Sécuriser vos accès nomades pour accéder à Exchange et Lync

2 270 vues

Publié le

Aujourd’hui dans l’entreprise, le besoin de mobilité est croissant et cela implique de devoir mettre en place des architectures capables de garantir à la fois la sécurité d’accès aux données mais aussi la conformité des périphériques utilisés. Au travers de cette session, vous découvrirez comment les solutions Forefront TMG et Forefront UAG peuvent être déployées afin d’offrir aux nomades des accès à Exchange Server et Lync Server de manière simple, transparente et hautement sécurisée

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 270
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
47
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécuriser vos accès nomades pour accéder à Exchange et Lync

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. PAR304 : Sécuriser vosaccès nomades pouraccéder à Exchange etJeudi 9 Février 2012LyncPatrick ISAMBERTArchitecteALSY
  3. 3. Spécialiste Microsoft Notre identité • +20 ans d’existence • +15 ans de partenariat avec Microsoft • 190 experts • Filiale d’Orange Business Services • Centre des usages Microsoft Rhône-Alpes
  4. 4. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  5. 5. Agenda Différents accès nomades Accès via navigateur Clients des postes de travail Clients mobiles Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  6. 6. Accès via navigateur Outlook Web App Successeur d’Outlook Web Access Intègre les fonctions de messagerie instantanée avec Lync Server Lync Web App Permet aux utilisateurs ne disposant pas de client Lync installé de participer à des conférences, Ne nécessite pas forcement de compte Active Directory Fournit la plupart des fonctions Lync 2010 pour une réunion : Affichage et présentation de diapositives PowerPoint, Messagerie instantanée de groupe pour la réunion, Connexion audio par téléphone, Pas de connexion vidéo , Distribution de fichiers et le partage d’applications et de bureau. Ne permet pas la messagerie instantanée de Lync Server et
  7. 7. Clients des postes de travail Outlook Anywhere : synchronisation de son client Outlook depuis nimporte quel réseau Opération en tâche de fond Aucun VPN à établir, communications sur HTTPS Lync 2010 Utilisation du client Lync pour les nomades Aucun VPN à établir, communications directes (HTTPS et port 443 par défaut)
  8. 8. Clients mobiles Outlook Mobile : Accès à la messagerie depuis un téléphone portable Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry (sans BES), Symbian, WebOS Fonctionnement Accès aux serveurs Exchange de l’entreprise à travers un canal de communication sécurisé en HTTPS Aucune donnée ne transite sur des systèmes tiers C’est l’utilisateur qui accède à la boite aux lettres Pas de comptes système ou super utilisateur, Accès aux données stockées sur le périphérique, Confidentialité des données garantie de bout en bout Lync Mobile : Accès à Lync Server depuis un téléphone portable Windows Phone, iPhone, iPad, Android, Nokia Symbian
  9. 9. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Reverse Proxy Rôle du Reverse Proxy Quel Reverse Proxy ? Positionnement du Reverse Proxy Exemples de topologies Lync Edge Server Rôle du serveur Edge Topologies possibles pour le serveur Edge Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  10. 10. Rôle du Reverse Proxy Publication des applications web (flux B2C/B2E) Outlook Web App Installé sur les serveurs CAS Lync Web App Installé par défaut, Publié au sein des urls simples : reunions.domaine.com (meet.domain.com) Publication des services web (flux B2B) Exchange Web Services Installé sur les serveurs CAS Intègre les services « autodiscover », les carnets d’adresses en mode hors connexion, les services de disponibilité , … Lync Web Services Les urls simples, à publier de préférence vers le directeur, Les autres services web vers les différents « pool ».
