec Active directory.

    Nous appellerons notre zone synthese. Il nous faut ensuite modifier l'adresse IP du serveur DNS, pour cela, nous cliquons sur l'enregistrement type " serveur de nom " avec le bouton droit puis propriétés, puis modifier et nous mettons l'adresse IP de notre serveur (207.168.60.2).


    Création des enregistrements:

    Nous devons créer des enregistrements pour les différents serveurs publiés, des enregistrements type MX et A pour le serveur de messagerie et un enregistrement type A pour le serveur WEB. Un enregistrement de type MX se crée via nouveau serveur de messagerie. Un enregistrement de type A se crée par " nouvel hôte "



    Nous renseignons les boites de dialogue (ci-dessous pour le serveur de messagerie)



    Création des alias

    Nous allons maintenant créer des alias afin de substituer au nom de la machine demandé un " www ", plus approprié à la manière dont sont tapées les adresses sur internet. Pour cela, il nous suffit de cliquer avec le bouton droit sur notre zone synthese et de choisir nouvel alias. Puis nous renseignons le nom complet de la machine et l'alias que nous voulons y donner. Nous créons un alias " www " afin de remplacer " serveurdns" par " www " dans l'adresse suivante : http://serveurweb.synthese. L'adresse pour atteindre ce site sera donc http:/www.synthese



    Nous créons aussi deux autres alias pour le serveur de messagerie. " pop " et " smtp ", ces deux alias remplaceront le nom de la machine (ici : messagerie) dans le paramétrage des comptes dans les clients de messagerie.



    Création des délégations

    Nos enregistrements liés à nos serveurs publics étant faits, nous envisageons maintenant de créer des délégations pour les domaines OS1, OS2, OS3. Ces délégations vont permettre aux requêtes DNS venant d'une entreprise interne (exemple 2000) de pouvoir être rediriger vers le serveur DNS d'une autre entreprise interne (exemple novell). Pour ceci, bouton droit sur notre zone synthese :



    Il nous suffit ensuite d'entrer le nom du domaine délégué, le nom du serveur DNS gérant ce domaine ainsi que son adresse IP, et de répéter l'opération pour les autres domaines.

    Création de la zone philou

    Le serveur Web de la machine Internet est rattaché à notre DNS public. Nous créons une zone philou dans laquelle nous créons un enregistrement de type A avec comme nom : internet.philou et comme IP : 207.168.70.2. Nous créons de nouveau un alias www qui remplacera le nom de la machine (internet). L'adresse pour aller sur ce site sera donc : http:/www.philou



    Tous les enregistrements sont désormais crées, voici une capture d'écran les présentant.



    Remarque :
    il est à noter que pour une cohérence totale et dans le cadre d'un projet véritable d'entreprise, il aurait été plus judicieux de créer une zone synthese.fr au niveau de notre DNS public plutôt qu'une zone synthese. De même pour le serveur de messagerie, il est indispensable de créer un domaine active directory synthese.fr plutôt que synthese, afin d'éviter des adresses mail du genre " nom "@synthese qui n'existent pas sur Internet et d'utiliser " nom "@synthese.fr. synthese nous a été imposé.

    2.4 Configuration du serveur WEB

     Présentation de IIS 5.0

    IIS 5.0 (intégré à Windows 2000) est un ensemble de services dédiée à l'internet. Ces fonctionnalités sont soit un accès à des ressources en FTP (transfert de fichier) ou SMTP (transfert de Mail). Il permet également la publication de site Web (cas qui nous intéresse ici).

    Afin d'augmenter la sécurité, Windows 2000 server sera installé en serveur autonome et deux partitions seront créées, une pour le système d'exploitation et les logiciels ou services nécessaires, l'autre abritera le site Web.

    Si un utilisateur malveillant tente de remonter l'arborescence du site il sera bloqué à la racine de la partition D :. Dans le cas ou il arriverait quand même à prendre le contrôle total de la machine, le domaine synthese ne serait pas touché.

