La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France."— Transcription de la présentation:

1 Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France

2 Agenda Evolution des besoins Je veux / je ne veux pas… Évolution des menaces Analyse des solutions sous langle de la sécurité, de la complexité et de lergonomie Le cordonnier est-il correctement chaussé? Cette session ne traite pas: Les processus opérationnels (sauvegardes, etc). Larchitecture et linfrastructure dun système Exchange 2003 La configuration dExchange 2003 pour la mobilité

3 Je veux (D.G.) … Accéder à la messagerie depuis mon (nouveau) téléphone Comment ? Avec quel niveau de Sécurité ? Etre en permanence informé de mes nouveaux mails Syndrome « Frigidaire » Que mes forces commerciales soient en permanence connectées Tout sur tous les terminaux que jutilise Que cela soit simple Que mes collaborateurs puissent accéder au S.I. en dehors de lentreprise Que cela soit réalisé le plus vite possible…

4 Mais je ne veux pas (D.S.I.) … Dupliquer le système dinformation: jutilise Exchange 2003 Comment ? Avec quel niveau de Sécurité ? Perdre le contrôle sur les éléments du S.I. (contrôle de bout en bout) Multiplier les points daccès à lentreprise Perdre la maîtrise des coûts Que cela soit complexe Affaiblir la sécurité (contrôle de bout en bout) Multiplier les exceptions dans mon pare-feu (au fait combien en ai-je ?) Faire des mauvais choix pour lavenir (standards)

5 Scénarios et risques Accès à Exchange via Internet ExtranetMobilitéTélétravail Kiosques et accès à domicile Internet comme réseau dentreprise Nouvelle opportunités business, réactivité, … Comprendre les risques Erreurs de déploiement/configuration Contenu des messages Envoyés depuis Internet et ouverts à lintérieur Envoyés depuis lIntranet et exploités depuis Internet Couche 8 : lerreur/le comportement humain (utilisateurs) Et les menaces: Spam, hameçonnage (phising), vols didentités, virus, spyware, intelligence économique, etc. Terminaux(utilisateurs) EntrepriseOpérateurs mobiles ou fixes WLAN WAN PAN Infra red LAN WAN Applications WLAN

6 La stratégie sécurité de Microsoft Isolation et Résilience Authentification,Autorisation,Contrôledaccès Conseils,Outils,Réponse Les 5 axes de la sécurité Mise à jour Avancée Excellencedelengineering

7 Connecté ou non connecté… Deux grands principes entrainant des usages différents: Connecté: pas daccès à linformation si la connexion nexiste pas Connecté: pas daccès à linformation si la connexion nexiste pas (pas de synchronisation locale) ex: ex: Modèle Web: Outlook Web Access, accès Wap, Outlook Mobile Access Non connecté, ou plutôt connecté épisodiquement: principe entrainant une synchronisation (régulière et/ou à la demande) pour un accès local à linformation indépendamment de létat du réseau ex: Outlook 32 bits, Windows Mobile (Activesync serveur) Il faut néanmoins un point daccès…

8 Architecture type Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet Accès Distants (RAS) POP FAI

9 Les choix de connectivité Alternatives RAS, VPNs Internet comme réseau dentreprise OWA RPC - natif vs. sur HTTP Traditionnel vs. innovant Trouver des réponses aux problèmes dhier ou daujourdhui ? La question peut sembler stupide, mail il existe beaucoup dà priori et de préconçus… Le Design idéal ??? To DMZ or not to DMZ…that is the question

10 VPN : choix classique (extension logique du périmètre de lentreprise) Client VPN dans toutes les versions de Windows PPTPL2TP+IPsec Bien connu ainsi que les algorithmes La technologie est bien comprise Mais nécessite malgré tout une organisation interne maîtrisant le sujet. Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structures Quarantaine indispensable afin de vérifier létat de santé du poste de travail (cf. session de 11h ce matin) … Parfois trop « lourd » pour une solution mobile

11 Exchange Server 2003 Les consommateurs BAL (Back End) Pare-feu/périmètre de lentreprise (DMZ) RPC/HTTP & Outlook Web Access POP3, IMAP ExchangeActiveSync Outlook Mobile Access ClientsActiveSync (PPC, SP) Navigateurs téléphones & PDA PC Portables / Fixes Front End Flux entrants Flux entrants SMTP: 25 SMTP: 25 POP3 : 110 POP3 : 110 SSL : 443 SSL : 443 RPC : 135 RPC : 135 Demain ? ?

