sécuriser vos accès nomades pour accéder à exchange et lync
DESCRIPTION
Aujourd’hui dans l’entreprise, le besoin de mobilité est croissant et cela implique de devoir mettre en place des architectures capables de garantir à la fois la sécurité d’accès aux données mais aussi la conformité des périphériques utilisés. Au travers de cette session, vous découvrirez comment les solutions Forefront TMG et Forefront UAG peuvent être déployées afin d’offrir aux nomades des accès à Exchange Server et Lync Server de manière simple, transparente et hautement sécuriséeTRANSCRIPT
palais des congrès Paris
7, 8 et 9 février 2012
Jeudi 9 Février 2012 Patrick ISAMBERTArchitecteALSY
PAR304 : Sécuriser vos accès nomades pour accéder à Exchange et Lync
Spécialiste Microsoft Notre identité
• +20 ans d’existence• +15 ans de partenariat avec Microsoft• 190 experts• Filiale d’Orange Business Services• Centre des usages Microsoft Rhône-Alpes
Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages
Agenda
Différents accès nomadesAccès via navigateurClients des postes de travailClients mobiles
Eléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages
Agenda
Outlook Web AppSuccesseur d’Outlook Web AccessIntègre les fonctions de messagerie instantanée avec Lync Server
Lync Web AppPermet aux utilisateurs ne disposant pas de client Lync installé de participer à des conférences,Ne nécessite pas forcement de compte Active Directory
Fournit la plupart des fonctions Lync 2010 pour une réunion :
Affichage et présentation de diapositives PowerPoint, Messagerie instantanée de groupe pour la réunion, Connexion audio par téléphone,Pas de connexion vidéo ,Distribution de fichiers et le partage d’applications et de bureau.
Ne permet pas la messagerie instantanée de Lync Server et la planification de réunion.
Accès via navigateur
Outlook Anywhere : synchronisation de son client Outlook depuis n'importe quel réseau
Opération en tâche de fondAucun VPN à établir, communications sur HTTPS
Lync 2010Utilisation du client Lync pour les nomadesAucun VPN à établir, communications directes (HTTPS et port 443 par défaut)
Clients des postes de travail
Outlook Mobile : Accès à la messagerie depuis un téléphone portable
Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry (sans BES), Symbian, WebOS
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients
FonctionnementAccès aux serveurs Exchange de l’entreprise à travers un canal de communication sécurisé en HTTPSAucune donnée ne transite sur des systèmes tiersC’est l’utilisateur qui accède à la boite aux lettres
Pas de comptes système ou super utilisateur,Accès aux données stockées sur le périphérique,Confidentialité des données garantie de bout en bout
Lync Mobile : Accès à Lync Server depuis un téléphone portable
Windows Phone, iPhone, iPad, Android, Nokia Symbianhttp://technet.microsoft.com/en-us/library/hh691004.aspx
Clients mobiles
Différents accès nomadesEléments d’infrastructure nécessaires
Reverse ProxyRôle du Reverse ProxyQuel Reverse Proxy ?Positionnement du Reverse Proxy Exemples de topologies
Lync Edge ServerRôle du serveur EdgeTopologies possibles pour le serveur Edge
Publication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages
Agenda
Publication des applications web (flux B2C/B2E)Outlook Web App
Installé sur les serveurs CAS
Lync Web AppInstallé par défaut,Publié au sein des urls simples : reunions.domaine.com (meet.domain.com)
Publication des services web (flux B2B)Exchange Web Services
Installé sur les serveurs CASIntègre les services « autodiscover », les carnets d’adresses en mode hors connexion, les services de disponibilité , …
Lync Web ServicesLes urls simples, à publier de préférence vers le directeur,Les autres services web vers les différents « pool ».
Rôle du Reverse Proxy
Tout reverse proxy peut convenir mais…L’usage de filtres applicatifs est très fortement conseillé
Les filtres contrôlent le contenu des tramesAnalyse HTTP (URL, entêtes, contenu…)Contrôles de l’encapsulation HTTPS
S’agit-il de MAPI au sein de RPC/HTTPS ?
Une réécriture d’URL peut être nécessaireL’usage de la délégation d’identification est fortement conseillée
Sinon ce sont les serveurs qui effectuent le travail (et encourent les risques)
Serveurs CAS pour Exchange 2010Serveurs Directeur et Front End pour Lync Server 2010
La gamme Microsoft Forefront inclue tous ces besoins :Forefront Threat Management Gateway 2010Forefront Unified Access Gateway 2010
Quel Reverse Proxy ?