    Deux accès seront possible sur ce site Web, un accès à certaines pages en lecture pour les utilisateurs Internet et un accès sécurisé par mot de passe pour des utilisateurs locaux désireux d'accéder à des pages Web particulières depuis leur domicile. Des droits NTFS spécifiques sur les disques durs et dossiers doivent être donné aux utilisateurs en fonction de leur catégorie.

    - Droits NTFS:

    Sécurité NTFS Groupe Administrateurs User internetIUSR_NonMachine Usertsmsi
    Disque C : Autorisé : control total Refusé : control total Non défini
    Disque D : Autorisé : control total Refusé : control total Non défini
    Dossier : site Web Autorisé : control total Autorisé : lecture et exécutionaffiche le contenu Non défini
    Dossier : paged'accès code Autorisé : control total Refusé : control total Autorisé : lecture et exécutionaffiche le contenu


    Paramétrage de IIS 5.0

    Nous supprimons le site Web par défaut et nous créons un nouveau site (bouton droit sur le nom de machine puis " nouveau site Web ").



    Apres avoir donné une description de ce site Web, nous paramétrons l'adresse IP du serveur Web.



    Recherchons le site Web sur le disque dur…..

    Laissons coché l'accès anonyme
    pour permettre l'accès au site
    par n'importe quel utilisateur d'Internet.
    Conseil : passer par le bouton parcourir permet
    d'éviter les erreurs de frappe.


    Afin de sécuriser nos pages, nous n'autorisons que les accès en lecture et exécution de scripts seulement.



    Le site est maintenant crée, lançons programmes/outils d'administrations/gestion des services Internet



    Nous allons à présent configurer la page par défaut. pour l'accès anonyme (bouton droit sur le nom du site puis " propriétés ").



    Puis dans l'onglet " documents ", nous effaçons les pages par défaut présentes pour écrire la notre.



    Personne n'étant à l'abri d'une " fausse manip " effectuons une sauvegarde de notre site.



    La page index.htm permettra l'accès aux deux zones (zone anonyme et zone protégé par mot de passe) via des liens hypertextes. La zone libre correspond au fichier libre.txt, ce fichier doit donc être en accès anonyme. Dans les propriétés du fichier (onglet 'sécurité de fichier', puis modifier), nous décochons l'accès par authentification de base, et nous cochons accès anonyme.



    La zone sécurisée correspond au fichier code.txt, dans les propriétés, nous cochons l'authentification de base et décochons l'accès anonyme.

    2.5 Configuration d'Exchange

     Généralités sur Exchange

    Exchange serveur 2000 se décline en 3 versions :

    Les clients de messagerie peuvent être des clients Internet (protocoles pop3, SMTP), ou des clients Exchange (protocole MAPI)

    La fonction de base (messagerie) est très utilisée dans les entreprises en domaine Windows 2000. Le serveur offre des services à des clients qui sont par défaut des clients Outlook 2000. Il existe deux manières pour faire de la messagerie :

    - dans la première, le serveur route les messages en fonction de leur expéditeur et de leur destinataire. Le client interroge le serveur et rapatrie la totalité des messages qui lui sont adressés (utilisation du protocole POP3)

    - dans la seconde les clients peuvent gérer leurs messages directement sur le serveur avant de les rapatrier (mode client-serveur, utilisation du protocole IMAP4, MAPI).

    Les principaux composants d'Exchange sont les banques d'informations publiques et les banques d'informations boites aux lettres, la surveillance du système, le protocole SMTP qui assure des fonctions de routage. Tout ceci s'intègre parfaitement dans Active Directory et offre par conséquent des possibilités d'administration centralisée.

    Le clustering est inclus dans Exchange et permet la duplication du serveur sur d'autres machines afin de mettre en place une redondance des informations et des services.

    Mécanisme de fonctionnement de la messagerie

    Les utilisateurs de chaque entreprise posséderont une boite aux lettres sur ce serveur et l 'utilisateur x (utilisateur Internet) aura également une boite aux lettres sur ce serveur pour simplifier l'approche d'internet. Tous les utilisateurs d'Internet ou de l'entreprise pourront envoyer des messages vers notre serveur de messagerie et les utilisateurs pourront recevoir leurs messages de notre serveur public. Nous utiliserons les protocoles POP3 et SMTP aussi bien pour les clients des réseaux locaux que pour l'Internet.



