Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!...
Sécurité et LyncDaniel Monier-ReyesTSP LyncMicrosoftServeurs / Entreprise / Réseaux / IT
Ce que cette session n’est pas…Serveurs / Entreprise / Réseaux / IT?????????
Agenda• Généralités• Authentification• Accès Internet• Accès Voix• Contrôle• AdministrationServeurs / Entreprise / Réseaux...
Serveurs / Entreprise / Réseaux / IT• Microsoft Secure Development Lifecycle• Le mot dehttp://www.miercom.com/pdf/reports/...
Serveurs / Entreprise / Réseaux / IT• Lync : Une solution logicielle– Basé sur serveur Windows– Se « patche » comme n’impo...
RÉSEAUGénéralitésServeurs / Entreprise / Réseaux / IT• Trafic réseauchiffré pardéfaut
RÉSEAUGénéralitésServeurs / Entreprise / Réseaux / IT• PKI nécessaire pour les Certificats Internes– Certificats auto sign...
RÉSEAUChiffrementServeurs / Entreprise / Réseaux / IThttp://www.microsoft.com/en-us/download/details.aspx?id=6797Lync Work...
DIFFÉRENTES MÉTHODESAuthentificationServeurs / Entreprise / Réseaux / IT• Active Directory– Base d’authentification– 1 uti...
RÔLE EDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Accès au service Lync depuis Internet sansVPN (Remote user, I...
RÔLEEDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Peu de ports ouvertsvers l’intranet• Mécanisme derendez-vous• ...
RÔLEEDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Mécanisme de rendez-vous– 0. Etablissement du canal SIP et Aut...
VLAN VOIX/DATAAccès VoixServeurs / Entreprise / Réseaux / IT• Lync fonctionne sur le VLAN Data– Téléphonie IP Traditionnel...
POLICIESContrôleServeurs / Entreprise / Réseaux / IT• Conferencing Policy (Set-CSConferencingPolicy)– AllowAnonymousPartic...
BANDE PASSANTEContrôleServeurs / Entreprise / Réseaux / IT• Problématique :– Le réseau, une ressource limitée (Data,WAN)– ...
RBAC – ROLE BASED ACCESS CONTROLAdministrationServeurs / Entreprise / Réseaux / IT• Rôles prédéfinis• Assignables pargroup...
Pour aller plus loinServeurs / Entreprise / Réseaux / ITLync Security Guidehttp://www.microsoft.com/en-us/download/details...
Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouv...
Prochain SlideShare
Chargement dans…5
×

Communications Unifiées et Sécurité : Mythes et réalités

443 vues

Publié le

La convergence des usages, l'ouverture à des acteurs externes -clients ou partenaires-, la mobilité et le télétravail entre parfois en conflits avec des pratiques et des politiques de sécurités existantes inadaptées à ces nouveaux usages. Cette session a pour objectif d'identifier les conflits et les bonnes questions de sécurités à traiter et brisera certains mythes et craintes liés à la sécurité des solutions Lync. Elle vous guidera vers les bonnes approches et pratiques de mise en oeuvre.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Communications Unifiées et Sécurité : Mythes et réalités

