Communications Unifiées et Sécurité : Mythes et réalités

369 vues

Publié le

La convergence des usages, l'ouverture à des acteurs externes -clients ou partenaires-, la mobilité et le télétravail entre parfois en conflits avec des pratiques et des politiques de sécurités existantes inadaptées à ces nouveaux usages. Cette session a pour objectif d'identifier les conflits et les bonnes questions de sécurités à traiter et brisera certains mythes et craintes liés à la sécurité des solutions Lync. Elle vous guidera vers les bonnes approches et pratiques de mise en oeuvre.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
369
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • Intro Serveurs / Entreprise / Reseaux / IT
  • Exemple de page image
  • SDL : a process that Microsoft has adopted for the development of software that needs to withstand malicious attack. The process encompasses the addition of a series of security-focused activities and deliverables to each of the phases of Microsoft's software development process.Depuisquecetteméthodeestappliquée le nombre de vulnérabilités au sein de nosproduitsontconsidérablementdiminuées.Au delà du fait que nous Microsoft disonsque Lync estsécuriséque font les autres ? Et bien les autres font des tests commeMiercom.Le mot de Miercom :Qui estMiercom ? : Miercom is a privately held network consultancy, specializing in networking and communications-related product testing and analysis.Miercom a donc fait touteunebatterie de tests, dont on voit un exempleicisurcette slide (concernantuneattaqueoù on fait muter les packet TCP) maispeuimporte Lync a résisté à l’ensemble des tests, moyennantparfoisl’application d’un patch.Cequ’ilest important de retenirc’est :Vouspouvezretrouverl’ensemble des tests sur le site de MiercomAppliquer les patch de sécurité, ce qui m’amène à prochaine slide
  • Lync est une solution logicielle basée sur Microsoft Windows, se patche comme n’importe quel serveur Windows
  • Nous parlions juste avant de Sécurité en profondeur ceci s’applique aussi au niveau des flux réseau engendrés par la solutionL’ensemble des flux sont chiffrés, y compris internesDescription du tableauEntre les clients Lync et les serveurs Lync : TLSServeurs à Serveurs Lync : MTLS…On parle de TLS, MTLS, HTTPS mais ceci implique la présence de certificats sur les serveurs. Pas n’importe quels certificats, ceux-ci doivent être issus d’une PKI. C’est un point très important, si vous avez déjà une PKI on peut la réutiliser à condition que celle-ci soit capable de délivrer des certificats x509v3 avec des entrées SAN (SubjectAlternate Name).
  • On parle de TLS, MTLS, HTTPS mais ceci implique la présence de certificats sur les serveurs. Pas n’importe quels certificats, ceux-ci doivent être issus d’une PKI. C’est un point très important, si vous avez déjà une PKI on peut la réutiliser à condition que celle-ci soit capable de délivrer des certificats x509v3 avec des entrées SAN (SubjectAlternate Name).
  • Les blocs de couleurssontéditables et peuventreprendre la couleur du type de session qui estdonnée.Idem pour les textes.
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Security of end-to-end mediaThe signaling channel used to negotiate a media session is protected using 128-bit TLS encryption with validation that the server certificate has a matching FQDN and trusted authority. This mechanism is very similar to the one that e-commerce sites use for online transactions. To secure the media itself, Office Communications Server implements the IETF’s SRTP protocol. The mechanism uses a 128-bit key exchange over the secure signaling channel, which the two endpoints then use to encrypt and decrypt the media stream using 128-bit Advanced Encryption Standard (AES) encryption. This ensures that even if an attacker can perform a man-in-the-middle attack of the media path, the attacker is not able to eavesdrop on the conversation or inject additional media packets. In the latter case, the client simply drops the packets.A/VThe following sequence of events takes place when a remote user calls internal users and therefore needs to be able to send voice, VoIP, or both by means of the A/V Edge Server: 1. The remote user establishes an authenticated SIP session by having the user sign in to Office Communications Server. Within the context of this authenticated, encrypted SIP session, the user can obtain authentication credentials from the A/V Authentication service.2. The remote user authenticates itself with the A/V Edge service and obtains media session ports (Office Communications Server 2007 R2 uses 3478/UDP) on the server for use in the upcoming call. At this point, the remote user can send packets by way of the allocated port on the public IP address of the A/V Edge service, but still cannot send media packets inside the enterprise.3. The remote user calls the internal user by way of the SIP signaling channel provided by the Access Edge service. As part of the call setup, the internal user is informed about the port on the A/V Edge service that the remote user has available to exchange media.4. The internal user contacts the A/V Edge service on its private IP address to be authenticated to receive media. The internal user is also allocated a port on the A/V Edge service public address (Office Communications Server 2007 R2 uses 3478/UDP) for use in the media session. After receiving the port, the internal user, again by way of the Access Edge service, answers the call and thus informs the remote user of the port it has obtained on the A/V Edge service for media exchange.The call setup is complete. Internal and external users begin to exchange media.
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Communications Unifiées et Sécurité : Mythes et réalités