    Configuration

    En premier lieu, nous devons créer une unité organisationnelle (UO), nous l'appellerons exchange. A l'intérieur de cette UO, nous créons tous les utilisateurs des entreprises internes ainsi qu'une adresse de messagerie pour chacun.

    Nous configurons les serveurs virtuels utilisés ( POP et SMTP ) avec une adresse IP. Nous créons une console d'administration et de surveillance (MMC)dans laquelle, nous mettons les composants enfichables suivants : administration Exchange et surveillance du serveur.



    La MMC



    UO Exchange dans lesquels se trouvent les users Exchange
    L'objet destinataires permet de gérer les listes d'adresses
    Un clic droit sur les serveurs virtuels POP3 et SMTP permettent de leur attribuer une adresse IP et de les configurer.


    Le type d'authentification



    Sécurité

    Les serveurs virtuels seront configurés pour affaiblir le risque contre les attaques de refus de service (deni de service).

    Il existe dans Exchange divers paramètres à configurer (tel que la taille des messages…) sur le serveur virtuel SMTP ( propriétés/onglet messages ) pour limiter les attaques par refus de service



    Nous devons également pour sécuriser Exchange, filtrer les messages entrants et sortants du serveur Exchange. Cette fonction de filtre est gérée par l'antivirus GFI MAIL qui intercepte les fichiers joints suivant leur extension (com, exe…)

    Liste d'adresses (cas des clients MAPI)

    Chaque entreprise 2000, Novell et Linux possèdent des utilisateurs et chaque utilisateur est censé connaître uniquement les partenaires de son entreprise, néanmoins, un administrateur global est connu des utilisateurs de chaque entreprise. Pour cela des listes seront crées et des droits leurs seront attribuées.

    On crée 3 listes grâce aux champs renseignés ( Adresses de page Web (autres) )dans les propriétés de l'utilisateur (voir page suivante)






    Une fois les listes créées, on doit leur attribuer des droits en fonction des utilisateurs qui auront ou pas le droit de les visualiser sur les clients Outlook 2000. Ainsi que sur les listes d'adresses globales, par défaut et sur toutes les listes.



    Quelques éléments de surveillance du serveur seront mis en place

    Création d'un journal banque d'information contenant le compteur : Taille de la file d'attente pour envoi

    Dans une condition d'utilisation normale, cette file d'attente ne doit pas conserver une valeur non nulle sur une longue période. On doit donc surveiller la valeur moyenne de cette valeur sur notre système pendant une durée fixée et lancer une alerte en cas de problème.

    Dans notre cas, les utilisateurs n'étant pas nombreux, la durée fixée sera assez longues : 5 heures et une alerte sera envoyé à l'administrateur pour lui indiquer que la file d'attente est vide depuis 5 heures.

    Nous créons un journal de performance SMTP contenant les compteurs suivants :

    Connexions entrantes : Mesure le nombre de connexions entrantes actuelles. Une valeur de 0 qui persiste peut indiquer un problème de réseau. Une alerte sera envoyée à l'administrateur pour lui indiquer un possible problème réseau si aucune connexion entrante n'est détectée au bout de 2 heures.

    Octets messages reçus/seconde : mesure le rythme de réception des messages entrants, comparé à une moyenne prédéfinie. Dans notre cas la moyenne est définie à 5 messages /secondes.

    Remarque : en cas d'attaque de type mail bombing la moyenne sera forcement au dessus, une alerte sera donc envoyée à l'administrateur pour lui indiquer un possible problème de réseau.

    Visualisation des journaux


    Grâce l'analyseur de performances, nous pouvons visualiser nos journaux.

    Création de journaux et des alertes ( même principe )






    ce compteur renseigne le fichier journal

    Les alertes sont créées de la même manière que les journaux et permettent d'envoyer un message ou de lancer un programme en fonction du résultat contenu dans le journal.

