Expert  sécurité,  réseau  et  services  informa4ques
Ingrédients pour un ActiveSync sécurisé
Mickael	
  Mor+er	
  
Mar+no...
Contexte  –  Ac4veSync  aujourd’hui
• Encore	
  majoritairement	
  u+lisé	
  en	
  entreprise	
  :	
  
• 68%	
  en	
  2016...
Genève  –  un  vol  toutes  les  heures…
Ac4veSync  –  Menaces  &  Risques  
	
  	
  	
  	
  	
  	
  	
  	
  	
  
ACTIVESYNC	
   AD	
  
Données	
  «mé;ers»	
  
(Co...
Risques  –  Mi4ga4on
SÉCURITÉ	
  
«	
  ÉQUIPEMENT	
  »	
  
Authen+fica+on	
  forte	
  
An+-­‐Spyware	
  
Silo	
  «sécurisé»...
Internet	
  
Ac4veSync  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  de	
  
confiance...
Ac4veSync  –  Améliorer  la  receIe
Authen+fica+on	
  
Forte	
  
NAC	
  &	
  MDM	
  
Exchange	
  
«MDM»	
  
Proxies	
  
Ac+...
Internet	
  
Authen4fica4on  Forte  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  de	
...
Authen4fica4on  Forte  -­‐  Fonc4onnalités
• Implémenta+on	
  orientée	
  authen+fica+on	
  de	
  l’u+lisateur	
  et	
  de	
...
Authen4fica4on  Forte  –  Bilan
• Coûts	
  d’acquisi+on	
  :	
  
• Liés	
  à	
  la	
  solu+on	
  d’authen+fica+on	
  forte	
...
Authen4fica4on  Forte  –  Menaces  résiduelles
	
  	
  	
  	
  	
  	
  	
  	
  	
  
ACTIVESYNC	
   AD	
  
Données	
  «mé;er...
Internet	
  
NAC  &  MDM  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  de	
  
confian...
NAC  &  MDM  -­‐  Fonc4onnalités
• Visibilité	
  complète	
  (over-­‐the-­‐air)	
  
• Les	
  différents	
  types	
  d’équip...
NAC  &  MDM  –  Bilan
• Coûts	
  d’acquisi+on	
  (de	
  quelques	
  milliers	
  à	
  plusieurs	
  centaines	
  de	
  CHF)	...
NAC  &  MDM  –  Menaces  résiduelles
	
  	
  	
  	
  	
  	
  	
  	
  	
  
ACTIVESYNC	
   AD	
  
Données	
  «mé;ers»	
  
(C...
Internet	
  
Exchange  MDM  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  de	
  
confi...
Exchange  MDM  -­‐  Fonc4onnalités
• Côté	
  client	
  
• Tous	
  les	
  appareils	
  :	
  
• Effacement	
  complet	
  de	
...
Exchange  MDM  -­‐  Bilan
• Coûts	
  :	
  
• Faible	
  à	
  modéré	
  
• Licences	
  annuelles	
  Exchange	
  et	
  CAL	
 ...
Exchange  MDM  –  Menaces  résiduelles
	
  	
  	
  	
  	
  	
  	
  	
  	
  
ACTIVESYNC	
   AD	
  
Données	
  «mé;ers»	
  
...
Internet	
  
Proxy  IPdiva  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  de	
  
confi...
Internet	
  
Proxy  IPdiva  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  de	
  
confi...
Proxy  IPdiva  -­‐  Fonc4onnalités
• Proxy	
  applica+f	
  
• Mot	
  de	
  passe	
  alterna+f	
  :	
  
l’accès	
  peut	
  ...
Proxy  IPdiva  –  Bilan
• Coûts	
  :	
  
• Faible	
  à	
  modéré	
  
• Licences	
  annuelles	
  par	
  serveur	
  et	
  pa...
Proxy  IPdiva  –  Menaces  résiduelles
	
  	
  	
  	
  	
  	
  	
  	
  	
  
ACTIVESYNC	
   AD	
  
Données	
  «mé;ers»	
  
...
Internet	
  
Proxy  Ac4veSync  Shield  -­‐  Architecture  de  principe
HOTSPOT	
  PUBLIC	
  
(très	
  faible	
  niveau	
  ...
Proxy  Ac4veSync  Shield  -­‐  Fonc4onnalités
• Analyse	
  et	
  protec+on	
  de	
  contenu	
  
• DLP	
  
• An+virus	
  
•...
Proxy  Ac4veSync  Shield  –  Bilan
• Coûts	
  :	
  