    1. 1. Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    2. 2. Sécurité et LyncDaniel Monier-ReyesTSP LyncMicrosoftServeurs / Entreprise / Réseaux / IT
    3. 3. Ce que cette session n’est pas…Serveurs / Entreprise / Réseaux / IT?????????
    4. 4. Agenda• Généralités• Authentification• Accès Internet• Accès Voix• Contrôle• AdministrationServeurs / Entreprise / Réseaux / IT
    5. 5. Serveurs / Entreprise / Réseaux / IT• Microsoft Secure Development Lifecycle• Le mot dehttp://www.miercom.com/pdf/reports/20101117.pdfGénéralités
    6. 6. Serveurs / Entreprise / Réseaux / IT• Lync : Une solution logicielle– Basé sur serveur Windows– Se « patche » comme n’importe quel autre serveur Windows– Best Practice Analyzer http://technet.microsoft.com/en-us/library/gg558584.aspx– Seuls les services nécessaires sont installés– Firewall Windows configuré automatiquement• Antivirus système– Ne pas oublier les exclusions ! http://technet.microsoft.com/en-us/library/gg195736.aspx(Processus Lync, IIS, SQL, Fichiers et Répertoires)Généralités - La sécurité en profondeur
    7. 7. RÉSEAUGénéralitésServeurs / Entreprise / Réseaux / IT• Trafic réseauchiffré pardéfaut
    8. 8. RÉSEAUGénéralitésServeurs / Entreprise / Réseaux / IT• PKI nécessaire pour les Certificats Internes– Certificats auto signés non supportés– Certificats X509v3 avec SAN– CA Microsoft intégrée – Requête entièrement pilotée ou– CA Microsoft non intégrée ou PKI tierce via PKCS #10– Attention aux CDP (Accès CRL), AIA, Key Usage etc…• Certificats publics pour le Edge etReverse Proxy– Scénarios externes– CA Publique de confiance par défaut– Requête : Via PKCS #10– Être sûr à 100% avant de requêter !• Prérequis :– http://technet.microsoft.com/en-us/library/gg398066.aspx
    9. 9. RÉSEAUChiffrementServeurs / Entreprise / Réseaux / IThttp://www.microsoft.com/en-us/download/details.aspx?id=6797Lync Workload Architecture Poster
    10. 10. DIFFÉRENTES MÉTHODESAuthentificationServeurs / Entreprise / Réseaux / IT• Active Directory– Base d’authentification– 1 utilisateur Lync Authentifié = 1 compte Active Directory• Kerberos– Utilisateurs de l’entreprise internes (accès à un KDC)– Stations dans Active Directory– Modèle forêt de ressource possible• NTLM– Utilisateurs de l’entreprise internes et/ou externes– Authentification basée sur la fourniture d’un mot de passe• Certificats– Authentification des utilisateurs Lync, Lync Phone Edition– Emis par le serveur Lync– Nécessite une pré authentification pour récupérer le certificat (Kerberos, NTLM ou CodePIN)– Peut être révoqué (Revoke-CSClientCertificate)• Code PIN– Authentification téléphone Lync Phone Edition– Authentification pont de conférence audio– Fournir un num de téléphone ou extension obligatoire– Peut être pré renseigné (Set-CSClientPin)– Peut être bloqué (Lock-CSClientPin)• Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)
    11. 11. RÔLE EDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Accès au service Lync depuis Internet sansVPN (Remote user, Invités, Federation)• Serveur en DMZ, Sorte de Reverse Proxyspécifique à Lync, rien devant.• VPN possible mais…• Attention 2 interfaces réseaux = 2 DMZPrivée/Publique• OS Windows, pas dans AD, Lync Trusted Server• MTLS avec les serveurs Internes, TLS avec lesclients• Echange des secrets au travers du flux SIP• Mécanisme de rendez-vous pour l’audio et lavidéo.
    12. 12. RÔLEEDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Peu de ports ouvertsvers l’intranet• Mécanisme derendez-vous• Support de portssimples pour lesaccès externes(TCP443)
