Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry...
Transcript of Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry...
Exchange Server 2003 : Exchange Server 2003 : Opportunités et menaces, Opportunités et menaces, des réponses en matière des réponses en matière
de sécuritéde sécurité
Exchange Server 2003 : Exchange Server 2003 : Opportunités et menaces, Opportunités et menaces, des réponses en matière des réponses en matière
de sécuritéde sécurité
Thierry PicqThierry PicqArchitecte SécuritéArchitecte SécuritéMicrosoft FranceMicrosoft France
AgendaAgenda
Evolution des besoinsEvolution des besoinsJe veux / je ne veux pas…Je veux / je ne veux pas…
Évolution des menacesÉvolution des menacesAnalyse des solutions sous l’angle de la Analyse des solutions sous l’angle de la sécurité, de la complexité et de l’ergonomiesécurité, de la complexité et de l’ergonomieLe cordonnier est-il correctement chaussé?Le cordonnier est-il correctement chaussé?
Cette session Cette session ne traite pasne traite pas::Les processus opérationnels (sauvegardes, etc).Les processus opérationnels (sauvegardes, etc).L’architecture et l’infrastructure d’un système L’architecture et l’infrastructure d’un système Exchange 2003Exchange 2003La configuration d’Exchange 2003 pour la La configuration d’Exchange 2003 pour la mobilitémobilité
Je veux Je veux (D.G.)(D.G.)……
Accéder à la messagerie depuis mon (nouveau) téléphone
Comment ? Comment ? Avec quel niveau Avec quel niveau
de Sécurité ?de Sécurité ?
Etre en permanence informé de mes nouveaux mailsSyndrome « Frigidaire »
Que mes forces commerciales soient en permanence connectées
Tout sur tous les terminaux que j’utilise
Que cela soit simple
Que mes collaborateurs puissent accéder au S.I. en dehors de l’entreprise
Que cela soit réalisé le plus vite possible…
Mais je ne veux pas Mais je ne veux pas (D.S.I.)(D.S.I.)……
Dupliquer le système d’information: j’utilise Exchange 2003
Comment ? Comment ? Avec quel niveau Avec quel niveau
de Sécurité ?de Sécurité ?
Perdre le contrôle sur les éléments du S.I.(contrôle de bout en bout)
Multiplier les pointsd’accès à l’entreprise
Perdre la maîtrise des coûts Que cela soit complexe
Affaiblir la sécurité(contrôle de bout en bout)
Multiplier les exceptionsdans mon pare-feu(au fait combien en ai-je ?)
Faire des mauvaischoix pour l’avenir(standards)
Scénarios et risquesScénarios et risques
Accès à Exchange Accès à Exchange via Internetvia Internet
ExtranetExtranetMobilitéMobilitéTélétravailTélétravailKiosques et accès à Kiosques et accès à domiciledomicileInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseNouvelle opportunités business, réactivité, …Nouvelle opportunités business, réactivité, …
Comprendre les risquesComprendre les risquesErreurs de déploiement/configurationErreurs de déploiement/configurationContenu des messagesContenu des messages
Envoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis l’Intranet et exploités depuis InternetEnvoyés depuis l’Intranet et exploités depuis Internet
Couche 8 : l’erreur/le comportement humain Couche 8 : l’erreur/le comportement humain (utilisateurs)(utilisateurs)Et les menaces: Spam, hameçonnage Et les menaces: Spam, hameçonnage (phising)(phising), vols , vols d’identités, virus, spyware, intelligence économique, etc. d’identités, virus, spyware, intelligence économique, etc.
TerminauxTerminaux(utilisateurs)(utilisateurs)EntrepriseEntreprise
OpérateursOpérateursmobiles ou mobiles ou
fixesfixes
WLANWLANWANWAN
PANPAN
InfraInfraredredLANLAN
WANWAN
ApplicationsApplications
WLANWLAN
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et RésilienceRésilience
Authentification,Authentification,Autorisation,Autorisation,
Contrôle Contrôle d’accèsd’accès
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Les 5 axes de la sécuritéLes 5 axes de la sécurité
Mise à jourMise à jourAvancéeAvancée
Excellence Excellence dede
l’engineeringl’engineering
Connecté ou non connecté…Connecté ou non connecté…
Deux grands principes entrainant des usages Deux grands principes entrainant des usages différents:différents:
Connecté: pas d’accès à l’information si la Connecté: pas d’accès à l’information si la connexion n’existe pas connexion n’existe pas (pas de synchronisation locale)
ex:ex: Modèle Web: Outlook Web Access, accès Wap, Outlook Mobile Access
Non connecté, ou plutôt connecté épisodiquement: principe entrainant une synchronisation (régulière et/ou à la demande) pour un accès local à l’information indépendamment de l’état du réseau
ex: Outlook 32 bits, Windows Mobile (Activesync serveur)
Il faut néanmoins un point d’accès…
Architecture typeArchitecture type
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
Accès Distants (RAS)
POP FAI
Les choix de connectivitéLes choix de connectivité
AlternativesAlternativesRAS, VPNsRAS, VPNsInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseOWAOWARPC - natif vs. sur HTTPRPC - natif vs. sur HTTP
Traditionnel vs. innovantTraditionnel vs. innovantTrouver des réponses aux problèmes d’hier ou Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ?d’aujourd’hui ?