• Prix	
  faible	
  à	
  modéré	
  mais	
  solu+on	
  dédiée	
  
• Lic...
Proxy  Ac4veSync  Shield  –  Menaces  résiduelles
	
  	
  	
  	
  	
  	
  	
  	
  	
  
ACTIVESYNC	
   AD	
  
Données	
  «m...
Expert  sécurité,  réseau  et  services  informa4ques
Nous contacter
	
  
	
  
Avenue	
  Rosemont,	
  12	
  bis	
  
1208	
...
Icones  
Prochain SlideShare
Chargement dans…5
×

2013.06.20 - évènement Kyos-Spacecom - 03_Ingrédients pour un ActiveSync sécurisé

375 vues

Publié le

20 Juin 2013 - Evènement commun Kyos-Spacecom : Ingrédients pour un ActiveSync sécurisé

Nos experts sécurité travaillent autour du protocole ActivSync et analysent les voies pour vous permettre de l'utiliser sereinement.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
375
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2013.06.20 - évènement Kyos-Spacecom - 03_Ingrédients pour un ActiveSync sécurisé

  1. 1. Expert  sécurité,  réseau  et  services  informa4ques Ingrédients pour un ActiveSync sécurisé Mickael  Mor+er   Mar+no  Dell’Ambrogio  
  2. 2. Contexte  –  Ac4veSync  aujourd’hui • Encore  majoritairement  u+lisé  en  entreprise  :   • 68%  en  2016   • Un  service  quasi-­‐incontournable:     • Mobilité  exige  !   • De  plus  en  plus  sur  des  «équipements  personnels»  (BYOD)   •   Hors  de  «notre  contrôle»  ?   53%  47%   2012   MS  Exchange   Autres   Source:  hTp://www.radica+.com  
  3. 3. Genève  –  un  vol  toutes  les  heures…
  4. 4. Ac4veSync  –  Menaces  &  Risques                     ACTIVESYNC   AD   Données  «mé;ers»   (Contact,  mail,  agenda, …)   Données  «accès»   Login  AD   Passwd  AD   Internet           Cer;ficats   VOL,  PERTE   MITM     (Vol  de  créden+els,…)     FUITE  D’INFORMATION   «mé+ers»  &  ACCES   Service(s)  accessibles   via  login  AD   Postes  «guest»,   Applica+ons  web,…   M A L W A R E   AUaques  «Web»  sur  le  service  lui   même  
  5. 5. Risques  –  Mi4ga4on SÉCURITÉ   «  ÉQUIPEMENT  »   Authen+fica+on  forte   An+-­‐Spyware   Silo  «sécurisé»   • Par++on  «complète»  avec  des  applica+ons  spécifiques   • Applica+on  «spécifique»   • Applica+on  «wrapping»   SÉCURITÉ   «  INFRASTRUCTURE  »   Notre  sujet  principal   aujourd’hui  
  6. 6. Internet   Ac4veSync  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   REVERSE   PROXY   MS.   EXCHANGE   ACTIVE   DIRECTORY   ACTIVESYNC   (IIS)   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)  
  7. 7. Ac4veSync  –  Améliorer  la  receIe Authen+fica+on   Forte   NAC  &  MDM   Exchange   «MDM»   Proxies   Ac+veSync   Différentes  démarches  
  8. 8. Internet   Authen4fica4on  Forte  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   Passerelle  IIS  /   Agent  Auth.   Forte   ACTIVE   DIRECTORY   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)   MS.   EXCHANGE   Ac;ve  Sync   Auth.  Forte   Core  server  
  9. 9. Authen4fica4on  Forte  -­‐  Fonc4onnalités • Implémenta+on  orientée  authen+fica+on  de  l’u+lisateur  et  de  son   équipement  :   • Les  créden+els  de  l’u+lisateur  sont  u+lisés   • L’ID  du  matériel  est  u+lisé  comme  second  facteur   • Processus  de  pré-­‐enregistrement  et  d’ac+va+on  au  travers  de  la  solu+on   d’authen+fica+on  forte  
  10. 10. Authen4fica4on  Forte  –  Bilan • Coûts  d’acquisi+on  :   • Liés  à  la  solu+on  d’authen+fica+on  forte   • Complexité  –  Dépendances  :   • Simple   • Compa+bilité   • Pas  de  dépendances  
  11. 11. Authen4fica4on  Forte  –  Menaces  résiduelles                   ACTIVESYNC   AD   Données  «mé;ers»   (Contact,  mail,  agenda, …)   Données  «accès»   Login  AD   Passwd  AD   Internet           Cer;ficats   VOL,  PERTE   MITM     (Vol  de  créden+els,…)     Service(s)  accessibles   via  login  AD   Postes  «guest»,   Applica+ons  web,…   M A L W A R E   AUaques  «Web»  sur  le  service  lui   même  
