Aujourd’hui dans l’entreprise, le besoin de mobilité est croissant et cela implique de devoir mettre en place des architectures capables de garantir à la fois la sécurité d’accès aux données mais aussi la conformité des périphériques utilisés. Au travers de cette session, vous découvrirez comment les solutions Forefront TMG et Forefront UAG peuvent être déployées afin d’offrir aux nomades des accès à Exchange Server et Lync Server de manière simple, transparente et hautement sécurisée
2. PAR304 : Sécuriser vos
accès nomades pour
accéder à Exchange et
Jeudi 9 Février 2012
Lync
Patrick ISAMBERT
Architecte
ALSY
3. Spécialiste Microsoft Notre identité
• +20 ans d’existence
• +15 ans de partenariat avec Microsoft
• 190 experts
• Filiale d’Orange Business Services
• Centre des usages Microsoft Rhône-Alpes
4. Agenda
Différents accès nomades
Eléments d’infrastructure nécessaires
Publication des sites et services Web
Mise en œuvre du rôle Edge de Lync Server
Sécurisation des usages
5. Agenda
Différents accès nomades
Accès via navigateur
Clients des postes de travail
Clients mobiles
Eléments d’infrastructure nécessaires
Publication des sites et services Web
Mise en œuvre du rôle Edge de Lync Server
Sécurisation des usages
6. Accès via navigateur
Outlook Web App
Successeur d’Outlook Web Access
Intègre les fonctions de messagerie instantanée avec Lync
Server
Lync Web App
Permet aux utilisateurs ne disposant pas de client Lync
installé de participer à des conférences,
Ne nécessite pas forcement de compte Active Directory
Fournit la plupart des fonctions Lync 2010 pour une réunion :
Affichage et présentation de diapositives PowerPoint,
Messagerie instantanée de groupe pour la réunion,
Connexion audio par téléphone,
Pas de connexion vidéo ,
Distribution de fichiers et le partage d’applications et de bureau.
Ne permet pas la messagerie instantanée de Lync Server et
7. Clients des postes de travail
Outlook Anywhere : synchronisation de son client
Outlook depuis n'importe quel réseau
Opération en tâche de fond
Aucun VPN à établir, communications sur HTTPS
Lync 2010
Utilisation du client Lync pour les nomades
Aucun VPN à établir, communications directes (HTTPS
et port 443 par défaut)
8. Clients mobiles
Outlook Mobile : Accès à la messagerie depuis un
téléphone portable
Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry
(sans BES), Symbian, WebOS
Fonctionnement
Accès aux serveurs Exchange de l’entreprise à travers un canal de
communication sécurisé en HTTPS
Aucune donnée ne transite sur des systèmes tiers
C’est l’utilisateur qui accède à la boite aux lettres
Pas de comptes système ou super utilisateur,
Accès aux données stockées sur le périphérique,
Confidentialité des données garantie de bout en bout
Lync Mobile : Accès à Lync Server depuis un téléphone
portable
Windows Phone, iPhone, iPad, Android, Nokia Symbian
9. Agenda
Différents accès nomades
Eléments d’infrastructure nécessaires
Reverse Proxy
Rôle du Reverse Proxy
Quel Reverse Proxy ?
Positionnement du Reverse Proxy
Exemples de topologies
Lync Edge Server
Rôle du serveur Edge
Topologies possibles pour le serveur Edge
Publication des sites et services Web
Mise en œuvre du rôle Edge de Lync Server
Sécurisation des usages
10. Rôle du Reverse Proxy
Publication des applications web (flux B2C/B2E)
Outlook Web App
Installé sur les serveurs CAS
Lync Web App
Installé par défaut,
Publié au sein des urls simples : reunions.domaine.com
(meet.domain.com)
Publication des services web (flux B2B)
Exchange Web Services
Installé sur les serveurs CAS
Intègre les services « autodiscover », les carnets d’adresses en
mode hors connexion, les services de disponibilité , …
Lync Web Services
Les urls simples, à publier de préférence vers le directeur,
Les autres services web vers les différents « pool ».
11. Quel Reverse Proxy ?
Tout reverse proxy peut convenir mais…
L’usage de filtres applicatifs est très fortement conseillé
Les filtres contrôlent le contenu des trames
Analyse HTTP (URL, entêtes, contenu…)
Contrôles de l’encapsulation HTTPS
S’agit-il de MAPI au sein de RPC/HTTPS ?