La question peut sembler stupide, mail il existe La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus…beaucoup d’à priori et de préconçus…
Le Design idéal ???Le Design idéal ???““To DMZ or not to DMZ…that is the question”To DMZ or not to DMZ…that is the question”
VPN : choix classiqueVPN : choix classique(extension logique du périmètre de l’entreprise)(extension logique du périmètre de l’entreprise)
Client VPN dans toutes les versions de WindowsClient VPN dans toutes les versions de WindowsPPTPPPTPL2TP+IPsecL2TP+IPsec
Bien connu ainsi que les algorithmesBien connu ainsi que les algorithmes
La technologie est bien compriseLa technologie est bien compriseMais nécessite malgré tout une organisation interne Mais nécessite malgré tout une organisation interne maîtrisant le sujet.maîtrisant le sujet.Peut impliquer une charge importante parfois Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structuresincompatible avec petites ou moyennes structures
Quarantaine indispensable afin de vérifier “l’état Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail de santé” du poste de travail (cf. session de 11h ce matin)(cf. session de 11h ce matin)……Parfois trop « lourd » pour une solution mobileParfois trop « lourd » pour une solution mobile
Exchange Server 2003Exchange Server 2003Les consommateursLes consommateurs
BALBAL(Back End)(Back End)
Pare-feu/périmètre de Pare-feu/périmètre de l’entreprise (DMZ)l’entreprise (DMZ)
RPC/HTTP &RPC/HTTP &Outlook Web AccessOutlook Web Access
POP3, IMAPPOP3, IMAP
ExchangeExchangeActiveSyncActiveSync
Outlook Mobile AccessOutlook Mobile Access
Clients Clients ActiveSyncActiveSync(PPC, SP)(PPC, SP)
Navigateurs Navigateurs téléphonestéléphones& PDA& PDA
PC Portables / FixesPC Portables / Fixes
Front EndFront End
Flux entrantsFlux entrants SMTP: 25SMTP: 25
POP3 : 110POP3 : 110
SSL : 443SSL : 443
RPC : 135RPC : 135Demain ?Demain ?
??
Le mode connecté : OWA et OMALe mode connecté : OWA et OMAExchange Server 2003Exchange Server 2003
Outlook Web AccessOutlook Web AccessCorrecteur orthographique, Règles, Correcteur orthographique, Règles, Tâches et toutes les fonctions Tâches et toutes les fonctions appréciables de Outlook 2003appréciables de Outlook 2003Performance accrue (plus de 50% vs Performance accrue (plus de 50% vs Exchange 2000 Serveur)Exchange 2000 Serveur)SécuritéSécurité
Authentification via formulaires, Authentification via formulaires, blocage des attachements, blocage blocage des attachements, blocage des des contenus externes, chiffrement et contenus externes, chiffrement et signature S/MIMEsignature S/MIME
Outlook Mobile AccessOutlook Mobile AccessOutlook Web Access pour les Outlook Web Access pour les terminaux mobilesterminaux mobilesAcceptant potentiellement tout type Acceptant potentiellement tout type de clientsde clients
Génère du WML, HTML, xHTML et Génère du WML, HTML, xHTML et cHTML correspondant aux différents cHTML correspondant aux différents terminauxterminaux.NET Framework .NET Framework DeviceDevice Updates Updates accroît le nombre de terminaux accroît le nombre de terminaux supportéssupportés
Architecture classiqueArchitecture classique
Positif: Positif: Performance PerformanceSéparation des protocoles Séparation des protocoles interne / externe interne / externe (message (message store)store)
Protection réseauProtection réseau
Négatif: Négatif: Sécurité SécuritéTunnel au travers des pare-Tunnel au travers des pare-feux: pas d’inspectionfeux: pas d’inspection
De nombreuses exceptions De nombreuses exceptions dans les pare-feux pour dans les pare-feux pour l’authentificationl’authentification
ExBEExBE ADAD
OWA / OMAOWA / OMA
Communications entre serveurs FE et BECommunications entre serveurs FE et BE
ProtocolProtocol PortPort DestinationDestination
HTTPHTTP 80 TCP80 TCP Serveurs Back-endServeurs Back-end
POP3POP3 110 TCP110 TCP Serveurs Back-endServeurs Back-end
IMAP4IMAP4 143 TCP143 TCP Serveurs Back-endServeurs Back-end