12 Le mode connecté : OWA et OMA Exchange Server 2003 Outlook Web Access Correcteur orthographique, Règles, Tâches et toutes les fonctions appréciables de Outlook 2003 Performance accrue (plus de 50% vs Exchange 2000 Serveur) Sécurité Authentification via formulaires, blocage des attachements, blocage des contenus externes, chiffrement et signature S/MIME Outlook Mobile Access Outlook Web Access pour les terminaux mobiles Acceptant potentiellement tout type de clients Génère du WML, HTML, xHTML et cHTML correspondant aux différents terminaux.NET Framework Device Updates accroît le nombre de terminaux supportés Device UpdatesDevice Updates

13 Architecture classique Positif: Performance Séparation des protocoles interne / externe (message store) Protection réseau Négatif: Sécurité Tunnel au travers des pare- feux: pas dinspection De nombreuses exceptions dans les pare-feux pour lauthentification ExBE AD OWA / OMA Communications entre serveurs FE et BE ProtocolPortDestination HTTP 80 TCP Serveurs Back-end POP3 110 TCP Serveurs Back-end IMAP4 143 TCP Serveurs Back-end RPC-HTTP 6001 & 6004 TCP, 6002 (SP1) Serveurs Back-end Kerberos 88 TCP & UDP Global catalogs LDAP 389 TCP & UDP, 3268 TCP Global catalogs RPC 135 TCP, port fxe 135 TCP, port fxe Global catalogs DNS 53 TCP & UDP Serveurs DNS Le concept de la défense en profondeur nécessite une inspection du trafic OWA au niveau du pare-feu

14 Protection de OWA avec ISA Serveur 2004 Réduction de la surface exposée (cf. session du 14 juin à 14h00) Pare-feu traditionnel OWA Client Le serveur OWA fait une demande dauthentification - tout utilisateur sur Internet peut accéder à cette demande SSLSSL SSL passe au travers des pare- feu traditionnels sans contrôle du fait du chiffrement… …ce qui permet aux virus et aux vers de se propager sans être détectés… …et dinfecter les serveurs internes ! ISA Server 2004 Délégation dauthentification Basic ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et nautorise que le trafic valide à passer URLScan SSL ou HTTP SSLSSL ISA Server peut déchiffrer et inspecter le trafic SSL Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. Analyse URL par ISA Server Lanalyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas dutilisation de SSL Internet

15 Besoins évolués et évolution des besoins Certains utilisateurs doivent disposer dOutlook complet / riche Plugins tiers Synchronisation de la BAL et accès aux dossiers locaux Règles clientes Carnet dadresses complet Confort dutilisation et productivité Les accès VPNs sont trop coûteux et complexes si la messagerie en est lunique justification. Certaines contraintes techniques sont incompatibles avec un usage mobile (téléphone) « Lexpérience utilisateur » nest souvent pas des plus ergonomiques…

16 Des RPC sur Internet ?

17 Fonctionnement des RPC avec Exchange ServiceUUIDPort Exchange Info Store {0E4A0156-DD5D-11D2-8C2F- 00CD4FB6BCDE} 4402 Active Directory {E B06-11D1-AB04- 00C04C2DCD2} 3544 Performance Monitor {A00C021C-2BE2-11D2-B F87A8F8E} 9233 RPC Server (Exchange 2000/2003) RPC Client (Outlook) TCP 135: Port for {0E4A…} Port 4402: Data Le serveur RPC maintient une table de correspondances (Universally Unique Identifiers - UUID) et les ports de communication associés 1 Le client se connecte au serveur via le port TCP 135 et demande le port associé à un UUID 2 Le serveur répond avec linformation correspondante 3 Le client se reconnecte au serveur en utilisant le port indiqué. 4 Server: Port 4402 Internet

18 Les RPC et les pare-feux classiques Ouverture du port 135 pour le trafic entrant Ouverture de la totalité des ports susceptibles dêtre utilisés en entrée RPC Server (Exchange 2000) RPC Client (Outlook) TCP 135: Port for {0E4A… ? Port 4402: Data Server: Port 4402 La sécurité ne peut être assurée dans ces conditions Internet

19 Les RPC dExchange et ISA Serveur 2004 (cf. session du 14 juin à 14h00) RPC Server (Exchange 2000) Outlook TCP 135: Port for {0E4A… ? Port 4402: Data Server: Port 4402 Internet Connexion initiale: Seul le trafic RPC valide est accepté Seul le trafic RPC valide est accepté Rejette les requêtes non Exchange Rejette les requêtes non Exchange Connexion suivante Seules les connexions vers des ports utilisés par Exchange sont autorisées Seules les connexions vers des ports utilisés par Exchange sont autorisées Chiffrement Chiffrement Pb potentiel vis à vis de linfrastructure Internet