  11. 11. Quel Reverse Proxy ? Tout reverse proxy peut convenir mais… L’usage de filtres applicatifs est très fortement conseillé Les filtres contrôlent le contenu des trames Analyse HTTP (URL, entêtes, contenu…) Contrôles de l’encapsulation HTTPS S’agit-il de MAPI au sein de RPC/HTTPS ? Une réécriture d’URL peut être nécessaire L’usage de la délégation d’identification est fortement conseillée Sinon ce sont les serveurs qui effectuent le travail (et encourent les risques) Serveurs CAS pour Exchange 2010 Serveurs Directeur et Front End pour Lync Server 2010 La gamme Microsoft Forefront inclue tous ces besoins : Forefront Threat Management Gateway 2010 Forefront Unified Access Gateway 2010
  12. 12. Positionnement du ReverseProxy ? groupe de travail ou dans un domaine En mode Le mode groupe de travail ne permet pas certaines délégations d’identification Seule l’identification par formulaire et l’authentification HTTP 1.1 de base sont possibles Il peut en résulter des fenêtres d’ouverture de session intempestives On peut inclure le reverse proxy dans la forêt interne de l’entreprise mais… Usage d’une « forêt de connexion » La forêt AD-DS est la limite de sécurité et d’isolation, Les derniers outils d’administration gèrent bien une topologie multi-forêts, Il existe plusieurs scenarii de liaison inter-forêts Les relations d’approbation de forêt Mise en œuvre de l’identification sélective Application du SID Filtering Usage de Kerberos Les fédérations de forêts Double niveau de reverse proxy Premier niveau de reverse proxy hors domaine Deuxième niveau de reverse proxy dans la forêt
  13. 13. Exemples de topologies Reverse Proxy dans la foret interne, Reverse Proxy dans une forêt distincte en relation d’approbation de forêt avec la forêt interne, Reverse Proxy dans une forêt distincte fédérée avec la forêt interne, Double niveau de Reverse Proxy 1er niveau : Entre DMZ publique et DMZ privée Reverse Proxy hors domaine, avec délégation (identification formulaire ou HTTP 1.1 de base) via RADIUS ou LDAP, 2ème niveau : Entre DMZ privée et réseau interne Reverse Proxy dans la forêt interne avec délégation (identification HTTP 1.1 intégrée), et usage de la délégation contrainte Kerberos pour les serveurs publiés.
  14. 14. Rôle du serveur Edge Accès des utilisateurs externes Les clients Lync se connectent de manière transparente à Lync Server à travers Internet Public IM Connectivity (PIC) Connexions avec les fournisseurs publics de messagerie instantanée (Live, Yahoo, AOL) Fédération Fédération avec d’autres entreprises Fédération avec Office 365 Présence et messagerie instantanée ou… Toutes possibilités A/V et partage d’applications
  15. 15. Topologie 1 : Edge avec une seule adresse IPedge.contoso.com edge-int.contoso.com131.107.155.10 172.25.33.10 Externe Edge Server InterneSIP: 5061 SIP: 5061Web Conf: 444 Web Conf: 8057A/V Conf: 443, 3478 A/V Conf: 443, 3478
  16. 16. Topologie 2 : Edge avec plusieurs adresses IP SIP Externesip.contoso.com131.107.155.10 443, 5061 edge-int.contoso.com 172.25.33.10 Web Conf Externe Edge Server Internewcnf.contoso.com SIP: 5061131.107.155.20 443 Web Conf: 8057 A/V Conf: 443, 3478 AV Externeav.contoso.com131.107.155.30443, 3478
  17. 17. Topologie 3 : Edge avec adresses IP derrière un NAT.Adresses IP IP1’ IP1publiques n’a pas Lync Server SIP Externe besoin de connaitre les adresses translatées pour SIP et Web Conf IP2’ IP2 Client NAT W.Conf Externe Edge Server Int Les clients se connectent à l’adresse IP3’ IP3 IP pour le trafic A/V: L’adresse IP AV Externe translatée pour AV doit être configurée dans
  18. 18. Topologie 4 : Edge avec DNS LBAdresses IP publiques IP1Enregistrements A DNSsip.contoso.com IP1 et IP4 Edge Server IP2 Intwcnf.contoso.com IP2 et IP5 1av.contoso.com IP3 et IP6 IP3 ClientLes clients peuvent maintenir IP4plusieurs adresses IP et peuvent Edge Serverainsi basculer la connexion. IP5 Int 2 IP6
