palais des congrès Paris

7, 8 et 9 février 2012

Jeudi 9 Février 2012 Patrick ISAMBERTArchitecteALSY

PAR304 : Sécuriser vos accès nomades pour accéder à Exchange et Lync

Spécialiste Microsoft Notre identité

• +20 ans d’existence• +15 ans de partenariat avec Microsoft• 190 experts• Filiale d’Orange Business Services• Centre des usages Microsoft Rhône-Alpes

Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages

Agenda

Différents accès nomadesAccès via navigateurClients des postes de travailClients mobiles

Eléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages

Agenda

Outlook Web AppSuccesseur d’Outlook Web AccessIntègre les fonctions de messagerie instantanée avec Lync Server

Lync Web AppPermet aux utilisateurs ne disposant pas de client Lync installé de participer à des conférences,Ne nécessite pas forcement de compte Active Directory

Fournit la plupart des fonctions Lync 2010 pour une réunion :

Affichage et présentation de diapositives PowerPoint, Messagerie instantanée de groupe pour la réunion, Connexion audio par téléphone,Pas de connexion vidéo ,Distribution de fichiers et le partage d’applications et de bureau.

Ne permet pas la messagerie instantanée de Lync Server et la planification de réunion.

Accès via navigateur

Outlook Anywhere : synchronisation de son client Outlook depuis n'importe quel réseau

Opération en tâche de fondAucun VPN à établir, communications sur HTTPS

Lync 2010Utilisation du client Lync pour les nomadesAucun VPN à établir, communications directes (HTTPS et port 443 par défaut)

Clients des postes de travail

Outlook Mobile : Accès à la messagerie depuis un téléphone portable

Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry (sans BES), Symbian, WebOS

http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients

FonctionnementAccès aux serveurs Exchange de l’entreprise à travers un canal de communication sécurisé en HTTPSAucune donnée ne transite sur des systèmes tiersC’est l’utilisateur qui accède à la boite aux lettres

Pas de comptes système ou super utilisateur,Accès aux données stockées sur le périphérique,Confidentialité des données garantie de bout en bout

Lync Mobile : Accès à Lync Server depuis un téléphone portable

Windows Phone, iPhone, iPad, Android, Nokia Symbianhttp://technet.microsoft.com/en-us/library/hh691004.aspx

Clients mobiles

Différents accès nomadesEléments d’infrastructure nécessaires

Reverse ProxyRôle du Reverse ProxyQuel Reverse Proxy ?Positionnement du Reverse Proxy Exemples de topologies

Lync Edge ServerRôle du serveur EdgeTopologies possibles pour le serveur Edge

Publication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages

Agenda

Publication des applications web (flux B2C/B2E)Outlook Web App

Installé sur les serveurs CAS

Lync Web AppInstallé par défaut,Publié au sein des urls simples : reunions.domaine.com (meet.domain.com)

Publication des services web (flux B2B)Exchange Web Services

Installé sur les serveurs CASIntègre les services « autodiscover », les carnets d’adresses en mode hors connexion, les services de disponibilité , …

Lync Web ServicesLes urls simples, à publier de préférence vers le directeur,Les autres services web vers les différents « pool ».

Rôle du Reverse Proxy

Tout reverse proxy peut convenir mais…L’usage de filtres applicatifs est très fortement conseillé

Les filtres contrôlent le contenu des tramesAnalyse HTTP (URL, entêtes, contenu…)Contrôles de l’encapsulation HTTPS

S’agit-il de MAPI au sein de RPC/HTTPS ?

Une réécriture d’URL peut être nécessaireL’usage de la délégation d’identification est fortement conseillée

Sinon ce sont les serveurs qui effectuent le travail (et encourent les risques)

Serveurs CAS pour Exchange 2010Serveurs Directeur et Front End pour Lync Server 2010

La gamme Microsoft Forefront inclue tous ces besoins :Forefront Threat Management Gateway 2010Forefront Unified Access Gateway 2010

Quel Reverse Proxy ?