RPC-HTTPRPC-HTTP 6001 & 6004 TCP, 6002 (SP1)6001 & 6004 TCP, 6002 (SP1) Serveurs Back-endServeurs Back-end
KerberosKerberos 88 TCP & UDP88 TCP & UDP Global catalogsGlobal catalogs
LDAPLDAP 389 TCP & UDP, 3268 TCP389 TCP & UDP, 3268 TCP Global catalogsGlobal catalogs
RPCRPC 135 TCP, 1024+ 135 TCP, 1024+ port fxe port fxe Global catalogsGlobal catalogs
DNSDNS 53 TCP & UDP53 TCP & UDP Serveurs DNSServeurs DNS
Le concept de la “défense en profondeur” nécessite une inspection du trafic OWA au
niveau du pare-feu
Le concept de la “défense en profondeur” nécessite une inspection du trafic OWA au
niveau du pare-feu
Protection de OWA avec ISA Serveur Protection de OWA avec ISA Serveur 20042004 Réduction de la surface exposée Réduction de la surface exposée (cf. session du 14 juin à (cf. session du 14 juin à 14h00)14h00)
Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu
traditionneltraditionnelOWAOWA
ClientClient
Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande
SSLSSLSSLSSL
SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle
du fait du chiffrement…du fait du chiffrement…
……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager
sans être détectés…sans être détectés…
……et d’infecter les serveurs internes !et d’infecter les serveurs internes !
ISA Server 2004ISA Server 2004
Délégation d’authentification BasicDélégation d’authentification BasicISA Server pré authentifie les ISA Server pré authentifie les
utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise
que le trafic valide à passerque le trafic valide à passer
URLScanURLScan
SSL ou SSL ou HTTPHTTP
SSL ou SSL ou HTTPHTTP
SSLSSLSSLSSL
ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter
le trafic SSLle trafic SSL
Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.
Analyse URL Analyse URL par ISA Serverpar ISA Server
L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en
cas d’utilisation de SSLcas d’utilisation de SSL
InternetInternet
Besoins évolués et évolution des Besoins évolués et évolution des besoinsbesoins
Certains utilisateurs Certains utilisateurs doiventdoivent disposer disposer d’Outlook complet / riched’Outlook complet / riche
PluginsPlugins tiers tiersSynchronisation de la BAL et accès aux dossiers Synchronisation de la BAL et accès aux dossiers locauxlocauxRègles clientesRègles clientesCarnet d’adresses completCarnet d’adresses completConfort d’utilisation et productivitéConfort d’utilisation et productivité
Les accès VPNs sont trop coûteux et Les accès VPNs sont trop coûteux et complexes si la messagerie en est l’unique complexes si la messagerie en est l’unique justification.justification.Certaines contraintes techniques sont Certaines contraintes techniques sont incompatibles avec un usage mobile incompatibles avec un usage mobile (téléphone)(téléphone)« L’expérience utilisateur » n’est souvent « L’expérience utilisateur » n’est souvent pas des plus ergonomiques…pas des plus ergonomiques…
Des RPC sur Internet ?Des RPC sur Internet ?
FonctionnementFonctionnement des RPC avec des RPC avec ExchangeExchange
ServiceService UUIDUUID PortPort
ExchangeExchangeInfo StoreInfo Store
{0E4A0156-DD5D-11D2-8C2F-{0E4A0156-DD5D-11D2-8C2F-00CD4FB6BCDE}00CD4FB6BCDE}
44044022
Active Active DirectoryDirectory
{E35114235-4B06-11D1-AB04-{E35114235-4B06-11D1-AB04-00C04C2DCD2}00C04C2DCD2}
35435444
PerformancPerformance Monitore Monitor
{A00C021C-2BE2-11D2-B678-{A00C021C-2BE2-11D2-B678-0000F87A8F8E}0000F87A8F8E}
92392333
RPC Server (Exchange 2000/2003)
RPC Client (Outlook)
TCP 135:
Port for {
0E4A…}Port 4402: D
ata
Le serveur RPC maintient une table de correspondances (Universally Unique Identifiers - UUID) et les ports de communication associés
1
Le client se connecte au serveur via le port TCP 135 et demande le port associé à un UUID
2
Le serveur répond avec l’information correspondante
3
Le client se reconnecte au serveur en utilisant le port indiqué.