  19. 19. Topologie 5 : Edge avec DNS LB et NATAdresses IP IP1’ IP1publiquesEnregistrements A DNS A Edgesip.contoso.com IP1’ et IP4’ IP2’ IP2 Server Intwcnf.contoso.com IP2’ et IP5’ 1av.contoso.com IP3’ et IP6’ IP3’ IP3 NLes adresses IP AV Adoivent être configurées IP4’ T IP4individuellement dans EdgeLync Server IP5’ IP5 Server Int IP3 vers IP3’ 2 IP6 vers IP6’ IP6’ IP6
  20. 20. Topologie 6 : Edge avec HardwareLoad BalancerAdresses IP publiques IP1Enregistrements A DNS Edgesip.contoso.com VIP1 IP2 Server Intwcnf.contoso.com VIP2 1av.contoso.com VIP3 VIP1 IP3 VIP H 2 VIP LLes connexions clients AVsont initiées sur la VIP. 3 B IP4Par la suite, le trafic client AV Edge(UDP) se connecte directement sur IP5 Server Intle Edge. Le trafic TCP continue à 2utiliser la VIP. IP6NAT et HLB sont incompatibles
  21. 21. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Besoins pour Exchange Server Besoins pour Lync Server Publications B2C/B2E et B2B Types de certificat à utiliser Identification vis-à-vis des serveurs publiés Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  22. 22. Besoins pour Exchange Server Publication Outlook Web App Les risques liés à l’accès navigateur Session restée active, réutilisation des informations de sécurité, Analyse du cache à posteriori, récupération de pièces téléchargées, Exécution de scripts cachés dans des courriels, Téléchargement d’images sur des liens externes, Divulgation de l’adresse du site OWA via les « referrer headers » Publication Outlook Mobile Les risques liés Divulgation d’informations lors de la perte du périphérique, Accès aux données stockées sur le périphérique, Communications entre le périphérique et l’entreprise non sécurisées . Publication Outlook Anywhere Les risques liés Perte de l’ordinateur portable, Analyse des flux échangés avec le serveur, Publication Exchange Web Services Accès aux informations Exchange depuis les clients externes Sera traité avec les besoins du client Lync en externe Les risques liés Analyse des flux échangés avec le serveur.
  23. 23. Publication Outlook Web App Pré-Authentification sur : -Active Directory Périmètre de Serveur de boites -LDAP (AD) l’entreprise (DMZ) aux lettres -SecureID -Radius OTP Analyse HTTP -Radius (URL, entêtes, con Délégation tenu…) Réécriture d’authentification d’URLs SSL SSL ou HTTP MS- RPC Serveur daccès Forefront TMG Client OWA client (CAS) Forefront UAG
  24. 24. Gestion des sessions avecOWA Le service OWA est délivré par le serveur ayant le rôle CAS (Client Access Server) Accès par défaut en HTTPS. Mode dauthentification par formulaire par défaut Méthodes dauthentification tierces supportées (avec FTMG, FUAG) : RSA SecurID, Radius. Authentifications classiques supportées nativement (NTLM, Kerberos, de base). Cookie de session chiffré Chiffrement effectué coté serveur Durée de vie des clefs courte : Moitié de la durée de vie de la session utilisateur.
  25. 25. Cookie de session avec OWA Pièces d’identité transmises Cookie chiffré 7,5 minutes sécoulent Cookie transmis Serveur CASClient OWA Cookie chiffré Clé 1 Clé 2 7,5 minutes sécoulent Clé 3 Activitéutilisateur Cookie transmis Cookie chiffré Clé 4
  26. 26. Gestion des sessions avecOWA Activité utilisateur sur le poste de client Toutes les interactions initiées par lutilisateur sont considérées comme activité utilisateur, Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte, Expiration des sessions (publique ou privée) basée sur lactivité du poste client 15 minutes par défaut pour un accès public, 8 heures par défaut pour un accès privé,
  27. 27. Publication Outlook Mobile Périmètre de l’entreprise (DMZ) Serveur de boites aux lettres URL: mail.mycompany.com/Microsoft- Server-ActiveSync/*, Analyse HTTP de l’URL : 1024 Taille max Méthodes: POST, OPTIONS Extensions autorisées : . (URL, entêtes,Query length : 512 Max co Bloquer les signatures ntenu…) ./ .. % : SSL SSL ou HTTP MS- RPC Forefront TMG Exchange CASPériphérique Mobile Forefront UAG