    2.6 Les attaques mises en œuvre

     Nous avons essayé différents types d'attaques afin de tester la sécurité de notre firewall.

    1. 2 attaques par insertion de troyens dans un mail.
    2. 2 logiciels de scans de port.
    3. Un logiciel pour faire du ping flooding.
    4. Un logiciel pour faire un " ping of death ".
    5. La commande telnet.
    6. La commande FTP.
    Résultats :

    Insertion du troyen back orifice 2000 dans un mail. l'antivirus kaspersky installé sur le serveur de messagerie détecte et élimine ce troyen.

    Insertion du troyen osiris dans un mail. l'antivirus détecte le troyen mais ne peut l'éliminer, malgré notre paramétrage de kaspersky (effacement si désinfection impossible), le message avec le troyen arrive au destinataire !

    Scan de port avec superscan. ce scan ne donne aucun résultat car il effectue son test à l'aide de requête ICMP (ping) et le ping est interdit sur le proxy-firewall dans le sens Internet àLAN.

    Scan de port avec LPS. ce scan nous donne comme résultats, 5 ports ouverts (135, 445, 1025, 3002). Ce logiciel utilise un trace route pour faire son scan, ISA server dans sa configuration de base autorise ce type de requête.

    IP flooding envoi de 50000 pings avec une taille de 65500 octets (taille maximale) : aucun résultat : les pings sont bloqués par ISA dans le sens entrant.

    Ping of death envoi d'un ping avec une taille de données supérieure au maximum : cette attaque ne donne aucun résultat car le ping of death est bloqué par le système de détection d'intrusion sur les filtres de paquets IP.

    Telnet et FTP ces commandes ne donnent aucun résultat car leur port respectifs sont fermés (23 pour telnet ; 21 pour FTP) et ces services non démarrés sur la machine.


  3. BILAN DES PROBLEMES ET SOLUTIONS

    4.  Nous avons rencontré beaucoup de problèmes durant la réalisation de ce projet. Premièrement, il nous a été difficile d'avoir une idée globale du projet au début de sa réalisation (compte tenu de sa topologie : 3 réseaux interconnectés). Etant plus habitués à travailler sur un LAN en domaine avec gestion centralisée.

    Nous avons aussi eu des problèmes matériels avec la machine Firewall-proxy. Cette machine redémarrait de manière intempestive. Pour éviter un blocage complet du projet nous avons interverti cette machine avec le serveur Web ce qui nous a permis de faire une recherche de panne sans fortement retarder le travail.

    Ensuite, suite à une mauvaise lecture du cahier des charges, nous avons complètement occulté un point important de notre projet : le serveur DNS devait être en zone publique. Nous pensions donc avoir le choix de son emplacement. Nous avons opté pour un emplacement en zone locale (192.168.13.0) ce que nous avons du corriger en cours de projet suite à une relecture du cahier des charges. Le service DNS a aussi suscité pas mal de réflexion quant à son mécanisme général pour une simulation parfaite de l'interconnexion LAN / DMZ / INTERNET.

    ISA server nous étant totalement inconnu avant ce projet, il nous a été difficile d'appréhender son fonctionnement, ses paramètres par défaut (ISA server empêchant tout ping de l'extérieur (Internet) vers l'intérieur (lan et dmz), nous a induit en erreur lors des tests de routage).

    Lors de nos premiers tests du service DNS, nous avons imputé le non fonctionnement des résolutions de noms à la machine proxy-firewall alors que c'était notre service DNS qui était mal configuré. Ceci nous a fait chercher dans la mauvaise direction et fait perdre beaucoup de temps.

    Le filtre SMTP sur ISA server ne pouvant s'appliquer que dans le cas d'une messagerie implantée en zone locale, nous n'avons pu implanter cette protection. par conséquent, si l'antivirus intercepte bien d'éventuels virus insérés dans un mail, nous n'avons par contre aucune protection visant à interdire des fichiers joints suivant leur extension (exe, com,…etc), ce qui constitue une faille de sécurité.