En mode groupe de travail ou dans un domaineLe mode groupe de travail ne permet pas certaines délégations d’identification
Seule l’identification par formulaire et l’authentification HTTP 1.1 de base sont possiblesIl peut en résulter des fenêtres d’ouverture de session intempestives
On peut inclure le reverse proxy dans la forêt interne de l’entreprise mais…
Usage d’une « forêt de connexion » La forêt AD-DS est la limite de sécurité et d’isolation,Les derniers outils d’administration gèrent bien une topologie multi-forêts,Il existe plusieurs scenarii de liaison inter-forêts
Les relations d’approbation de forêtMise en œuvre de l’identification sélectiveApplication du SID FilteringUsage de Kerberos
Les fédérations de forêts
Double niveau de reverse proxyPremier niveau de reverse proxy hors domaineDeuxième niveau de reverse proxy dans la forêt
Positionnement du Reverse Proxy ?
Reverse Proxy dans la foret interne,Reverse Proxy dans une forêt distincte en relation d’approbation de forêt avec la forêt interne,Reverse Proxy dans une forêt distincte fédérée avec la forêt interne,Double niveau de Reverse Proxy
1er niveau : Entre DMZ publique et DMZ privéeReverse Proxy hors domaine, avec délégation (identification formulaire ou HTTP 1.1 de base) via RADIUS ou LDAP,
2ème niveau : Entre DMZ privée et réseau interne Reverse Proxy dans la forêt interne avec délégation (identification HTTP 1.1 intégrée), et usage de la délégation contrainte Kerberos pour les serveurs publiés.
Exemples de topologies
Accès des utilisateurs externesLes clients Lync se connectent de manière transparente à Lync Server à travers Internet
Public IM Connectivity (PIC) Connexions avec les fournisseurs publics de messagerie instantanée (Live, Yahoo, AOL)
FédérationFédération avec d’autres entreprisesFédération avec Office 365Présence et messagerie instantanée ou…Toutes possibilités A/V et partage d’applications
Rôle du serveur Edge
Topologie 1 : Edge avec une seule adresse IP
Edge ServerExterne
edge.contoso.com131.107.155.10
SIP: 5061 Web Conf: 444A/V Conf: 443, 3478
Interne
edge-int.contoso.com172.25.33.10
SIP: 5061 Web Conf: 8057A/V Conf: 443, 3478
Topologie 2 : Edge avec plusieurs adresses IP
Edge Server
SIP Externesip.contoso.com131.107.155.10 443, 5061
Interne
edge-int.contoso.com172.25.33.10
SIP: 5061 Web Conf: 8057A/V Conf: 443, 3478
Web Conf Externe
AV Externe
wcnf.contoso.com131.107.155.20 443
av.contoso.com131.107.155.30 443, 3478
Topologie 3 : Edge avec adresses IP derrière un NAT.
Edge Server
SIP Externe
IP1
IntW.Conf Externe
AV Externe
NATIP2
IP3
Adresses IP publiques
IP2’
IP1’
IP3’
Client
Les clients se connectent à l’adresseIP pour le trafic A/V:L’adresse IP translatée pour AV doit être configurée dans Lync Server
Lync Server n’a pas besoin de connaitre les adresses translatées pour SIP et Web Conf
Topologie 4 : Edge avec DNS LB
Edge Server 1
IP1
IntIP2
IP3
Adresses IP publiques
Client
Les clients peuvent maintenir plusieurs adresses IP et peuvent ainsi basculer la connexion.