  28. 28. Publication Outlook Anywhere Périmètre de Serveur de boites l’entreprise (DMZ) aux lettres Méthodes HTTP : • RPC_IN_DATA Analyse HTTP (URL, • RPC_OUT_DATA entêtes, co Extension : *.DLLntenu…) Signature : ./ .. % & MS- RPC SSL SSL RPC sur HTTP RPC sur HTTP Forefront TMG Serveur CASOutlook 2003, 2007, 2010 Forefront UAG (Accès Client)
  29. 29. Besoins pour le client Lync Publications HTTPS et HTTP vers les serveurs Front End et le directeur pour Lync Server Publications HTTPS vers les serveurs CAS pour l’accès aux services web d’Exchange Server Publications HTTPS pour Lync Server Urls simples Carnet d’adresses Expansion des listes de distribution « Web Ticket » Publications HTTP pour Lync Server Mise à jour des périphériques (Firmware) Journalisation des mises à jour de périphériques
  30. 30. Besoins pour Lync Server Front End Pool1 Front End Client Reverse Proxy Pool2 Directeurappels.contoso.com vers ledirecteurreunions.fabrikam.com vers le directeur DNS LB nonlync1.contoso.com vers le pool 1 supporté pour lelync2.contoso.com vers le pool 2 trafic HTTP/SBesoin de SAN sur lecertificat
  31. 31. Publications HTTPS B2C/B2E etB2B Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des navigateurs (exemple : Outlook Web App) L’utilisateur a besoin de préciser ses pièces identités, L’authentification par formulaire est donc un bon choix, L’utilisateur peut accepter un certificat non reconnu. Les flux publiés B2B sont accédés par des applications externes L’application connait les pièces d’identités à utiliser, Il est inutile de les redemander à l’utilisateur, Risque de fenêtres d’ouverture de session multiples, Risque de confusion, L’authentification HTTP 1.1 convient mieux Normalement, un certificat non reconnu interdit la connexion Deux ports d’écoute Web (FTMG) ou Trunk (FUAG) Le premier pour les accès avec identification en mode formulaire Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…) Le second pour les accès avec identification HTTP 1.1 Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
  32. 32. Types de certificat à utiliser De manière générale : En interne, des certificats issus d’une PKI interne Coût, disponibilité, cycle de vie, … En externe, des certificats issus d’une PKI publique Pour être reconnus et validés par les différents clients Si usage de certificats d’une PKI interne en externe : Permet notamment de limiter les accès aux flux B2B Attention aux périphériques permissifs Attention la PKI doit exposer les AIA et CRL à l’extérieur Une architecture à 2 niveaux (AC racine hors ligne et AC de distribution d’infrastructure d’entreprise suffit) On peut éventuellement doubler les ports d’écoute (ou trunk) en fonction du type de certificat utilisé pour restreindre les usages.
  33. 33. Identification vis-à-vis desserveurs publiés Ne concerne que les accès publiés avec délégation d’identification Si possible, utiliser la délégation contrainte Kerberos Nécessite que le service dispose d’un SPN (Service Principal Name) Exemple : http/outlook.contoso.com Nécessite que le compte d’ordinateur du Reverse Proxy soit configuré pour la délégation sur ce SPN Propriété du compte ordinateur dans Active Directory Users & Computers La délégation contrainte Kerberos doit être choisie dans la règle de publication Sinon Utiliser l’identification NTLM Utiliser l’identification de base
  34. 34. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Comment sécuriser le serveur Edge Quels ports dois-je ouvrir ? Sécurisation des usages
  35. 35. Comment sécuriser le serveurEdge Utiliser un sous-réseau différent Verrouiller les règles de routage pour ce sous- réseau Désactiver broadcast, multicast, et le trafic vers les autres sous réseaux de périmètre Placer le serveur Edge entre deux murs pare feux Suivre le Lire et appliquer les informations de l’article « »
  36. 36. Les communicationssécurisées dans Lync Quelqu’un peut-il analyser les paquets et accéder à mes données IM/audio/vidéo/données ?