4
Server: Port 4
402
Internet
Les RPC et les pare-feux classiquesLes RPC et les pare-feux classiques
Ouverture du port 135 Ouverture du port 135 pour le trafic entrantpour le trafic entrantOuverture de la Ouverture de la totalité des ports totalité des ports susceptibles d’être susceptibles d’être utilisés en entréeutilisés en entrée
RPC Server (Exchange 2000)
RPC Client (Outlook)
TCP 135:
Port for {
0E4A… ?Port 4402: D
ata
Server: Port 4
402
La sécurité ne peut être La sécurité ne peut être assurée dans ces assurée dans ces
conditionsconditions
La sécurité ne peut être La sécurité ne peut être assurée dans ces assurée dans ces
conditionsconditions
Internet
Les RPC d’Les RPC d’Exchange et ISA Serveur Exchange et ISA Serveur 2004 2004 (cf. session du 14 juin à 14h00)(cf. session du 14 juin à 14h00)
RPC Server (Exchange 2000)
Outlook
TCP 135:
Port for {
0E4A… ?Port 4402: D
ata
Server: Port 4
402
Internet
Connexion initiale:Connexion initiale: Seul le trafic RPC valide est acceptéSeul le trafic RPC valide est accepté
Rejette les requêtes non ExchangeRejette les requêtes non Exchange
Connexion suivanteConnexion suivante Seules les connexions Seules les connexions vers des ports utilisés vers des ports utilisés par Exchange sont par Exchange sont autoriséesautorisées
ChiffrementChiffrement
Pb potentiel vis à vis de Pb potentiel vis à vis de l’infrastructure Internetl’infrastructure Internet
Pb potentiel vis à vis de Pb potentiel vis à vis de l’infrastructure Internetl’infrastructure Internet
RPC/HTTP encapsule le trafic RPC dans HTTP RPC/HTTP encapsule le trafic RPC dans HTTP (https bien sûr…)(https bien sûr…)
La session RPC est établie après l’authentification La session RPC est établie après l’authentification (dans HTTPS …)(dans HTTPS …)
Les serveur Web interne (RPC proxy) extrait le trafic Les serveur Web interne (RPC proxy) extrait le trafic RPC de HTTPRPC de HTTP
Avantage: la majorité des pare-feux laisse passer Avantage: la majorité des pare-feux laisse passer HTTPHTTP
Outlook 2003 est suffisamment « intelligent » pour Outlook 2003 est suffisamment « intelligent » pour basculer de HTTP à TCP et inversement: expérience basculer de HTTP à TCP et inversement: expérience utilisateur uniforme !utilisateur uniforme !
Problème: Les pare-feux traditionnels exposent Problème: Les pare-feux traditionnels exposent le Proxy RPC aux attaques Weble Proxy RPC aux attaques Web
Exchange 2003 : Proxy RPCExchange 2003 : Proxy RPC
RPC Traffic
Web Server Attacks
InternetHTTP Traffic
Exchange Client Access
Services
RPC sur HTTP avec ISA Serveur 2004RPC sur HTTP avec ISA Serveur 2004
ISA Serveur termine le tunnel SSLISA Serveur termine le tunnel SSLInspecte le trafic HTTP afin de garantir la Inspecte le trafic HTTP afin de garantir la conformité des protocolesconformité des protocolesN’accepte que des demandes vers : N’accepte que des demandes vers : http://.../rpc/... le reste est rejetéhttp://.../rpc/... le reste est rejeté
Pas de connexion directe depuis Internet Pas de connexion directe depuis Internet vers le serveur Exchangevers le serveur Exchange
Protection au niveau de la couche Protection au niveau de la couche Application pour le flux HTTP.Application pour le flux HTTP.
RPC Traffic
Web Server Attacks
Internet Exchange Client Access
Services
Configuration & Administration simplifiéesConfiguration & Administration simplifiées
L’assistant de publication de messagerie facilite la configuration et limite les
erreurs potentielles pouvant entrainer des failles de sécurité
L’assistant de publication de messagerie facilite la configuration et limite les
erreurs potentielles pouvant entrainer des failles de sécurité
Exchange ActiveSync (EAS)Exchange ActiveSync (EAS)
Synchronisation des E-mail, Synchronisation des E-mail, agenda, et contacts agenda, et contacts (plus avec (plus avec E2K3SP2 et WM5.0)E2K3SP2 et WM5.0)
Windows MobileWindows Mobile™™, PalmOne, , PalmOne, Symbian, Nokia, DataViz, etc.Symbian, Nokia, DataViz, etc.Architecture identique à Architecture identique à OWA/RPC-HTTPOWA/RPC-HTTP
Perimeter Network (DMZ)Perimeter Network (DMZ)
Windows 2003 Windows 2003 or 2000 ADor 2000 AD
Ex2003 Ex2003 Front-EndFront-End
Ex2003 Back-End Ex2003 Back-End ServersServers
ISA or ISA or 33rdrd party party FirewallFirewall
SSLSSL SSLSSL SSLSSL
ISAISA
ISA or ISA or 33rdrd party party FirewallFirewall
IPSec (Data)
192.168.1.251 IPSec (BAL pour user1?)
Quel BE ?