  12. 12. Internet   NAC  &  MDM  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   NAC   ACTIVE   DIRECTORY   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   MS.   EXCHANGE   Ac;ve  Sync  Passerelle   MDM   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)  
  13. 13. NAC  &  MDM  -­‐  Fonc4onnalités • Visibilité  complète  (over-­‐the-­‐air)   • Les  différents  types  d’équipements   • Les  OS  u+lisés   • Les  u+lisateurs  authen+fiés   • Ges+on  d’iden+tés  et  d’accès  unifiée   • Mécanismes  d’authen+fica+on   • Poli+ques  d’autorisa+on  sur  l’équipement  et  les  accès   • Evalua+on  de  la  conformité  et  de  la  sécurité   • Ges+on  complète  de  la  floTe  d’équipement  mobile   • Repor+ng  commun   Fonc;ons  NAC  («  Network  Access  Control  »)   Se  concentre  sur  le  réseau               Fonc;ons  MDM  («  Mobile  Device   Management  »)   Se  concentre  sur  l’équipement  
  14. 14. NAC  &  MDM  –  Bilan • Coûts  d’acquisi+on  (de  quelques  milliers  à  plusieurs  centaines  de  CHF)  :   • Le  nombre  de  «  endpoints  »   • Volume  de  données  réseaux   • L’infrastructure  réseau  et  haute-­‐disponibilité  voulue   • Type  de  déploiement  souhaité  («  in-­‐house  »  ou  Cloud)   • Complexité  –  Dépendances   • Simple  («  core  switch  »  et  flux  réseaux  centralisés)  mais  plus  complexe  dans  le   cas  de  routage  spécifique  et  d’architecture  «  explosée  »   • Compa+bilité   • iOS  (ges+on  des  profils),  Androïd  (apps)  
  15. 15. NAC  &  MDM  –  Menaces  résiduelles                   ACTIVESYNC   AD   Données  «mé;ers»   (Contact,  mail,  agenda, …)   Données  «accès»   Login  AD   Passwd  AD   Internet           Cer;ficats   VOL,  PERTE   MITM     (Vol  de  créden+els,…)     Service(s)  accessibles   via  login  AD   Postes  «guest»,   Applica+ons  web,…   M A L W A R E   AUaques  «Web»  sur  le  service  lui   même  
  16. 16. Internet   Exchange  MDM  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   WAF   (Reverse  Proxy)   MS.   EXCHANGE   ACTIVE   DIRECTORY   ACTIVESYNC   (IIS)   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   MAILBOX  POLICIES   (polices  de  sécurité  intégrées)   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)  
  17. 17. Exchange  MDM  -­‐  Fonc4onnalités • Côté  client   • Tous  les  appareils  :   • Effacement  complet  de  l’appareil  à  distance   • Empêchement  pour  les  appareils  qui  s’annoncent  non-­‐compa+bles   • Appareils  compa+bles  :   • Mot  de  passe  local  :  demande,  qualité,  sauvegarde  côté  serveur   • Chiffrement  :  demande  (stockage  local,  externe)   • Sécurité  applica+ve  (HTML,  pièces  jointes,  tailles,  roaming…)   • Exchange  Enterprise  client  access  license  (CAL)  :   • Isola+on  de  l’appareil  (stockage,  wifi,  tethering,  bluetooth,  caméra,  infrarouge,  RDP,   synchronisa+on,  naviga+on  web,  messagerie  IMAP/POP3…)   • Blocage  d’applica+ons  :  whitelist,  blacklist  ou  par  signature  
  18. 18. Exchange  MDM  -­‐  Bilan • Coûts  :   • Faible  à  modéré   • Licences  annuelles  Exchange  et  CAL   • Complexité  :   • Aucun  élément  supplémentaire.   • Système  intrusif,  fiabilité  modérée.   • Compa+bilité  :   (fonc+onnalitémodèle)   • Menace  résiduelle  :  vol  OTA  (MITM)  toujours  possible.  
  19. 19. Exchange  MDM  –  Menaces  résiduelles                   ACTIVESYNC   AD   Données  «mé;ers»   (Contact,  mail,  agenda, …)   Données  «accès»   Login  AD   Passwd  AD   Internet           Cer;ficats   VOL,  PERTE   MITM     (Vol  de  créden+els,…)     Service(s)  accessibles   via  login  AD   Postes  «guest»,   Applica+ons  web,…   M A L W A R E   AUaques  «Web»  sur  le  service  lui   même  