  37. 37. Lync Server Security Filter :qu’est ce que c’est ? Script SPL + service .Net à installer dans le serveur Edge A enregistrer sur le serveur Edge via PowerShell Intercepte tout trafic d’authentification des utilisateurs distants 2 3 Compteur:1 Seuil : 2 Timeout : 5 minutes
  38. 38. Lync Server Security Filter : Quefait il? Intercepte l’identification NTLM ou TLS-DSK dans la requête SIP, Extrait l’authentification unique du paquet : TLS-DSK : extraction du certificat client NTLM : extraction du nom d’utilisateur et du domaine Contrôle le nombre d’ouvertures de session échouées, Si le nombre d’essais atteint le seuil choisi, les futures requêtes d’identification sont bloquées, Une fois, le timeout expiré, l’utilisateur peut de nouveau tenter de s’authentifier
  39. 39. Quels ports dois-je ouvrir ? Bien connaitre les ports réseau Les équipes de sécurité réseau sont paranoïaques, Et c’est leur métier  Elles veulent bloquer tous les ports externes, Toute demande d’ouverture de port doit être justifiée et clairement comprise, Il vous faut fournir une explication claire et précise pour chaque port à ouvrir
  40. 40. Présence et messagerie instantannée
  41. 41. Partages d’applications
  42. 42. A/V et conférences Web
  43. 43. “Enterprise Voice”
  44. 44. Port TCP 5062 (interneuniquement) Les serveurs Front End doivent disposer d’un certificat valide dont le nom du sujet correspond au FQDN de ce serveur. De même les serveurs Front End font le même contrôle par rapport au certificat A/V du serveur Edge, Le FQDN du serveur Front End doit appartenir à une liste de confiance du serveur Edge. De même, le FQDN du serveur Edge doit appartenir à une liste de confiance des serveurs Front End, Toute signalisation SIP est protégée par un chiffrement TLS 128-bit.
  45. 45. Ports UDP 3478 et TCP 443 L’allocation de port est protégée par une authentification de type “challenge 128-bit digest”, utilisant un mot de passe généré par l’ordinateur et modifié toutes les 8 heures, Un numéro de séquence ainsi qu’un nombre aléatoire sont utilisés afin de déjouer les attaques par répétition, Les paquets de messages (UDP3478/TCP443) sont protégés avec une signature HMAC 128-bit.
  46. 46. Ports UDP/TCP 50000 à 59999 Les ports sont alloués de manière aléatoire par communication. Une attaque doit deviner quel port est utilisé et être terminée avant que la communication ne se finisse. Le trafic entrant est filtré en fonction des adresses IP des terminaux distants. Même si une attaque trouve le bon port, elle doit aussi usurper la bonne adresse IP. Ces deux mécanismes rendent l’usage de la plage de port plus sûr. Si l’ensemble du trafic est multiplexé sur un port, alors tout le trafic de toutes les adresses IP des terminaux distants est accepté.
  47. 47. Trafic média Les paquets “média” sont protégés de bout en bout avec SRTP (Secure Real Time Protocol) empêchant ainsi toute interception ou toute injection. La clé utilisée pour chiffrer et déchiffrer le flux média est transmise par le canal de signalisation TLS sécurisé.
  48. 48. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages Ordinateurs publics ou partagés sur Outlook Web App Gestion des périphériques mobiles
  49. 49. Ordinateurs publics oupartagés sur Outlook Web App La gestion des pièces jointes se fait selon le type d’accès Interdire l’ouverture des pièces jointes, Forcer l’usage du WebReady, Exchange lit des documents et les affiche au format web, Forcer la sauvegarde des pièces jointes, Cette gestion est granulaire selon le type de document
  50. 50. Gestion des périphériquesmobiles En cas de perte ou de vol Périphérique verrouillé par code PIN, Effacement du contenu du périphérique ,automatiquement après plusieurs tentatives (nombre défini par l’administrateur), Chiffrement de données enregistrées sur carte de stockage, Code IMEI pour bloquer l’appareil sur les réseaux, Effacement déclenchable depuis Exchange Control Panel (ECP) par l’utilisateur, En cas d’oubli, code de déverrouillage du mobile accessible sur ECP Support des stratégies ActiveSync
  51. 51. Ressources et remerciements Ressources : Un grand merci à Rui Maximo, Auteur de nombreux ouvrages sur OCS et Lync Présentateur au Tech-Ed 2011 d’Atlanta
  52. 52. Vous souhaitez approfondir Venez rencontrer nos Profitez d’une experts sur notre démonstration gratuite stand Posez vos questions Exposez vos besoins
  53. 53. Vous êtes dans la salle 243
  54. 54. Questions …. et réponses ….

×