Une réécriture d’URL peut être nécessaire
L’usage de la délégation d’identification est fortement conseillée
Sinon ce sont les serveurs qui effectuent le travail (et encourent
les risques)
Serveurs CAS pour Exchange 2010
Serveurs Directeur et Front End pour Lync Server 2010
La gamme Microsoft Forefront inclue tous ces besoins :
Forefront Threat Management Gateway 2010
Forefront Unified Access Gateway 2010
12. Positionnement du Reverse
Proxy ? groupe de travail ou dans un domaine
En mode
Le mode groupe de travail ne permet pas certaines délégations
d’identification
Seule l’identification par formulaire et l’authentification HTTP 1.1 de
base sont possibles
Il peut en résulter des fenêtres d’ouverture de session intempestives
On peut inclure le reverse proxy dans la forêt interne de l’entreprise
mais…
Usage d’une « forêt de connexion »
La forêt AD-DS est la limite de sécurité et d’isolation,
Les derniers outils d’administration gèrent bien une topologie multi-forêts,
Il existe plusieurs scenarii de liaison inter-forêts
Les relations d’approbation de forêt
Mise en œuvre de l’identification sélective
Application du SID Filtering
Usage de Kerberos
Les fédérations de forêts
Double niveau de reverse proxy
Premier niveau de reverse proxy hors domaine
Deuxième niveau de reverse proxy dans la forêt
13. Exemples de topologies
Reverse Proxy dans la foret interne,
Reverse Proxy dans une forêt distincte en relation
d’approbation de forêt avec la forêt interne,
Reverse Proxy dans une forêt distincte fédérée avec
la forêt interne,
Double niveau de Reverse Proxy
1er niveau : Entre DMZ publique et DMZ privée
Reverse Proxy hors domaine, avec délégation
(identification formulaire ou HTTP 1.1 de base) via
RADIUS ou LDAP,
2ème niveau : Entre DMZ privée et réseau interne
Reverse Proxy dans la forêt interne avec délégation
(identification HTTP 1.1 intégrée), et usage de la
délégation contrainte Kerberos pour les serveurs publiés.
14. Rôle du serveur Edge
Accès des utilisateurs externes
Les clients Lync se connectent de manière
transparente à Lync Server à travers Internet
Public IM Connectivity (PIC)
Connexions avec les fournisseurs publics de
messagerie instantanée (Live, Yahoo, AOL)
Fédération
Fédération avec d’autres entreprises
Fédération avec Office 365
Présence et messagerie instantanée ou…
Toutes possibilités A/V et partage d’applications
15. Topologie 1 : Edge avec une
seule adresse IP
edge.contoso.com edge-int.contoso.com
131.107.155.10 172.25.33.10
Externe Edge Server Interne
SIP: 5061 SIP: 5061
Web Conf: 444 Web Conf: 8057
A/V Conf: 443, 3478 A/V Conf: 443, 3478
16. Topologie 2 : Edge avec
plusieurs adresses IP
SIP Externe
sip.contoso.com
131.107.155.10 443, 5061
edge-int.contoso.com
172.25.33.10
Web Conf Externe Edge Server Interne
wcnf.contoso.com SIP: 5061
131.107.155.20 443 Web Conf: 8057
A/V Conf: 443, 3478
AV Externe
av.contoso.com
131.107.155.30
443, 3478
17. Topologie 3 : Edge avec adresses IP
derrière un NAT.
Adresses IP
IP1’ IP1
publiques n’a pas
Lync Server
SIP Externe
besoin de connaitre
les adresses
translatées pour
SIP et Web Conf
IP2’ IP2
Client NAT W.Conf Externe Edge Server Int
Les clients se
connectent à
l’adresse IP3’ IP3
IP pour le trafic A/V:
L’adresse IP
AV Externe
translatée pour AV doit
être configurée dans
18. Topologie 4 : Edge avec DNS LB
Adresses IP publiques
IP1
Enregistrements A DNS
sip.contoso.com IP1 et IP4 Edge Server
IP2 Int
wcnf.contoso.com IP2 et IP5 1
av.contoso.com IP3 et IP6 IP3
Client
Les clients peuvent maintenir IP4
plusieurs adresses IP et peuvent Edge Server
ainsi basculer la connexion.