Authorisation OK?192.168.1.201
IP pour un DC du domaine contoso?
contoso\user1, p@ssw0rd
/microsoft-server-activesync/00101001
SSL valide
192.168.1.101Règle de publication: IP pour mail.contoso.com?
IP de mail.contoso.com?
Processus de Processus de synchronisationsynchronisationLe client ActiveSync est configuré pour utiliser mail.contoso.com
DNS externe DNS interne ExchangeFrontEnd1
Domain ControllerExchangeBackend1
ISA Serveur
131.107.76.146SSL avec 131.107.76.146
SSL valide/microsoft-server-activesync/00101001
SSL avec 192.168.1.101
Authentification Basic?
contoso\user1, p@ssw0rd
Oui
Backend1IP pour Backend1?
SSL (Data)SSL (Data)
Authentification Basic?
Architecture classiqueArchitecture classique
ExFEExFE SMTPSMTP
ExBEExBE ADAD
Nouveaux besoins, nouvelles Nouveaux besoins, nouvelles architecturesarchitectures
Serveurs critiques au sein Serveurs critiques au sein du périmètre de du périmètre de l’entreprise pour une l’entreprise pour une protection accrueprotection accrue
Ajouter ISA Serveur à Ajouter ISA Serveur à votre DMZvotre DMZ
Ne remplacez rien, Ne remplacez rien, ajoutezajoutez !!! !!!
Elevez le niveau de Elevez le niveau de sécurité par la sécurité par la publication de:publication de:
Exchange RPCExchange RPC
OWA sur HTTPSOWA sur HTTPS
RPC sur HTTPSRPC sur HTTPS
SMTP (filtrage du contenu)SMTP (filtrage du contenu)
ExFEExFE SMTPSMTP
ExBEExBE ADAD
ISAISAServerServer
Conclusion provisoire:Conclusion provisoire:
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
POP FAISSL 128 bits
Analyse des flux
Segmentation
Je maîtrise et sécurise les communications Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de bout en bout en maintenant un niveau de sécurité élévéde sécurité élévé
Les Opérateurs Télécoms: simples fournisseurs Les Opérateurs Télécoms: simples fournisseurs d’accès ?d’accès ?
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
APN et points d’accès dédiés / LS
/ VPN – IPsec…
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
Accès Distants (RAS)
POP FAI
Contributeurs aux solutions de sécurité et Contributeurs aux solutions de sécurité et de qualité de service…de qualité de service…
Les voies de communications Les voies de communications et les points d’accès sont et les points d’accès sont contrôlés mais:contrôlés mais:
Il faut sécuriser les terminauxIl faut sécuriser les terminaux
Il faut gérer les données sur ces Il faut gérer les données sur ces terminauxterminaux
Il est nécessaire d’administrer ces Il est nécessaire d’administrer ces terminauxterminaux
TerminauxTerminaux
Risques de sécurité : Risques de sécurité : Les terminaux mobiles doivent être considérés comme des Les terminaux mobiles doivent être considérés comme des ordinateurs…ordinateurs…
EntrepriseEntreprise OpérateursOpérateursMobiles et FixesMobiles et Fixes
WLANWLAN
WANWAN
PANPAN
InfraredInfrared
LANLAN
WANWAN
ApplicationsApplications
Disposez-vous d’une politique de sécurité pour les terminaux Disposez-vous d’une politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…?mobiles ? Les ordinateurs portables, mais aussi les autres…?
Sécurité au niveau du Sécurité au niveau du terminalterminal PérimètrePérimètre
Protection des donnéesProtection des données
Sécurité du réseau (PAN) Sécurité du réseau (PAN)
Sécurité matérielleSécurité matérielle
Sachant que sur un terminal mobile, Sachant que sur un terminal mobile, l’ergonomie est l’ergonomie est fondamentalefondamentale::
Usage avec seule main, en mouvement, clavier limitéUsage avec seule main, en mouvement, clavier limité
Pas de Smartcard, pas de clefs USB, la biométrie peu Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc.répandue, etc.
Et que Et que Les utilisateurs vont naturellement rejeter ou Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce qu’ils contourner des mesures de sécurité limitant ce qu’ils souhaitent faire.souhaitent faire.