  1. 1. Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  2. 2. Sécurité et LyncDaniel Monier-ReyesTSP LyncMicrosoftServeurs / Entreprise / Réseaux / IT
  3. 3. Ce que cette session n’est pas…Serveurs / Entreprise / Réseaux / IT?????????
  4. 4. Agenda• Généralités• Authentification• Accès Internet• Accès Voix• Contrôle• AdministrationServeurs / Entreprise / Réseaux / IT
  5. 5. Serveurs / Entreprise / Réseaux / IT• Microsoft Secure Development Lifecycle• Le mot dehttp://www.miercom.com/pdf/reports/20101117.pdfGénéralités
  6. 6. Serveurs / Entreprise / Réseaux / IT• Lync : Une solution logicielle– Basé sur serveur Windows– Se « patche » comme n’importe quel autre serveur Windows– Best Practice Analyzer http://technet.microsoft.com/en-us/library/gg558584.aspx– Seuls les services nécessaires sont installés– Firewall Windows configuré automatiquement• Antivirus système– Ne pas oublier les exclusions ! http://technet.microsoft.com/en-us/library/gg195736.aspx(Processus Lync, IIS, SQL, Fichiers et Répertoires)Généralités - La sécurité en profondeur
  7. 7. RÉSEAUGénéralitésServeurs / Entreprise / Réseaux / IT• Trafic réseauchiffré pardéfaut
  8. 8. RÉSEAUGénéralitésServeurs / Entreprise / Réseaux / IT• PKI nécessaire pour les Certificats Internes– Certificats auto signés non supportés– Certificats X509v3 avec SAN– CA Microsoft intégrée – Requête entièrement pilotée ou– CA Microsoft non intégrée ou PKI tierce via PKCS #10– Attention aux CDP (Accès CRL), AIA, Key Usage etc…• Certificats publics pour le Edge etReverse Proxy– Scénarios externes– CA Publique de confiance par défaut– Requête : Via PKCS #10– Être sûr à 100% avant de requêter !• Prérequis :– http://technet.microsoft.com/en-us/library/gg398066.aspx
  9. 9. RÉSEAUChiffrementServeurs / Entreprise / Réseaux / IThttp://www.microsoft.com/en-us/download/details.aspx?id=6797Lync Workload Architecture Poster
  10. 10. DIFFÉRENTES MÉTHODESAuthentificationServeurs / Entreprise / Réseaux / IT• Active Directory– Base d’authentification– 1 utilisateur Lync Authentifié = 1 compte Active Directory• Kerberos– Utilisateurs de l’entreprise internes (accès à un KDC)– Stations dans Active Directory– Modèle forêt de ressource possible• NTLM– Utilisateurs de l’entreprise internes et/ou externes– Authentification basée sur la fourniture d’un mot de passe• Certificats– Authentification des utilisateurs Lync, Lync Phone Edition– Emis par le serveur Lync– Nécessite une pré authentification pour récupérer le certificat (Kerberos, NTLM ou CodePIN)– Peut être révoqué (Revoke-CSClientCertificate)• Code PIN– Authentification téléphone Lync Phone Edition– Authentification pont de conférence audio– Fournir un num de téléphone ou extension obligatoire– Peut être pré renseigné (Set-CSClientPin)– Peut être bloqué (Lock-CSClientPin)• Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)
  11. 11. RÔLE EDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Accès au service Lync depuis Internet sansVPN (Remote user, Invités, Federation)• Serveur en DMZ, Sorte de Reverse Proxyspécifique à Lync, rien devant.• VPN possible mais…• Attention 2 interfaces réseaux = 2 DMZPrivée/Publique• OS Windows, pas dans AD, Lync Trusted Server• MTLS avec les serveurs Internes, TLS avec lesclients• Echange des secrets au travers du flux SIP• Mécanisme de rendez-vous pour l’audio et lavidéo.
  12. 12. RÔLEEDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Peu de ports ouvertsvers l’intranet• Mécanisme derendez-vous• Support de portssimples pour lesaccès externes(TCP443)
  13. 13. RÔLEEDGEAccès InternetServeurs / Entreprise / Réseaux / IT• Mécanisme de rendez-vous– 0. Etablissement du canal SIP et Authentificationutilisateur.– 1. Authentification de l’utilisateur externe auprèsdu service Edge A/V– 2. Autorisation de connexion auprès du serviceEdge A/V– 3. Appel de l’utilisateur Interne (via SIP)– 4. Authentification de l’utilisateur interne auprèsdu service Edge A/V– 5. Autorisation de connexion auprès du serviceEdge A/V. Commutation de l’appel.• Clé de chiffrement symétriqueéchangée grâce à SIP overTLS (AES 128 bits)
  14. 14. VLAN VOIX/DATAAccès VoixServeurs / Entreprise / Réseaux / IT• Lync fonctionne sur le VLAN Data– Téléphonie IP Traditionnelle utilise VLAN VoixDédié– Quid des interconnexions avec IP-PBX, SIPTrunk Provider, RTC (PSTN) ?• Plusieurs Modèles d’interconnexion– Direct SIP entre Mediation et IP-PBX– Via une Media Gateway (IP-IP ou IP-TDM)• Media Gateway conseillée– 2 NICs, Routage entre les 2 VLANs– Module SBC possible (Elément de sécurité)
  15. 15. POLICIESContrôleServeurs / Entreprise / Réseaux / IT• Conferencing Policy (Set-CSConferencingPolicy)– AllowAnonymousParticipantsInMeetings– AllowAnonymousUsersToDialOut– AllowConferenceRecording, EnableP2PRecording– AllowParticipantControl– AllowExternalUserControl– AllowExternalUsersToRecordMeeting– AllowExternalUsersToSaveContent• PIN Code Policy (Set-CSPINPolicy)– AllowCommonPatterns– MaximumLogonAttempts– MinPasswordLength– PINHistoryCount– PINLifetime
  16. 16. BANDE PASSANTEContrôleServeurs / Entreprise / Réseaux / IT• Problématique :– Le réseau, une ressource limitée (Data,WAN)– Objectif : Limiter l’impact sur le réseau• Call Admission Control (CAC)– Plafonner le trafic Audio/Vidéo(Session/Global)– Modélisation du réseau et des liens– Application de stratégies de bandepassante• Partage d’application/Bureau :– Limiter le traficSet-CSConferencingPolicy - AppSharingBitRateKb• Transfert de fichier :– Limiter le traficSet-CSConferencingPolicy - FileTransfertBitRateKb
  17. 17. RBAC – ROLE BASED ACCESS CONTROLAdministrationServeurs / Entreprise / Réseaux / IT• Rôles prédéfinis• Assignables pargroupes/users• Scopable– Par Sites– Par OU– Etc…• Possibilité d’en créerde nouveaux
  18. 18. Pour aller plus loinServeurs / Entreprise / Réseaux / ITLync Security Guidehttp://www.microsoft.com/en-us/download/details.aspx?id=2729Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet)http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication-over-the-internet/Guide de hardening Lync :http://www.microsoft.com/en-us/download/details.aspx?id=2729Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync-server-2010.aspxLync Server 2010: Security at the Edgehttp://technet.microsoft.com/en-us/magazine/hh219285.aspxAn update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environmenthttp://support.microsoft.com/kb/2621840Ethttp://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.htmlhttp://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html
  19. 19. Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouver nos expertsMicrosoftPros de l’ITDéveloppeurswww.microsoftvirtualacademy.comhttp://aka.ms/generation-apphttp://aka.ms/evenements-developpeurshttp://aka.ms/itcamps-franceLes accélérateursWindows Azure, Windows Phone,Windows 8http://aka.ms/telechargementsLa Dev’Team sur MSDNhttp://aka.ms/devteamL’IT Team sur TechNethttp://aka.ms/itteamServeurs / Entreprise / Réseaux / IT

×