IP5 Int
2
IP6
19. Topologie 5 : Edge avec DNS LB
et NAT
Adresses IP IP1’ IP1
publiques
Enregistrements A DNS A Edge
sip.contoso.com IP1’ et IP4’ IP2’ IP2 Server Int
wcnf.contoso.com IP2’ et IP5’ 1
av.contoso.com IP3’ et IP6’
IP3’ IP3
N
Les adresses IP AV
A
doivent être configurées IP4’ T IP4
individuellement dans Edge
Lync Server IP5’ IP5 Server Int
IP3 vers IP3’ 2
IP6 vers IP6’ IP6’ IP6
20. Topologie 6 : Edge avec Hardware
Load Balancer
Adresses IP publiques IP1
Enregistrements A DNS Edge
sip.contoso.com VIP1 IP2 Server Int
wcnf.contoso.com VIP2 1
av.contoso.com VIP3 VIP1 IP3
VIP H
2
VIP
L
Les connexions clients AV
sont initiées sur la VIP. 3 B IP4
Par la suite, le trafic client AV Edge
(UDP) se connecte directement sur IP5 Server Int
le Edge. Le trafic TCP continue à 2
utiliser la VIP. IP6
NAT et HLB sont incompatibles
21. Agenda
Différents accès nomades
Eléments d’infrastructure nécessaires
Publication des sites et services Web
Besoins pour Exchange Server
Besoins pour Lync Server
Publications B2C/B2E et B2B
Types de certificat à utiliser
Identification vis-à-vis des serveurs publiés
Mise en œuvre du rôle Edge de Lync Server
Sécurisation des usages
22. Besoins pour Exchange Server
Publication Outlook Web App
Les risques liés à l’accès navigateur
Session restée active, réutilisation des informations de sécurité,
Analyse du cache à posteriori, récupération de pièces téléchargées,
Exécution de scripts cachés dans des courriels,
Téléchargement d’images sur des liens externes,
Divulgation de l’adresse du site OWA via les « referrer headers »
Publication Outlook Mobile
Les risques liés
Divulgation d’informations lors de la perte du périphérique,
Accès aux données stockées sur le périphérique,
Communications entre le périphérique et l’entreprise non sécurisées .
Publication Outlook Anywhere
Les risques liés
Perte de l’ordinateur portable,
Analyse des flux échangés avec le serveur,
Publication Exchange Web Services
Accès aux informations Exchange depuis les clients externes
Sera traité avec les besoins du client Lync en externe
Les risques liés
Analyse des flux échangés avec le serveur.
23. Publication Outlook Web App
Pré-Authentification sur :
-Active Directory Périmètre de Serveur de boites
-LDAP (AD) l’entreprise (DMZ) aux lettres
-SecureID
-Radius OTP Analyse HTTP
-Radius (URL, entêtes, con
Délégation tenu…) Réécriture
d’authentification d’URLs
SSL SSL ou HTTP MS- RPC
Serveur d'accès
Forefront TMG
Client OWA client (CAS)
Forefront UAG
24. Gestion des sessions avec
OWA
Le service OWA est délivré par le serveur ayant le
rôle CAS (Client Access Server)
Accès par défaut en HTTPS.
Mode d'authentification par formulaire par défaut
Méthodes d'authentification tierces supportées (avec
FTMG, FUAG) : RSA SecurID, Radius.
Authentifications classiques supportées nativement
(NTLM, Kerberos, de base).
Cookie de session chiffré
Chiffrement effectué coté serveur
Durée de vie des clefs courte : Moitié de la durée de vie de
la session utilisateur.
26. Gestion des sessions avec
OWA
Activité utilisateur sur le poste de client
Toutes les interactions initiées par l'utilisateur sont
considérées comme activité utilisateur,
Sur "OWA Light" toutes les actions sont considérées
comme activité sauf la saisie de texte,
Expiration des sessions (publique ou privée)
basée sur l'activité du poste client
15 minutes par défaut pour un accès public,
8 heures par défaut pour un accès privé,
27. Publication Outlook Mobile
Périmètre de
l’entreprise (DMZ) Serveur de boites
aux lettres
URL: mail.mycompany.com/Microsoft-
Server-ActiveSync/*, Analyse HTTP de l’URL : 1024
Taille max
Méthodes: POST, OPTIONS
Extensions autorisées : .