En mode groupe de travail ou dans un domaineLe mode groupe de travail ne permet pas certaines délégations d’identification

Seule l’identification par formulaire et l’authentification HTTP 1.1 de base sont possiblesIl peut en résulter des fenêtres d’ouverture de session intempestives

On peut inclure le reverse proxy dans la forêt interne de l’entreprise mais…

Usage d’une « forêt de connexion » La forêt AD-DS est la limite de sécurité et d’isolation,Les derniers outils d’administration gèrent bien une topologie multi-forêts,Il existe plusieurs scenarii de liaison inter-forêts

Les relations d’approbation de forêtMise en œuvre de l’identification sélectiveApplication du SID FilteringUsage de Kerberos

Les fédérations de forêts

Double niveau de reverse proxyPremier niveau de reverse proxy hors domaineDeuxième niveau de reverse proxy dans la forêt

Positionnement du Reverse Proxy ?

Reverse Proxy dans la foret interne,Reverse Proxy dans une forêt distincte en relation d’approbation de forêt avec la forêt interne,Reverse Proxy dans une forêt distincte fédérée avec la forêt interne,Double niveau de Reverse Proxy

1er niveau : Entre DMZ publique et DMZ privéeReverse Proxy hors domaine, avec délégation (identification formulaire ou HTTP 1.1 de base) via RADIUS ou LDAP,

2ème niveau : Entre DMZ privée et réseau interne Reverse Proxy dans la forêt interne avec délégation (identification HTTP 1.1 intégrée), et usage de la délégation contrainte Kerberos pour les serveurs publiés.

Exemples de topologies

Accès des utilisateurs externesLes clients Lync se connectent de manière transparente à Lync Server à travers Internet

Public IM Connectivity (PIC) Connexions avec les fournisseurs publics de messagerie instantanée (Live, Yahoo, AOL)

FédérationFédération avec d’autres entreprisesFédération avec Office 365Présence et messagerie instantanée ou…Toutes possibilités A/V et partage d’applications

Rôle du serveur Edge

Topologie 1 : Edge avec une seule adresse IP

Edge ServerExterne

edge.contoso.com131.107.155.10

SIP: 5061 Web Conf: 444A/V Conf: 443, 3478

Interne

edge-int.contoso.com172.25.33.10

SIP: 5061 Web Conf: 8057A/V Conf: 443, 3478

Topologie 2 : Edge avec plusieurs adresses IP

Edge Server

SIP Externesip.contoso.com131.107.155.10 443, 5061

Interne

edge-int.contoso.com172.25.33.10

SIP: 5061 Web Conf: 8057A/V Conf: 443, 3478

Web Conf Externe

AV Externe

wcnf.contoso.com131.107.155.20 443

av.contoso.com131.107.155.30 443, 3478

Topologie 3 : Edge avec adresses IP derrière un NAT.

Edge Server

SIP Externe

IP1

IntW.Conf Externe

AV Externe

NATIP2

IP3

Adresses IP publiques

IP2’

IP1’

IP3’

Client

Les clients se connectent à l’adresseIP pour le trafic A/V:L’adresse IP translatée pour AV doit être configurée dans Lync Server

Lync Server n’a pas besoin de connaitre les adresses translatées pour SIP et Web Conf

Topologie 4 : Edge avec DNS LB

Edge Server 1

IP1

IntIP2

IP3

Adresses IP publiques

Client

Les clients peuvent maintenir plusieurs adresses IP et peuvent ainsi basculer la connexion.

Enregistrements A DNSsip.contoso.com IP1 et IP4wcnf.contoso.com IP2 et IP5av.contoso.com IP3 et IP6

Edge Server 2

IP4

IntIP5

IP6

Topologie 5 : Edge avec DNS LBet NAT

EdgeServer

1

IP1

IntIP2

IP3

Adresses IP publiquesEnregistrements A DNS A

sip.contoso.com IP1’ et IP4’wcnf.contoso.com IP2’ et IP5’av.contoso.com IP3’ et IP6’

EdgeServer

2

IP4

IntIP5

IP6

NAT

IP1’

IP2’

IP3’

IP4’

IP5’

IP6’

Les adresses IP AV doivent être configurées individuellement dans Lync Server

IP3 vers IP3’IP6 vers IP6’

Topologie 6 : Edge avec HardwareLoad Balancer Edge

Server1

IP1

IntIP2

IP3

Adresses IP publiquesEnregistrements A DNS sip.contoso.com VIP1wcnf.contoso.com VIP2av.contoso.com VIP3

EdgeServer

2

IP4

IntIP5

IP6

HLB

VIP1VIP2

VIP3

Les connexions clients AVsont initiées sur la VIP. Par la suite, le trafic client AV (UDP) se connecte directement sur le Edge. Le trafic TCP continue à utiliser la VIP.