    13. 13. RÔLEEDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Mécanisme de rendez-vous– 0. Etablissement du canal SIP et Authentificationutilisateur.– 1. Authentification de l’utilisateur externe auprèsdu service Edge A/V– 2. Autorisation de connexion auprès du serviceEdge A/V– 3. Appel de l’utilisateur Interne (via SIP)– 4. Authentification de l’utilisateur interne auprèsdu service Edge A/V– 5. Autorisation de connexion auprès du serviceEdge A/V. Commutation de l’appel.• Clé de chiffrement symétriqueéchangée grâce à SIP overTLS (AES 128 bits)
    14. 14. VLAN VOIX/DATAAccès VoixServeurs / Entreprise / Réseaux / IT• Lync fonctionne sur le VLAN Data– Téléphonie IP Traditionnelle utilise VLAN VoixDédié– Quid des interconnexions avec IP-PBX, SIPTrunk Provider, RTC (PSTN) ?• Plusieurs Modèles d’interconnexion– Direct SIP entre Mediation et IP-PBX– Via une Media Gateway (IP-IP ou IP-TDM)• Media Gateway conseillée– 2 NICs, Routage entre les 2 VLANs– Module SBC possible (Elément de sécurité)
    15. 15. POLICIESContrôleServeurs / Entreprise / Réseaux / IT• Conferencing Policy (Set-CSConferencingPolicy)– AllowAnonymousParticipantsInMeetings– AllowAnonymousUsersToDialOut– AllowConferenceRecording, EnableP2PRecording– AllowParticipantControl– AllowExternalUserControl– AllowExternalUsersToRecordMeeting– AllowExternalUsersToSaveContent• PIN Code Policy (Set-CSPINPolicy)– AllowCommonPatterns– MaximumLogonAttempts– MinPasswordLength– PINHistoryCount– PINLifetime
    16. 16. BANDE PASSANTEContrôleServeurs / Entreprise / Réseaux / IT• Problématique :– Le réseau, une ressource limitée (Data,WAN)– Objectif : Limiter l’impact sur le réseau• Call Admission Control (CAC)– Plafonner le trafic Audio/Vidéo(Session/Global)– Modélisation du réseau et des liens– Application de stratégies de bandepassante• Partage d’application/Bureau :– Limiter le traficSet-CSConferencingPolicy - AppSharingBitRateKb• Transfert de fichier :– Limiter le traficSet-CSConferencingPolicy - FileTransfertBitRateKb
    17. 17. RBAC – ROLE BASED ACCESS CONTROLAdministrationServeurs / Entreprise / Réseaux / IT• Rôles prédéfinis• Assignables pargroupes/users• Scopable– Par Sites– Par OU– Etc…• Possibilité d’en créerde nouveaux
    18. 18. Pour aller plus loinServeurs / Entreprise / Réseaux / ITLync Security Guidehttp://www.microsoft.com/en-us/download/details.aspx?id=2729Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet)http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication-over-the-internet/Guide de hardening Lync :http://www.microsoft.com/en-us/download/details.aspx?id=2729Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync-server-2010.aspxLync Server 2010: Security at the Edgehttp://technet.microsoft.com/en-us/magazine/hh219285.aspxAn update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environmenthttp://support.microsoft.com/kb/2621840Ethttp://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.htmlhttp://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html
    19. 19. Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouver nos expertsMicrosoftPros de l’ITDéveloppeurswww.microsoftvirtualacademy.comhttp://aka.ms/generation-apphttp://aka.ms/evenements-developpeurshttp://aka.ms/itcamps-franceLes accélérateursWindows Azure, Windows Phone,Windows 8http://aka.ms/telechargementsLa Dev’Team sur MSDNhttp://aka.ms/devteamL’IT Team sur TechNethttp://aka.ms/itteamServeurs / Entreprise / Réseaux / IT

    ×