  20. 20. Internet   Proxy  IPdiva  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   WAF   (Reverse  Proxy)   Annuaire   secondaire   ACTIVE   DIRECTORY   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   MS.   EXCHANGE   Ac;ve  Sync   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)  
  21. 21. Internet   Proxy  IPdiva  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   Ipdiva   (passerelle)   Annuaire   secondaire   ACTIVE   DIRECTORY   Ipdiva   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   MS.   EXCHANGE   Ac;ve  Sync   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)  
  22. 22. Proxy  IPdiva  -­‐  Fonc4onnalités • Proxy  applica+f   • Mot  de  passe  alterna+f  :   l’accès  peut  être  coupé  séparément   • Aucun  programme  +ers  sur  l’équipement   • Annuaire   • Annuaire  local,  LDAP  /  AD  ou  autre  via     • SPML   • Contrôle  d’accès   • Contrôle  d’accès  par  paire  (login  et  numéro  de  série  du  téléphone  fourni  en   phase  d’enrôlement)   • Blocage  de  l’accès  en  cas  de  plusieurs  échecs   Annuaire   secondaire   AD  Ipdiva   EXCHANGE   Ac;ve     Sync   Poste  u;lisateur  
  23. 23. Proxy  IPdiva  –  Bilan • Coûts  :   • Faible  à  modéré   • Licences  annuelles  par  serveur  et  par  client   • Complexité  :   • 1  annuaire  supplémentaire   • 2  serveurs  applica+fs   • Compa+bilité   • Tout  appareil  qui  supporte  Ac+veSync   • Outlook  Web  Access  et  autres  applica+ons  web   • Exchange  (MAPI),  SMTP  et  autres  serveurs  applica+fs  
  24. 24. Proxy  IPdiva  –  Menaces  résiduelles                   ACTIVESYNC   AD   Données  «mé;ers»   (Contact,  mail,  agenda, …)   Données  «accès»   Login  AD   Passwd  AD   Internet           Cer;ficats   VOL,  PERTE   MITM     (Vol  de  créden+els,…)     Service(s)  accessibles   via  login  AD   Postes  «guest»,   Applica+ons  web,…   M A L W A R E   AUaques  «Web»  sur  le  service  lui   même  
  25. 25. Internet   Proxy  Ac4veSync  Shield  -­‐  Architecture  de  principe HOTSPOT  PUBLIC   (très  faible  niveau  de   confiance)   Module   Forefront   ou  Bas;on   MS.   EXCHANGE   ACTIVE   DIRECTORY   ACTIVESYNC   (iis)   RESEAU  INTERNE   (fort  niveau  de  confiance)   FW   RESEAU  INVITÉ   (niveau  de  confiance  faible  à  modéré)   SECURITE   PERIMETRIQUE   Flux  chiffré  (hUps)   Flux  en  clair  (hUp)  
  26. 26. Proxy  Ac4veSync  Shield  -­‐  Fonc4onnalités • Analyse  et  protec+on  de  contenu   • DLP   • An+virus   • Données  sta+ques  transformées  en  données  en  ligne   • Chiffrement   • Contrôle  d’accès   • 2  Facteurs  d’uthen+ca+on  (ID  matériel)   • Annuaire  secondaire   • Sécurité  applica+ve   • Règles  granulaires   • Fonc+onnalités  augmentées  
  27. 27. Proxy  Ac4veSync  Shield  –  Bilan • Coûts  :   • Prix  faible  à  modéré  mais  solu+on  dédiée   • Licences  annuelles  par  client   • Complexité  :   • Module  Forefront  ou  proxy  dédié  (Bas+on)   • Pas  d’installa+on  client   • Menace  résiduelle  :  l’objec+f  est  une  couverture  totale  
  28. 28. Proxy  Ac4veSync  Shield  –  Menaces  résiduelles                   ACTIVESYNC   AD   Données  «mé;ers»   (Contact,  mail,  agenda, …)   Données  «accès»   Login  AD   Passwd  AD   Internet           Cer;ficats   VOL,  PERTE   MITM     (Vol  de  créden+els,…)     Service(s)  accessibles   via  login  AD   Postes  «guest»,   Applica+ons  web,…   M A L W A R E   AUaques  «Web»  sur  le  service  lui   même  
  29. 29. Expert  sécurité,  réseau  et  services  informa4ques Nous contacter     Avenue  Rosemont,  12  bis   1208  Genève     Tel.  :  +41  22  566  76  30   Fax  :  +41  22  734  79  03   Merci
  30. 30. Icones  

×