NAT et HLB sont incompatibles

Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services Web

Besoins pour Exchange ServerBesoins pour Lync ServerPublications B2C/B2E et B2BTypes de certificat à utiliserIdentification vis-à-vis des serveurs publiés

Mise en œuvre du rôle Edge de Lync ServerSécurisation des usages

Agenda

Publication Outlook Web AppLes risques liés à l’accès navigateur

Session restée active, réutilisation des informations de sécurité,Analyse du cache à posteriori, récupération de pièces téléchargées,Exécution de scripts cachés dans des courriels,Téléchargement d’images sur des liens externes,Divulgation de l’adresse du site OWA via les « referrer headers  »

Publication Outlook MobileLes risques liés

Divulgation d’informations lors de la perte du périphérique,Accès aux données stockées sur le périphérique,

Communications entre le périphérique et l’entreprise non sécurisées.

Publication Outlook AnywhereLes risques liés

Perte de l’ordinateur portable,Analyse des flux échangés avec le serveur,

Publication Exchange Web ServicesAccès aux informations Exchange depuis les clients externes

Sera traité avec les besoins du client Lync en externe

Les risques liésAnalyse des flux échangés avec le serveur.

Besoins pour Exchange Server

Serveur de boites aux lettres

MS- RPC

Publication Outlook Web App

Client OWAServeur d'accès

client (CAS)

Périmètre de l’entreprise (DMZ)

Forefront TMG Forefront UAG

Analyse HTTP (URL, entêtes,

contenu…) Réécriture d’URLs

Pré-Authentification sur :- Active Directory- LDAP (AD)- SecureID- Radius OTP- Radius

Délégation d’authentification

SSL SSL ou HTTP

Le service OWA est délivré par le serveur ayant le rôle CAS (Client Access Server)Accès par défaut en HTTPS.Mode d'authentification par formulaire par défaut

Méthodes d'authentification tierces supportées (avec FTMG, FUAG) : RSA SecurID, Radius.Authentifications classiques supportées nativement (NTLM, Kerberos, de base).

Cookie de session chiffré Chiffrement effectué coté serveurDurée de vie des clefs courte : Moitié de la durée de vie de la session utilisateur.

Gestion des sessions avec OWA

Cookie de session avec OWA

Client OWA

Serveur CAS

Pièces d’identité transmises

Cookie chiffré

7,5 minutes s'écoulent

Cookie transmis

Clé 1Clé 2Clé 3

Cookie chiffré

Cookie transmis

Cookie chiffré

7,5 minutes s'écoulent

Clé 4

Activitéutilisateur

Activité utilisateur sur le poste de client Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur, Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte,

Expiration des sessions (publique ou privée) basée sur l'activité du poste client

15 minutes par défaut pour un accès public,8 heures par défaut pour un accès privé,

Gestion des sessions avec OWA

Serveur de boites aux lettres

MS- RPC

Publication Outlook Mobile

Périphérique MobileExchange CAS

Périmètre de l’entreprise (DMZ)

Forefront TMGForefront UAG

Analyse HTTP (URL, entêtes,

contenu…)

SSL ou HTTP

Taille max de l’URL : 1024Max Query length : 512Bloquer les signatures./ \ .. % :

SSL

URL: mail.mycompany.com/Microsoft-Server-ActiveSync/*,Méthodes: POST, OPTIONSExtensions autorisées : .

Publication Outlook Anywhere

RPC sur HTTP

Outlook 2003, 2007, 2010

SSL SSL

RPC sur HTTP

Serveur CAS (Accès Client)

Serveur de boites aux lettres

MS- RPC

Périmètre de l’entreprise (DMZ)

Forefront TMG Forefront UAG

Analyse HTTP (URL, entêtes,

contenu…)

Méthodes HTTP :• RPC_IN_DATA• RPC_OUT_DATAExtension : *.DLLSignature : ./ .. % &

Publications HTTPS et HTTP vers les serveurs Front End et le directeur pour Lync ServerPublications HTTPS vers les serveurs CAS pour l’accès aux services web d’Exchange ServerPublications HTTPS pour Lync Server