    Pour palier à ce problème, nous avons installé un antivirus dédié à Exchange (GFI mail), lequel paraissait simple à paramétrer. Cependant, l'installation de ce logiciel nous a littéralement paralysé Exchange, la désinstallation n'a rien changé et nous avons du formater. Enfin, nous avons tenté de créer des listes d'adresses dans Exchange pour chaque entreprise. Ces listes ne sont visibles que dans le cas de clients de messagerie paramétrés en clients Exchange (protocole MAPI). Nous n'avons pas réussi à mettre en place cet échange via MAPI, les appels RPC étant visiblement bloqués par ISA server.

    Le travail en équipe n'a pas été simple, chacun ayant sa propre personnalité.

    Par inexpérience, nous pensons avoir commis une erreur en début de projet en travaillant chacun sur sa machine et ses logiciels dédiés, au lieu de tous se concentrer sur ISA server, puis la configuration d'Exchange, et enfin sur les tests d'attaques.


  4. CONCLUSION

    5.  Il semble évident que la machine serveur de messagerie nécessiterait dans une situation réelle une machine puissante et avec beaucoup de mémoire. Car elle est contrôleur de domaine, serveur DNS et serveur de messagerie qui consomme tous les trois beaucoup de ressources machine. Pour la machine Firewall-proxy, une mémoire de 256 Mo est recommandée et bien sur, pour assurer véritablement sa fonction de cache une très grosse capacité de disque est indispensable. En fait, une machine de plus aurait permis d'installer un contrôleur de domaine supplémentaire ainsi qu'un DNS secondaire pour faire une tolérance de panne et surtout alléger les services de la machine serveur de messagerie.

    C'est avec un certain regret que nous devons rappeler que des sauvegardes fréquentes sont indispensables. En effet, bien qu'initialement prévue, le moment de ces sauvegardes (de type Ghost) n'a jamais été planifié et donc jamais réalisées. Il s'avère qu'une " fausse manip " sur une machine tel que le serveur messagerie nous a coûté beaucoup de temps alors que cela aurait pu être évité.

    Nous avons également eu la confirmation que l'organisation, la cohésion de l'équipe est indispensable et doit même le cas échéant passer par l'autorité du chef d'équipe.

    Autre conseil récurent au monde informatique, il est capital, face à un problème, de prendre le recul nécessaire pour l'appréhender de manière efficace. C'est à dire, au delà des symptômes voir le vrai problème, puis l'attaquer à la racine pour remonter progressivement et trouver naturellement une solution. C'est ainsi par exemple, que la réalisation de ce projet nous a permis, d'approfondir et de clarifier fortement le fonctionnement et la mise en place du service DNS.

    Bien sur, nous regrettons le temps imposé qui ne nous a pas permis d'affiner davantage les filtres puissant d'ISA, tout comme la mise en place efficace d'un antivirus conçu spécifiquement pour un serveur de messagerie, ou encore d'autres fonctionnalités d'Exchange qui n'ont pas pu être testées, mais aussi le cryptage des données et l'utilisation des certificats

    Et pour finir, nous avons découvert de près les problèmes de sécurité d'une société qui souhaite avoir un accès Internet avec une publication de site et un service de messagerie. Mais les difficultés que nous avons rencontrées ont franchement aiguisées notre intérêt face à cette tache primordiale et nous permettra d'aborder maintenant une situation analogue d'un œil circonspect donc plus efficace.


  5. ANNEXES

    6.

    5.1 Procédure d'installation de ISA server

     Apres avoir insérer le CD d'ISA server, cliquez sur " installer ISA server ", choisissez votre type d'installation.



    Dans notre cas, le serveur 2000 étant en serveur autonome, il apparaît donc le message ci-dessous. Continuez….



    Choisissez le mode intégré pour bénéficier des fonctions firewall et de la fonction cache qui garde " en mémoire " les pages téléchargées pour un nouvel accès plus rapide à ces pages.