(URL, entêtes,Query length : 512
Max co
Bloquer les signatures
ntenu…)
./ .. % :
SSL SSL ou HTTP
MS- RPC
Forefront TMG Exchange CAS
Périphérique Mobile Forefront UAG
28. Publication Outlook Anywhere
Périmètre de Serveur de boites
l’entreprise (DMZ) aux lettres
Méthodes HTTP :
• RPC_IN_DATA
Analyse HTTP
(URL,
• RPC_OUT_DATA entêtes, co
Extension : *.DLLntenu…)
Signature : ./ .. % &
MS- RPC
SSL SSL
RPC sur HTTP RPC sur HTTP
Forefront TMG Serveur CAS
Outlook 2003, 2007, 2010 Forefront UAG (Accès Client)
29. Besoins pour le client Lync
Publications HTTPS et HTTP vers les serveurs Front
End et le directeur pour Lync Server
Publications HTTPS vers les serveurs CAS pour
l’accès aux services web d’Exchange Server
Publications HTTPS pour Lync Server
Urls simples
Carnet d’adresses
Expansion des listes de distribution
« Web Ticket »
Publications HTTP pour Lync Server
Mise à jour des périphériques (Firmware)
Journalisation des mises à jour de périphériques
30. Besoins pour Lync Server
Front End
Pool1
Front End
Client Reverse Proxy
Pool2
Directeur
appels.contoso.com vers le
directeur
reunions.fabrikam.com vers le directeur DNS LB non
lync1.contoso.com vers le pool 1 supporté pour le
lync2.contoso.com vers le pool 2 trafic HTTP/S
Besoin de SAN sur le
certificat
31. Publications HTTPS B2C/B2E et
B2B
Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des
navigateurs (exemple : Outlook Web App)
L’utilisateur a besoin de préciser ses pièces identités,
L’authentification par formulaire est donc un bon choix,
L’utilisateur peut accepter un certificat non reconnu.
Les flux publiés B2B sont accédés par des applications externes
L’application connait les pièces d’identités à utiliser,
Il est inutile de les redemander à l’utilisateur,
Risque de fenêtres d’ouverture de session multiples,
Risque de confusion,
L’authentification HTTP 1.1 convient mieux
Normalement, un certificat non reconnu interdit la connexion
Deux ports d’écoute Web (FTMG) ou Trunk (FUAG)
Le premier pour les accès avec identification en mode formulaire
Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…)
Le second pour les accès avec identification HTTP 1.1
Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook
Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
32. Types de certificat à utiliser
De manière générale :
En interne, des certificats issus d’une PKI interne
Coût, disponibilité, cycle de vie, …
En externe, des certificats issus d’une PKI publique
Pour être reconnus et validés par les différents clients
Si usage de certificats d’une PKI interne en externe :
Permet notamment de limiter les accès aux flux B2B
Attention aux périphériques permissifs
Attention la PKI doit exposer les AIA et CRL à l’extérieur
Une architecture à 2 niveaux (AC racine hors ligne et AC de distribution
d’infrastructure d’entreprise suffit)
On peut éventuellement doubler les ports d’écoute (ou
trunk) en fonction du type de certificat utilisé pour
restreindre les usages.
33. Identification vis-à-vis des
serveurs publiés
Ne concerne que les accès publiés avec délégation
d’identification
Si possible, utiliser la délégation contrainte Kerberos
Nécessite que le service dispose d’un SPN (Service Principal
Name)
Exemple : http/outlook.contoso.com
Nécessite que le compte d’ordinateur du Reverse Proxy soit
configuré pour la délégation sur ce SPN
Propriété du compte ordinateur dans Active Directory Users &
Computers
La délégation contrainte Kerberos doit être choisie dans la règle
de publication
Sinon
Utiliser l’identification NTLM
Utiliser l’identification de base
34. Agenda
Différents accès nomades
Eléments d’infrastructure nécessaires
Publication des sites et services Web
Mise en œuvre du rôle Edge de Lync Server
Comment sécuriser le serveur Edge
Quels ports dois-je ouvrir ?
Sécurisation des usages
35. Comment sécuriser le serveur
Edge
Utiliser un sous-réseau différent
Verrouiller les règles de routage pour ce sous-
réseau
Désactiver broadcast, multicast, et le trafic vers les
autres sous réseaux de périmètre
Placer le serveur Edge entre deux murs pare feux
Suivre le
Lire et appliquer les informations de l’article
«
»
37. Lync Server Security Filter :
qu’est ce que c’est ?
Script SPL + service .Net à installer dans le serveur Edge
A enregistrer sur le serveur Edge via PowerShell
Intercepte tout trafic d’authentification des utilisateurs
distants
2
3
Compteur:1 Seuil : 2
Timeout : 5 minutes
38. Lync Server Security Filter : Que
fait il?