Urls simplesCarnet d’adressesExpansion des listes de distribution« Web Ticket »

Publications HTTP pour Lync ServerMise à jour des périphériques (Firmware)Journalisation des mises à jour de périphériques

Besoins pour le client Lync

Besoins pour Lync Server

Front End Pool1

Front End Pool2

Directeur

Reverse ProxyClient

appels.contoso.com vers le directeurreunions.fabrikam.com vers le directeurlync1.contoso.com vers le pool 1lync2.contoso.com vers le pool 2

Besoin de SAN sur le certificatdu Reverse Proxy

DNS LB non supporté pour

le trafic HTTP/S

Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des navigateurs (exemple : Outlook Web App)

L’utilisateur a besoin de préciser ses pièces identités,L’authentification par formulaire est donc un bon choix,L’utilisateur peut accepter un certificat non reconnu.

Les flux publiés B2B sont accédés par des applications externesL’application connait les pièces d’identités à utiliser,Il est inutile de les redemander à l’utilisateur,

Risque de fenêtres d’ouverture de session multiples, Risque de confusion,

L’authentification HTTP 1.1 convient mieuxNormalement, un certificat non reconnu interdit la connexion

Deux ports d’écoute Web (FTMG) ou Trunk (FUAG)Le premier pour les accès avec identification en mode formulaire

Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…)

Le second pour les accès avec identification HTTP 1.1Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)

Publications HTTPS B2C/B2E et B2B

De manière générale :En interne, des certificats issus d’une PKI interne

Coût, disponibilité, cycle de vie, …

En externe, des certificats issus d’une PKI publiquePour être reconnus et validés par les différents clients

Si usage de certificats d’une PKI interne en externe :Permet notamment de limiter les accès aux flux B2B

Attention aux périphériques permissifs

Attention la PKI doit exposer les AIA et CRL à l’extérieurUne architecture à 2 niveaux (AC racine hors ligne et AC de distribution d’infrastructure d’entreprise suffit)

On peut éventuellement doubler les ports d’écoute (ou trunk) en fonction du type de certificat utilisé pour restreindre les usages.

Types de certificat à utiliser

Ne concerne que les accès publiés avec délégation d’identificationSi possible, utiliser la délégation contrainte Kerberos

Nécessite que le service dispose d’un SPN (Service Principal Name)

Exemple : http/outlook.contoso.com

Nécessite que le compte d’ordinateur du Reverse Proxy soit configuré pour la délégation sur ce SPN

Propriété du compte ordinateur dans Active Directory Users & Computers

La délégation contrainte Kerberos doit être choisie dans la règle de publication

SinonUtiliser l’identification NTLMUtiliser l’identification de base

Identification vis-à-vis des serveurs publiés

Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync Server

Comment sécuriser le serveur EdgeQuels ports dois-je ouvrir ?

Sécurisation des usages

Agenda

Utiliser un sous-réseau différentVerrouiller les règles de routage pour ce sous-réseau

Désactiver broadcast, multicast, et le trafic vers les autres sous réseaux de périmètre

Placer le serveur Edge entre deux murs pare feuxSuivre le guide de sécurité Lync Server 2010Lire et appliquer les informations de l’article « Protecting the Edge Server against DoS and Password Brute-force attacks in Lync Server 2010 »

Comment sécuriser le serveur Edge

Quelqu’un peut-il analyser les paquets et accéder à mes données IM/audio/vidéo/données ?

Les communications sécurisées dans Lync

Script SPL + service .Net à installer dans le serveur EdgeA enregistrer sur le serveur Edge via PowerShellIntercepte tout trafic d’authentification des utilisateurs distants

Lync Server Security Filter : qu’est ce que c’est ?

Requête auth.

Compteur:

Requête auth.

Auth. bloquée

Requête auth.

Requête auth.

Réponse

Réponse

Réponse

Réponse

123 Seuil : 2Timeout : 5 minutes

Intercepte l’identification NTLM ou TLS-DSK dans la requête SIP,Extrait l’authentification unique du paquet :

TLS-DSK : extraction du certificat clientNTLM : extraction du nom d’utilisateur et du domaine

Contrôle le nombre d’ouvertures de session échouées,Si le nombre d’essais atteint le seuil choisi, les futures requêtes d’identification sont bloquées,Une fois, le timeout expiré, l’utilisateur peut de nouveau tenter de s’authentifier

Lync Server Security Filter : Que fait il?