    Après avoir choisi le lecteur qui accueillera les pages mises en cache, vous devez entrer toutes les adresses de réseaux internes. (la DMZ n'en fait pas partie) Dans notre cas : 192.168.13.0 ; 192.168.10.0 ; 192.168.11.0 ; 192.168.12.0



    5.2 Procédure d'installation d'Exchange

     Généralités

    Exchange 2000 entreprise est installé sur une machine possédant un PIII 700 Mhz et 256Mo de RAM. Cette configuration dépasse les critères minimum requis pour son installation ( néanmoins la même machine fait office également de contrôleur de domaine ).

    Exchange 2000 s'installe obligatoirement dans un environnement Active Directory, sur Windows 2000 Serveur, Windows 2000 Advanced Serveur ou Windows 2000 Datacenter Serveur ( avec le pack 1 minimum ) Il faut donc que la machine sur laquelle vous désirez installer Exchange 2000 soit membre d'un domaine Windows 2000.

    Exchange et ses banques d'informations seront installées sur une partition NTFS physique différente de celle du système si vous désirez sécuriser l'accès à vos ressources. La Banque d'Information, les services de transport SMTP et NNTP sont indispensables à l'installation d'Exchange 2000 car ils fonctionnent en étroite collaboration. Le service SMTP est responsable du routage des mails, et le service NNTP gère les groupes de discussions et les dossiers publics.

    La Banque d'Information, les services de transport SMTP et NNTP sont indispensables à l'installation d'Exchange 2000 car ils fonctionnent en étroite collaboration. Le service SMTP est responsable du routage des mails, et le service NNTP gère les groupes de discussions et les dossiers publics.

    Installation

    Commencez par installer les services NNTP et SMTP. Pour ceci, allez dans panneau de configuration/ajout suppression de programmes/composants Windows Ces deux services se trouvent dans la rubrique " services Internet ", il suffit de les cocher. Ensuite, vous devez préparer la forêt, c'est-à-dire étendre le schéma d'Active directory de façon à inclure les objets propres à Exchange et donner des droits sur ces objets au compte défini comme administrateur Exchange. Cette préparation se fait par le lancement de la commande setup suivi du paramètre /forestprep.



    Choisissez le chemin d'installation



    Donnez un nom à la nouvelle organisation Exchange





    L'administrateur du domaine devient administrateur exchange.



    Maintenant, vous devez préparer le domaine, cette étape consiste à créer deux nouveaux groupes dans active directory ('serveurs de domaine Exchange' et 'serveurs Exchange Entreprise'). Elle permet également de créer les autorisations nécessaires aux serveurs Exchange pour lire et modifier les attributs utilisateurs. Le paramètre /domainprep permet cette préparation



    Spécifier à nouveau le chemin d'installation



    Vous pouvez passer maintenant à l'installation proprement dite d'Exchange



    Choisissez les composants que vous désirez installer.



    5.3 Procédure d'installation du service DNS

     Le service DNS se trouve dans les composants Windows installables séparément. Si vous n'avez pas installé ce service à l'installation de Windows, vous pouvez le rajouter par panneau de configuration/ajout suppression de programmes puis composants windows. Le service DNS se trouve dans les services de mises en réseaux. Cliquez sur détails……



    …… cochez système de noms de domaines (DNS).



    Si vous installez le serveur DNS sur une machine intégrée dans un domaine, vous aurez à choisir entre :
    1. déclarer ce serveur DNS comme serveur racine.
    2. donner l'adresse IP d'un serveur racine déjà présent sur le réseau.

    5.4 Procédure d'installation du serveur WEB (IIS)

     Ce serveur est livré avec Windows 2000, il se trouve aussi dans les composants Windows, rubrique " service Internet ", sélectionnez cette rubrique puis cliquez sur détails afin de n'installer que le nécessaire (pas de serveur FTP dans notre cas)…….



    ……..cochez " serveur World Wide Web ", ce qui aura pour effet de sélectionner automatiquement les composants annexes nécessaire à IIS.



    5.5 Eléments de stratégie ISA server
    Planifications cet élément définit les horaires d'applications pour les 'règles de sites et de contenu', les 'règles de protocoles' et les 'règles de bande passante'.