……ou si ces mesures représentent «trop de travail »ou si ces mesures représentent «trop de travail »
Ne jamais sous estimer la « créativité » des Ne jamais sous estimer la « créativité » des utilisateurs…utilisateurs…
Sécurité du périmètreSécurité du périmètre
Mots de passe:Mots de passe:PocketPC: PocketPC: 4 digit pin, mots de passe forts4 digit pin, mots de passe fortsSmartphone: Smartphone: > 4 digit pin> 4 digit pin
Mots de passe stockés dans une partie sécurisée Mots de passe stockés dans une partie sécurisée (privilégiée) de la (privilégiée) de la RegistryRegistryAccroissement exponentiel des délais en cas de Accroissement exponentiel des délais en cas de mauvais mot de passe mauvais mot de passe Partenariat Activesync protégé par mot de passePartenariat Activesync protégé par mot de passe
Protocoles:Protocoles:PAP, CHAP, MS-CHAP, TLS, NTLM support PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 SSL 3.0
Exchange ActiveSync & IE MobileExchange ActiveSync & IE Mobile
BiométrieBiométriePotentiellement très pratiquePotentiellement très pratiqueIdentifiant ou authentifiant?Identifiant ou authentifiant?
HP iPAQ série 5400 avec lecteur HP iPAQ série 5400 avec lecteur d’empreintes digitalesd’empreintes digitales
Lecteurs de cartes à puces Lecteurs de cartes à puces ApplicationsApplicationsAccès réseauAccès réseauSolutions tiercesSolutions tierces Pointsec SoftwarePointsec Software
Protection des donnéesProtection des données
Plus exposé qu’un PC traditionnelPlus exposé qu’un PC traditionnel
Intégration des services de crypto pour les Intégration des services de crypto pour les applicationsapplications
Certification FIPS 140-2 (WM 5.0)Certification FIPS 140-2 (WM 5.0)
S/MIME (WM 5.0)S/MIME (WM 5.0)
128-bit Cryptographic services128-bit Cryptographic services: Crypto API v2: Crypto API v2
Signature de code (limite l’installation : SP)Signature de code (limite l’installation : SP)
API Anti-virus: ces virus peuvent exister et se propager (cf. API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir Cabir (fin 2004)(fin 2004) et Commwarrior.A et Commwarrior.A (mars 2005)(mars 2005) pour Symbian se pour Symbian se propageant via une combinaison de Bluetooth et MMS)propageant via une combinaison de Bluetooth et MMS)A ce jour nous ne connaissons pas de virus pouvant se A ce jour nous ne connaissons pas de virus pouvant se propager d’une plateforme PC vers un PDA/Smarphone.propager d’une plateforme PC vers un PDA/Smarphone.
SQL-CE fourni un chiffrement 128-bits (PPC SQL-CE fourni un chiffrement 128-bits (PPC uniquement)uniquement)
Nombreux outils tiers pour chiffrer les données:Nombreux outils tiers pour chiffrer les données:Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 Bluefire Security Technologies; Check Point VPN-1 SecureClient.SecureClient.
Sécurité réseauSécurité réseauClient VPN intégréClient VPN intégré
PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat)PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat)IPSEC: le mode tunnel nécessite un client tiersIPSEC: le mode tunnel nécessite un client tiers
WirelessWirelessWEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK)
Secure Browsing: HTTP (SSL), WAP (WTLS), Secure Browsing: HTTP (SSL), WAP (WTLS), ZonesZones de de SécuritéSécuritéCertification FIPS 140-2Certification FIPS 140-2OTA device management security: OTA device management security: OMA DM OMA DM provision provision settings & certssettings & certsWindows CE 5.0 : Stockage persistantWindows CE 5.0 : Stockage persistantOffres tierces:Offres tierces:
VPN VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPNCheckpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement)(OEM uniquement)
Authentification à deux facteursAuthentification à deux facteursRSA SecureIDRSA SecureID (supporte la synchronisation Exchange EAS) (supporte la synchronisation Exchange EAS)
Sécurité du PAN : BluetoothSécurité du PAN : Bluetooth““Bluesnarfing”: Vol de données personnelles via Bluesnarfing”: Vol de données personnelles via une connexion Bluetooth.une connexion Bluetooth.VirusVirusRecommandation de Microsoft aux OEM de Recommandation de Microsoft aux OEM de désactiver BT par défaut.désactiver BT par défaut.
Windows CEWindows CE
Windows XP Windows XP EmbeddedEmbedded
Windows Windows MobileMobile
Sécurité: gestion des terminauxSécurité: gestion des terminaux System Management ServerSystem Management Server 2003 feature pack2003 feature pack
XP EmbeddedAdvanced Client
Device Management Feature Pack
CE Device Management Client
Inventaire matériel & Inventaire matériel & logiciellogiciel
Collecte de fichiersCollecte de fichiers
Distribution logicielDistribution logiciel
ScriptsScripts
Gestion des configurations (mots de Gestion des configurations (mots de passe, etc.)passe, etc.)