Bien connaitre les ports réseauLes équipes de sécurité réseau sont paranoïaques,

Et c’est leur métier

Elles veulent bloquer tous les ports externes,Toute demande d’ouverture de port doit être justifiée et clairement comprise,Il vous faut fournir une explication claire et précise pour chaque port à ouvrir

Quels ports dois-je ouvrir ?

Présence et messagerie instantannée

Partages d’applications

A/V et conférences Web

“Enterprise Voice”

Les serveurs Front End doivent disposer d’un certificat valide dont le nom du sujet correspond au FQDN de ce serveur. De même les serveurs Front End font le même contrôle par rapport au certificat A/V du serveur Edge,Le FQDN du serveur Front End doit appartenir à une liste de confiance du serveur Edge.De même, le FQDN du serveur Edge doit appartenir à une liste de confiance des serveurs Front End,Toute signalisation SIP est protégée par un chiffrement TLS 128-bit.

Port TCP 5062 (interne uniquement)

L’allocation de port est protégée par une authentification de type “challenge 128-bit digest”, utilisant un mot de passe généré par l’ordinateur et modifié toutes les 8 heures,Un numéro de séquence ainsi qu’un nombre aléatoire sont utilisés afin de déjouer les attaques par répétition,Les paquets de messages (UDP3478/TCP443) sont protégés avec une signature HMAC 128-bit.

Ports UDP 3478 et TCP 443

Les ports sont alloués de manière aléatoire par communication.Une attaque doit deviner quel port est utilisé et être terminée avant que la communication ne se finisse.Le trafic entrant est filtré en fonction des adresses IP des terminaux distants.Même si une attaque trouve le bon port, elle doit aussi usurper la bonne adresse IP.Ces deux mécanismes rendent l’usage de la plage de port plus sûr.Si l’ensemble du trafic est multiplexé sur un port, alors tout le trafic de toutes les adresses IP des terminaux distants est accepté.

Ports UDP/TCP 50000 à 59999

Les paquets “média” sont protégés de bout en bout avec SRTP (Secure Real Time Protocol) empêchant ainsi toute interception ou toute injection.La clé utilisée pour chiffrer et déchiffrer le flux média est transmise par le canal de signalisation TLS sécurisé.

Trafic média

Différents accès nomadesEléments d’infrastructure nécessairesPublication des sites et services WebMise en œuvre du rôle Edge de Lync ServerSécurisation des usages

Ordinateurs publics ou partagés sur Outlook Web AppGestion des périphériques mobiles

Agenda

La gestion des pièces jointes se fait selon le type d’accès

Interdire l’ouverture des pièces jointes,Forcer l’usage du WebReady,

Exchange lit des documents et les affiche au format web,

Forcer la sauvegarde des pièces jointes,Cette gestion est granulaire selon le type de document

Ordinateurs publics ou partagés sur Outlook Web App

En cas de perte ou de volPériphérique verrouillé par code PIN,Effacement du contenu du périphérique ,automatiquement après plusieurs tentatives (nombre défini par l’administrateur),Chiffrement de données enregistrées sur carte de stockage,Code IMEI pour bloquer l’appareil sur les réseaux,

Effacement déclenchable depuis Exchange Control Panel (ECP) par l’utilisateur,En cas d’oubli, code de déverrouillage du mobile accessible sur ECPSupport des stratégies ActiveSync

http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients

Gestion des périphériques mobiles

Ressources :External A/V Firewall and Port RequirementsPort and Protocols for Internal ServersLync Server 2010 Protocol PosterInformation on A/V Edge Ports and Public IP AddressesLync Server 2010 Resource Kit Book

Un grand merci à Rui Maximo,Auteur de nombreux ouvrages sur OCS et LyncPrésentateur au Tech-Ed 2011 d’Atlanta

Ressources et remerciements

Vous souhaitez approfondir

Venez rencontrer nos experts sur notre stand

Profitez d’une démonstration gratuitePosez vos questionsExposez vos besoins

Vous êtes dans la salle 243

Questions …. et réponses ….