Enregistrements A DNSsip.contoso.com IP1 et IP4wcnf.contoso.com IP2 et IP5av.contoso.com IP3 et IP6
Edge Server 2
IP4
IntIP5
IP6
Topologie 5 : Edge avec DNS LBet NAT
EdgeServer
1
IP1
IntIP2
IP3
Adresses IP publiquesEnregistrements A DNS A
sip.contoso.com IP1’ et IP4’wcnf.contoso.com IP2’ et IP5’av.contoso.com IP3’ et IP6’
EdgeServer
2
IP4
IntIP5
IP6
NAT
IP1’
IP2’
IP3’
IP4’
IP5’
IP6’
Les adresses IP AV doivent être configurées individuellement dans Lync Server
IP3 vers IP3’IP6 vers IP6’
Topologie 6 : Edge avec HardwareLoad Balancer Edge
Server1
IP1
IntIP2
IP3
Adresses IP publiquesEnregistrements A DNS sip.contoso.com VIP1wcnf.contoso.com VIP2av.contoso.com VIP3
EdgeServer
2
IP4
IntIP5
IP6
HLB
VIP1VIP2
VIP3
Les connexions clients AVsont initiées sur la VIP. Par la suite, le trafic client AV (UDP) se connecte directement sur le Edge. Le trafic TCP continue à utiliser la VIP.
NAT et HLB sont incompatibles
Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services Web
Besoins pour Exchange ServerBesoins pour Lync ServerPublications B2C/B2E et B2BTypes de certificat à utiliserIdentification vis-à-vis des serveurs publiés
Mise en œuvre du rôle Edge de Lync ServerSécurisation des usages
Agenda
Publication Outlook Web AppLes risques liés à l’accès navigateur
Session restée active, réutilisation des informations de sécurité,Analyse du cache à posteriori, récupération de pièces téléchargées,Exécution de scripts cachés dans des courriels,Téléchargement d’images sur des liens externes,Divulgation de l’adresse du site OWA via les « referrer headers »
Publication Outlook MobileLes risques liés
Divulgation d’informations lors de la perte du périphérique,Accès aux données stockées sur le périphérique,
Communications entre le périphérique et l’entreprise non sécurisées.
Publication Outlook AnywhereLes risques liés
Perte de l’ordinateur portable,Analyse des flux échangés avec le serveur,
Publication Exchange Web ServicesAccès aux informations Exchange depuis les clients externes
Sera traité avec les besoins du client Lync en externe
Les risques liésAnalyse des flux échangés avec le serveur.
Besoins pour Exchange Server
Serveur de boites aux lettres
MS- RPC
Publication Outlook Web App
Client OWAServeur d'accès
client (CAS)
Périmètre de l’entreprise (DMZ)
Forefront TMG Forefront UAG
Analyse HTTP (URL, entêtes,
contenu…) Réécriture d’URLs
Pré-Authentification sur :- Active Directory- LDAP (AD)- SecureID- Radius OTP- Radius
Délégation d’authentification
SSL SSL ou HTTP
Le service OWA est délivré par le serveur ayant le rôle CAS (Client Access Server)Accès par défaut en HTTPS.Mode d'authentification par formulaire par défaut
Méthodes d'authentification tierces supportées (avec FTMG, FUAG) : RSA SecurID, Radius.Authentifications classiques supportées nativement (NTLM, Kerberos, de base).
Cookie de session chiffré Chiffrement effectué coté serveurDurée de vie des clefs courte : Moitié de la durée de vie de la session utilisateur.
Gestion des sessions avec OWA
Cookie de session avec OWA
Client OWA
Serveur CAS
Pièces d’identité transmises
Cookie chiffré
7,5 minutes s'écoulent
Cookie transmis
Clé 1Clé 2Clé 3
Cookie chiffré
Cookie transmis
Cookie chiffré
7,5 minutes s'écoulent
Clé 4
Activitéutilisateur
Activité utilisateur sur le poste de client Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur, Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte,
Expiration des sessions (publique ou privée) basée sur l'activité du poste client
15 minutes par défaut pour un accès public,8 heures par défaut pour un accès privé,
Gestion des sessions avec OWA
Serveur de boites aux lettres
MS- RPC
Publication Outlook Mobile
Périphérique MobileExchange CAS
Périmètre de l’entreprise (DMZ)
Forefront TMGForefront UAG
Analyse HTTP (URL, entêtes,
contenu…)
SSL ou HTTP
Taille max de l’URL : 1024Max Query length : 512Bloquer les signatures./ \ .. % :
SSL
URL: mail.mycompany.com/Microsoft-Server-ActiveSync/*,Méthodes: POST, OPTIONSExtensions autorisées : .