Distribution automatique via le PC Distribution automatique via le PC (sous SMS)(sous SMS)
SécuritéSécurité::
Credant Mobile Guardian-Credant Mobile Guardian- Enterprise Edition Enterprise EditionIntégration AD et groupesIntégration AD et groupesGestion des mots de passe, synchronisation PC, chiffrement, Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accèsFirewall, autorisations et accèsLoggingLogging
Bluefire SecurityBluefire SecurityLoggingLogging Firewall et politiques de mots de passeFirewall et politiques de mots de passe
GestionGestion de bout en bout de bout en boutXcellenet Afaria, Intellisync, Extended Systems, JP MobileXcellenet Afaria, Intellisync, Extended Systems, JP Mobile
Exchange 2003 SP2Exchange 2003 SP2SécuritéSécurité
Support S/MIME, Support S/MIME, CertificationCertification FIPSFIPSCentralisation de la sécurité des terminauxCentralisation de la sécurité des terminaux
Garantie d’application des politiques de sécurité: PIN code (complexité, Garantie d’application des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suiviessynchroniser si les politiques ne sont pas suiviesPossibilité de forcer une mise à jour régulière des politiques de sécurité Possibilité de forcer une mise à jour régulière des politiques de sécurité ““Formatage” à distanceFormatage” à distanceIntégration des certificats x509Intégration des certificats x509
Fonctionnel Fonctionnel Direct Push TechnologyDirect Push Technology: AUTD sans SMS, indépendant du média de connexion, : AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc…recherche dans la GAL, Synchronisation des Taches, etc…
Sécurité: gestion des terminauxSécurité: gestion des terminaux
Seconde Conclusion Seconde Conclusion provisoire:provisoire:
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
POP FAISSL 128 bits
Analyse des flux
Segmentation
Je maîtrise et sécurise les communications de Je maîtrise et sécurise les communications de bout en boutbout en bout ainsi que les terminaux ainsi que les terminaux en en maintenant un niveau de sécurité élevémaintenant un niveau de sécurité élevé
Le cordonnier est-il bien Le cordonnier est-il bien chausséchaussé
Les meilleurs pratiques de Les meilleurs pratiques de l’informatique interne de Microsoft…l’informatique interne de Microsoft…
Pluralité des accès à la Pluralité des accès à la messageriemessagerieUne stratégie d’entrepriseUne stratégie d’entreprise
Accès hétérogènesAccès hétérogènesOutlook Web AccessOutlook Web AccessOutlook 2003 via RPC/HTTPsOutlook 2003 via RPC/HTTPsWireless LAN (Wireless LAN (laptoplaptop, PPC, Tablet PC), PPC, Tablet PC)PPCpe/Smartphone (GPRS, …)PPCpe/Smartphone (GPRS, …)RAS/VPNRAS/VPN
UtilisationUtilisationOutlook Web AccessOutlook Web Access ~55,000 utilisateurs uniques ~55,000 utilisateurs uniquesOutlook Mobile Access ~2,500 utilisateurs uniquesOutlook Mobile Access ~2,500 utilisateurs uniquesExchange ActiveSync ~14,000 utilisateurs uniquesExchange ActiveSync ~14,000 utilisateurs uniquesOutlook RPC/HTTPsOutlook RPC/HTTPs ~23,000 utilisateurs uniques en ~23,000 utilisateurs uniques en croissance! croissance!~15,000 connexions HTTPs concurrentes par serveur ~15,000 connexions HTTPs concurrentes par serveur frontalfrontal
ISA Server
ISA Server
WLB
:IP1
WLB
:IP2
`
ExternalClients
SSL
SSL
SSL
SSL
`
Internal Clients
`
Internal Clients
Exchange Orgmicrosoft.comExchange FE
Server
Exchange FEServer Exchange BE
Servers
WLB
Exchange Orgdev.microsoft.com
Exchange FEServer
Exchange FEServer Exchange BE
Servers
WLB
Issuer: Publicly Trusted CACN: msg.microsoft.com
Issuer: Publicly Trusted CACN: msg.dev.microsoft.com
Issuer: Publicly Trusted CACN: msg.dev.microsoft.com
CN: msg.microsoft.com
CN: msg.microsoft.com
CN: msg.dev.microsoft.com
CN: msg.dev.microsoft.com
SSL
SSL
SSLIssuer: Publicly Trusted CA
CN: msg.microsoft.com
Pluralité des accès à la Pluralité des accès à la messageriemessagerieArchitectureArchitecture
Multiples organisations
Exchange
Infrastructure ISA: clients hétérogènes,
point d’accès homogène (unique)
ISA Server
ISA Server
WLB
:IP1
WLB
:IP2
`
ExternalClients
SSL
SSL
SSL
SSL
`
Internal Clients
`
Internal Clients
Exchange Orgmicrosoft.comExchange FE
Server