Intercepte l’identification NTLM ou TLS-DSK dans
la requête SIP,
Extrait l’authentification unique du paquet :
TLS-DSK : extraction du certificat client
NTLM : extraction du nom d’utilisateur et du domaine
Contrôle le nombre d’ouvertures de session
échouées,
Si le nombre d’essais atteint le seuil choisi, les
futures requêtes d’identification sont bloquées,
Une fois, le timeout expiré, l’utilisateur peut de
nouveau tenter de s’authentifier
39. Quels ports dois-je ouvrir ?
Bien connaitre les ports réseau
Les équipes de sécurité réseau sont paranoïaques,
Et c’est leur métier
Elles veulent bloquer tous les ports externes,
Toute demande d’ouverture de port doit être justifiée et
clairement comprise,
Il vous faut fournir une explication claire et précise
pour chaque port à ouvrir
44. Port TCP 5062 (interne
uniquement)
Les serveurs Front End doivent disposer d’un
certificat valide dont le nom du sujet correspond au
FQDN de ce serveur.
De même les serveurs Front End font le même
contrôle par rapport au certificat A/V du serveur Edge,
Le FQDN du serveur Front End doit appartenir à une
liste de confiance du serveur Edge.
De même, le FQDN du serveur Edge doit appartenir à
une liste de confiance des serveurs Front End,
Toute signalisation SIP est protégée par un
chiffrement TLS 128-bit.
45. Ports UDP 3478 et TCP 443
L’allocation de port est protégée par une
authentification de type “challenge 128-bit
digest”, utilisant un mot de passe généré par
l’ordinateur et modifié toutes les 8 heures,
Un numéro de séquence ainsi qu’un nombre
aléatoire sont utilisés afin de déjouer les attaques
par répétition,
Les paquets de messages (UDP3478/TCP443)
sont protégés avec une signature HMAC 128-bit.
46. Ports UDP/TCP 50000 à 59999
Les ports sont alloués de manière aléatoire par
communication.
Une attaque doit deviner quel port est utilisé et être
terminée avant que la communication ne se finisse.
Le trafic entrant est filtré en fonction des adresses IP
des terminaux distants.
Même si une attaque trouve le bon port, elle doit
aussi usurper la bonne adresse IP.
Ces deux mécanismes rendent l’usage de la plage de
port plus sûr.
Si l’ensemble du trafic est multiplexé sur un
port, alors tout le trafic de toutes les adresses IP des
terminaux distants est accepté.
47. Trafic média
Les paquets “média” sont protégés de bout en
bout avec SRTP (Secure Real Time Protocol)
empêchant ainsi toute interception ou toute
injection.
La clé utilisée pour chiffrer et déchiffrer le flux
média est transmise par le canal de signalisation
TLS sécurisé.
48. Agenda
Différents accès nomades
Eléments d’infrastructure nécessaires
Publication des sites et services Web
Mise en œuvre du rôle Edge de Lync Server
Sécurisation des usages
Ordinateurs publics ou partagés sur Outlook Web App
Gestion des périphériques mobiles
49. Ordinateurs publics ou
partagés sur Outlook Web App
La gestion des pièces jointes se fait selon le type
d’accès
Interdire l’ouverture des pièces jointes,
Forcer l’usage du WebReady,
Exchange lit des documents et les affiche au format web,
Forcer la sauvegarde des pièces jointes,
Cette gestion est granulaire selon le type de document
50. Gestion des périphériques
mobiles
En cas de perte ou de vol
Périphérique verrouillé par code PIN,
Effacement du contenu du périphérique ,automatiquement
après plusieurs tentatives (nombre défini par
l’administrateur),
Chiffrement de données enregistrées sur carte de stockage,
Code IMEI pour bloquer l’appareil sur les réseaux,
Effacement déclenchable depuis Exchange Control Panel
(ECP) par l’utilisateur,
En cas d’oubli, code de déverrouillage du mobile accessible sur
ECP
Support des stratégies ActiveSync
51. Ressources et remerciements
Ressources :
Un grand merci à Rui Maximo,
Auteur de nombreux ouvrages sur OCS et Lync
Présentateur au Tech-Ed 2011 d’Atlanta
52. Vous souhaitez approfondir
Venez rencontrer nos Profitez d’une
experts sur notre démonstration gratuite
stand Posez vos questions
Exposez vos besoins