Publication Outlook Anywhere
RPC sur HTTP
Outlook 2003, 2007, 2010
SSL SSL
RPC sur HTTP
Serveur CAS (Accès Client)
Serveur de boites aux lettres
MS- RPC
Périmètre de l’entreprise (DMZ)
Forefront TMG Forefront UAG
Analyse HTTP (URL, entêtes,
contenu…)
Méthodes HTTP :• RPC_IN_DATA• RPC_OUT_DATAExtension : *.DLLSignature : ./ .. % &
Publications HTTPS et HTTP vers les serveurs Front End et le directeur pour Lync ServerPublications HTTPS vers les serveurs CAS pour l’accès aux services web d’Exchange ServerPublications HTTPS pour Lync Server
Urls simplesCarnet d’adressesExpansion des listes de distribution« Web Ticket »
Publications HTTP pour Lync ServerMise à jour des périphériques (Firmware)Journalisation des mises à jour de périphériques
Besoins pour le client Lync
Besoins pour Lync Server
Front End Pool1
Front End Pool2
Directeur
Reverse ProxyClient
appels.contoso.com vers le directeurreunions.fabrikam.com vers le directeurlync1.contoso.com vers le pool 1lync2.contoso.com vers le pool 2
Besoin de SAN sur le certificatdu Reverse Proxy
DNS LB non supporté pour
le trafic HTTP/S
Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des navigateurs (exemple : Outlook Web App)
L’utilisateur a besoin de préciser ses pièces identités,L’authentification par formulaire est donc un bon choix,L’utilisateur peut accepter un certificat non reconnu.
Les flux publiés B2B sont accédés par des applications externesL’application connait les pièces d’identités à utiliser,Il est inutile de les redemander à l’utilisateur,
Risque de fenêtres d’ouverture de session multiples, Risque de confusion,
L’authentification HTTP 1.1 convient mieuxNormalement, un certificat non reconnu interdit la connexion
Deux ports d’écoute Web (FTMG) ou Trunk (FUAG)Le premier pour les accès avec identification en mode formulaire
Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…)
Le second pour les accès avec identification HTTP 1.1Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
Publications HTTPS B2C/B2E et B2B
De manière générale :En interne, des certificats issus d’une PKI interne
Coût, disponibilité, cycle de vie, …
En externe, des certificats issus d’une PKI publiquePour être reconnus et validés par les différents clients
Si usage de certificats d’une PKI interne en externe :Permet notamment de limiter les accès aux flux B2B
Attention aux périphériques permissifs
Attention la PKI doit exposer les AIA et CRL à l’extérieurUne architecture à 2 niveaux (AC racine hors ligne et AC de distribution d’infrastructure d’entreprise suffit)
On peut éventuellement doubler les ports d’écoute (ou trunk) en fonction du type de certificat utilisé pour restreindre les usages.
Types de certificat à utiliser
Ne concerne que les accès publiés avec délégation d’identificationSi possible, utiliser la délégation contrainte Kerberos
Nécessite que le service dispose d’un SPN (Service Principal Name)
Exemple : http/outlook.contoso.com
Nécessite que le compte d’ordinateur du Reverse Proxy soit configuré pour la délégation sur ce SPN
Propriété du compte ordinateur dans Active Directory Users & Computers
La délégation contrainte Kerberos doit être choisie dans la règle de publication
SinonUtiliser l’identification NTLMUtiliser l’identification de base
Identification vis-à-vis des serveurs publiés
Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync Server
Comment sécuriser le serveur EdgeQuels ports dois-je ouvrir ?
Sécurisation des usages
Agenda
Utiliser un sous-réseau différentVerrouiller les règles de routage pour ce sous-réseau
Désactiver broadcast, multicast, et le trafic vers les autres sous réseaux de périmètre
Placer le serveur Edge entre deux murs pare feuxSuivre le guide de sécurité Lync Server 2010Lire et appliquer les informations de l’article « Protecting the Edge Server against DoS and Password Brute-force attacks in Lync Server 2010 »
Comment sécuriser le serveur Edge
Quelqu’un peut-il analyser les paquets et accéder à mes données IM/audio/vidéo/données ?
Les communications sécurisées dans Lync
Script SPL + service .Net à installer dans le serveur EdgeA enregistrer sur le serveur Edge via PowerShellIntercepte tout trafic d’authentification des utilisateurs distants
Lync Server Security Filter : qu’est ce que c’est ?
Requête auth.
Compteur:
Requête auth.
Auth. bloquée
Requête auth.
Requête auth.