Exchange FEServer Exchange BE
Servers
WLB
Exchange Orgdev.microsoft.com
Exchange FEServer
Exchange FEServer Exchange BE
Servers
WLB
Issuer: Publicly Trusted CACN: msg.microsoft.com
Issuer: Publicly Trusted CACN: msg.dev.microsoft.com
Issuer: Publicly Trusted CACN: msg.dev.microsoft.com
CN: msg.microsoft.com
CN: msg.microsoft.com
CN: msg.dev.microsoft.com
CN: msg.dev.microsoft.com
SSL
SSL
SSLIssuer: Publicly Trusted CA
CN: msg.microsoft.com
Pluralité des accès à la Pluralité des accès à la messageriemessagerieArchitecture & sécuritéArchitecture & sécurité
Windows Integrated Auth obligatoire pour
les BEIPSec si nécessaire
Répartition de charge (NLB) – Une adresse IP vituelle
unique pour tous les services de messagerie
“externes”
SSL obligatoire pour les communications
ISA vers FE Authentification via formulaires HTML pour OWA
Compression=Active
ISA:Gestion tunnel SSLStateful inspection
(sessions) Filtrage Applicatif
Infrastructure frontale
redondanteInfrastructure ISA
redondante
SSL obligatoire pour toutes les
connexions clientes
Les utilisateurs mobiles internes
se connectent aux FE
Flux de messagerie InternetFlux de messagerie InternetTopologieTopologie
Répartition de charge et redondanceRépartition de charge et redondanceArchitecture multi-niveaux (couches)Architecture multi-niveaux (couches)Passerelles Exchange Server 2003 comme plates-formes anti-spam et Passerelles Exchange Server 2003 comme plates-formes anti-spam et antivirusantivirusDissociation des flux entrant et sortant (authentification, filtrage, Dissociation des flux entrant et sortant (authentification, filtrage, politiques différentes)politiques différentes)Administration et surveillance intégréesAdministration et surveillance intégréesVolumesVolumes::
~10 millions de mails/jour en provenance d’Internet ~10 millions de mails/jour en provenance d’Internet ~15 msgs/sec en entrée par passerelle (pointes à 50-100)~15 msgs/sec en entrée par passerelle (pointes à 50-100)85% du trafic est filtré/rejeté (spam, virus)85% du trafic est filtré/rejeté (spam, virus)~1 million de mails/jour légitimes venant d’Internet~1 million de mails/jour légitimes venant d’Internet~500,000-700,000 mails/jour émis vers Internet.~500,000-700,000 mails/jour émis vers Internet.
Exchange 2003 Gateways
Exchange 2003 Routing HUBs
Serveurs de BALs
Plate-forme pour IMF(anti-spam) et autres
filtrages
Plate-forme pour les antivirus et la gestion des
attachements
Antivirus et Anti-SpamAntivirus et Anti-SpamDéfense en profondeur: Défense en profondeur: couchescouches……
Gateway Server Transport
SCL≥Gateway Threshold?
Connection FilteringRBLs
Sender/Recipient Filtering
Exchange IMFOther Anti-spam
solutions
Filter Action
Yes
No
Gateway Server Transport
Attachment Stripping
Virus Scanning
Internet
Mailbox Server Store
Spam?
SCL Store Theshold
JunkMail Inbox
User Safe/BlockedSenders
Yes No
Client(Outlook 2003)
Desktop AntiVirus
Spam?
User Safe/Blocked Senders
Inbox JunkMail
Yes
Attachment Blocking
`
Exchange 2003 Gateways
Exchange 2003 Hubs
Mailbox Servers
Clients
SCLSCLSCL
SCL
~ 85% des emails entrants est filtré au niveau des passerelles~ 85% des emails entrants est filtré au niveau des passerelles
Conclusion :Conclusion :
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
POP FAISSL 128 bits
Analyse des flux clients& serveurs
Segmentation
Je peux capitaliser sur mes investissements pour Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en gagner en productivité tout en restant sécurisé et en maîtrisant les coûtsmaîtrisant les coûtsdans un environnement ouvert …dans un environnement ouvert …
RessourcesRessources
La messagerie “de confiance” chez Microsoft
http://www.microsoft.com/technet/itsolutions/msit/operations/trustmes.mspx« Hygiène » d’une messagerie: le cas de Microsofthttp://www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx
Processus de sauvegarde d’un système Exchange 2003 en Cluster http://www.microsoft.com/technet/itsolutions/msit/operations/exchbkuhttp://www.microsoft.com/technet/itsolutions/msit/operations/exchbkup.mspxp.mspx
L’informatique interne de Microsofthttp://www.microsoft.com/itshowcase/
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com