    Priorité de bande passante permet d'allouer une bande passante aux différents types de trafic réseau. Elle est applicable aux 'règles de bande passante' afin de déterminer les priorités entre les connexions.

    Ensembles de destinations élément qui permet de définir un ou plusieurs ordinateurs mais également des répertoires spécifiques. Cet élément est attribuable aux 'règles de site et de contenu', 'règles de publications Web' et aux règles de bandes passantes'.

    Ensembles d'adresses clients Ensemble qui permet de définir un ou plusieurs ordinateurs définissables par leur adresse ip ou par une plage d'adresses ip. Cet ensemble s'applique aux 'règles de sites et de contenu', aux 'règles de protocoles', aux 'règles de publications Web' et aux 'règles de bande passante'.

    Définitions des protocoles il s'agit des protocoles prédéfinis ou définis par l'utilisateur et qui permettent la communication entre les ordinateurs.

    Groupes de contenu défini les types d'extensions en fonction de leur application respective. Ceci est appliqué à la règle de stratégie 'règles de sites et de contenu'.

    Entrées d'accès distant défini les paramètres du serveur ISA pour une connexion par modem sur internet.


    5.6 Les différents types d'attaques sur les protocoles IP gérés par ISA server

     Le scan de port permet à un intrus d'accéder à des ports non configurés par l'administrateur. L'administrateur doit spécifier un seuil de port qui détermine le nombre de ports accessibles.

    Les attaques de type 'IP half scan' attaques visant à accéder à un ordinateur de manière répétée et dont les paquets TCP contiennent certains indicateurs. Par cette attaque les intrus recherche des ports ouvert sans ce faire repérer.

    Attaque 'land' cette attaque permet à un intrus d'usurper une IP et un port source correspondant à une IP et à un port de destination sur une connexion TCP. En faisant ainsi l'attaquant acquit un accès non autorisé a l'aide d'une fausse adresse IP. Cette attaque permet de bloquer des ordinateurs et ainsi rendre inaccessible certaines applications aux utilisateurs concernés.

    Ping of death attaques permettant d'ajouter de gros volumes de données à une requête d'écho ICMP. Cette attaque permet de bloquer des ordinateurs et ainsi rendre inaccessible certaines applications aux utilisateurs concernés.

    UDP bomb attaques visant à envoyer un paquet UDP contenant des valeurs illégales. La réception de ces paquets provoque des blocages intempestifs sur des vieux systèmes d'exploitation.

    Les attaques de types 'Windows out-of-band' intrus effectuant une attaque hors bande de deni de service. Cette attaque permet de mettre hors d'usage le serveur ISA ou de lui faire perdre sa connexion au réseau.


    5.7 Attaques aux niveaux des applications
    Dépassement de nom d'hôte DNS Réponse DNS avec une longueur de nom d'hôte dépassant une longueur fixe. Les applications qui ne vérifie pas la longueur de nom d'hote risque de dépasser les tampons internes lors de sa copie.Cette attaque permet d'executer des attaques forcées sur un ordinateur.
    Dépassement de longueur DNS Adresse IP ayant un champ dépassant une longueur de 4 octets. cette attaque permet également des dépassements de tampon et permet à un intrus d'executer des attaques forcées.
    Transfert de Zone DNS depuis les ports privilégié (1-1024) Ordinateur utilisant une application cliente DNS pour transférer des zones à partir d'un serveur DNS interne.Les informations ne doivent pas être transférées vers une destination externe car il peut s'agir de donnée confidentielle.
    Transfert de Zone DNS depuis les ports superieurs (au dessus de 1024) Identique au transfert de zone depuis les ports privilégiés. Les requetes sur les ports superieurs à 1024 sont habituellement des applications clientes bien que ce ne soit pas toujours le cas.
    Dépassement de tampon POP Intrus tendant à forcer un ordinateur executant une ancienne version pop en dépassant la mémoire tampon interne du serveur.

    5.8 Glossaire

     Non disponible.