Réponse
Réponse
Réponse
Réponse
123 Seuil : 2Timeout : 5 minutes
Intercepte l’identification NTLM ou TLS-DSK dans la requête SIP,Extrait l’authentification unique du paquet :
TLS-DSK : extraction du certificat clientNTLM : extraction du nom d’utilisateur et du domaine
Contrôle le nombre d’ouvertures de session échouées,Si le nombre d’essais atteint le seuil choisi, les futures requêtes d’identification sont bloquées,Une fois, le timeout expiré, l’utilisateur peut de nouveau tenter de s’authentifier
Lync Server Security Filter : Que fait il?
Bien connaitre les ports réseauLes équipes de sécurité réseau sont paranoïaques,
Et c’est leur métier
Elles veulent bloquer tous les ports externes,Toute demande d’ouverture de port doit être justifiée et clairement comprise,Il vous faut fournir une explication claire et précise pour chaque port à ouvrir
Quels ports dois-je ouvrir ?
Présence et messagerie instantannée
Partages d’applications
A/V et conférences Web
“Enterprise Voice”
Les serveurs Front End doivent disposer d’un certificat valide dont le nom du sujet correspond au FQDN de ce serveur. De même les serveurs Front End font le même contrôle par rapport au certificat A/V du serveur Edge,Le FQDN du serveur Front End doit appartenir à une liste de confiance du serveur Edge.De même, le FQDN du serveur Edge doit appartenir à une liste de confiance des serveurs Front End,Toute signalisation SIP est protégée par un chiffrement TLS 128-bit.
Port TCP 5062 (interne uniquement)
L’allocation de port est protégée par une authentification de type “challenge 128-bit digest”, utilisant un mot de passe généré par l’ordinateur et modifié toutes les 8 heures,Un numéro de séquence ainsi qu’un nombre aléatoire sont utilisés afin de déjouer les attaques par répétition,Les paquets de messages (UDP3478/TCP443) sont protégés avec une signature HMAC 128-bit.
Ports UDP 3478 et TCP 443
Les ports sont alloués de manière aléatoire par communication.Une attaque doit deviner quel port est utilisé et être terminée avant que la communication ne se finisse.Le trafic entrant est filtré en fonction des adresses IP des terminaux distants.Même si une attaque trouve le bon port, elle doit aussi usurper la bonne adresse IP.Ces deux mécanismes rendent l’usage de la plage de port plus sûr.Si l’ensemble du trafic est multiplexé sur un port, alors tout le trafic de toutes les adresses IP des terminaux distants est accepté.
Ports UDP/TCP 50000 à 59999
Les paquets “média” sont protégés de bout en bout avec SRTP (Secure Real Time Protocol) empêchant ainsi toute interception ou toute injection.La clé utilisée pour chiffrer et déchiffrer le flux média est transmise par le canal de signalisation TLS sécurisé.
Trafic média
Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages
Ordinateurs publics ou partagés sur Outlook Web AppGestion des périphériques mobiles
Agenda
La gestion des pièces jointes se fait selon le type d’accès
Interdire l’ouverture des pièces jointes,Forcer l’usage du WebReady,
Exchange lit des documents et les affiche au format web,
Forcer la sauvegarde des pièces jointes,Cette gestion est granulaire selon le type de document
Ordinateurs publics ou partagés sur Outlook Web App
En cas de perte ou de volPériphérique verrouillé par code PIN,Effacement du contenu du périphérique ,automatiquement après plusieurs tentatives (nombre défini par l’administrateur),Chiffrement de données enregistrées sur carte de stockage,Code IMEI pour bloquer l’appareil sur les réseaux,
Effacement déclenchable depuis Exchange Control Panel (ECP) par l’utilisateur,En cas d’oubli, code de déverrouillage du mobile accessible sur ECPSupport des stratégies ActiveSync
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients
Gestion des périphériques mobiles
Ressources :External A/V Firewall and Port RequirementsPort and Protocols for Internal ServersLync Server 2010 Protocol PosterInformation on A/V Edge Ports and Public IP AddressesLync Server 2010 Resource Kit Book
Un grand merci à Rui Maximo,Auteur de nombreux ouvrages sur OCS et LyncPrésentateur au Tech-Ed 2011 d’Atlanta
Ressources et remerciements
Vous souhaitez approfondir
Venez rencontrer nos experts sur notre stand
Profitez d’une démonstration gratuitePosez vos questionsExposez vos besoins
Vous êtes dans la salle 243
Questions …. et réponses ….