20 RPC/HTTP encapsule le trafic RPC dans HTTP (https bien sûr…) La session RPC est établie après lauthentification (dans HTTPS …) Les serveur Web interne (RPC proxy) extrait le trafic RPC de HTTP Avantage: la majorité des pare-feux laisse passer HTTP Outlook 2003 est suffisamment « intelligent » pour basculer de HTTP à TCP et inversement: expérience utilisateur uniforme ! Problème: Les pare-feux traditionnels exposent le Proxy RPC aux attaques Web Exchange 2003 : Proxy RPC RPC Traffic Web Server Attacks Internet HTTP Traffic Exchange Client Access Services

21 RPC sur HTTP avec ISA Serveur 2004 ISA Serveur termine le tunnel SSL Inspecte le trafic HTTP afin de garantir la conformité des protocoles Naccepte que des demandes vers : le reste est rejeté Pas de connexion directe depuis Internet vers le serveur Exchange Protection au niveau de la couche Application pour le flux HTTP. RPC Traffic Web Server Attacks Internet Exchange Client Access Services

22 Configuration & Administration simplifiées Lassistant de publication de messagerie facilite la configuration et limite les erreurs potentielles pouvant entrainer des failles de sécurité

23 Exchange ActiveSync (EAS) Synchronisation des , agenda, et contacts (plus avec E2K3SP2 et WM5.0) Windows Mobile, PalmOne, Symbian, Nokia, DataViz, etc. Architecture identique à OWA/RPC- HTTP Perimeter Network (DMZ) Windows 2003 or 2000 AD Ex2003Front-End Ex2003 Back-End Servers ISA or 3 rd party Firewall SSL SSL SSL ISA

24 IPSec (Data) IPSec (BAL pour user1?) Quel BE ? Authorisation OK? IP pour un DC du domaine contoso? contoso\user1, /microsoft-server-activesync/ SSL valide Règle de publication: IP pour mail.contoso.com? IP de mail.contoso.com? Processus de synchronisation Le client ActiveSync est configuré pour utiliser mail.contoso.com DNS externe DNS interne Exchange FrontEnd1 Domain Controller Exchange Backend1 ISA Serveur SSL avec SSL valide /microsoft-server-activesync/ SSL avec Authentification Basic? contoso\user1, Oui Backend1IP pour Backend1? SSL (Data) Authentification Basic?

25 Architecture classique ExFESMTP ExBEAD

26 Nouveaux besoins, nouvelles architectures Serveurs critiques au sein du périmètre de lentreprise pour une protection accrue Ajouter ISA Serveur à votre DMZ Ne remplacez rien, ajoutez !!! Elevez le niveau de sécurité par la publication de: Exchange RPC OWA sur HTTPS RPC sur HTTPS SMTP (filtrage du contenu) ExFESMTP ExBEAD ISAServer

27 Conclusion provisoire: Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet POP FAI SSL 128 bits Analyse des flux Segmentation Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé

28 Les Opérateurs Télécoms: simples fournisseurs daccès ? Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone APN et points daccès dédiés / LS / VPN – IPsec… Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet Accès Distants (RAS) POP FAI Contributeurs aux solutions de sécurité et de qualité de service…

29 Les voies de communications et les points daccès sont contrôlés mais: Il faut sécuriser les terminaux Il faut gérer les données sur ces terminaux Il est nécessaire dadministrer ces terminaux

30 Terminaux Risques de sécurité : Les terminaux mobiles doivent être considérés comme des ordinateurs… Entreprise Opérateurs Mobiles et Fixes WLAN WAN PAN Infrared LAN WAN Applications Disposez-vous dune politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…?

31 Sécurité au niveau du terminal Périmètre Périmètre Protection des données Protection des données Sécurité du réseau (PAN) Sécurité du réseau (PAN) Sécurité matérielle Sécurité matérielle Sachant que sur un terminal mobile, lergonomie est fondamentale: Usage avec seule main, en mouvement, clavier limité Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc. Et que Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce quils souhaitent faire. …ou si ces mesures représentent «trop de travail » Ne jamais sous estimer la « créativité » des utilisateurs…

32 Sécurité du périmètre Mots de passe: PocketPC: 4 digit pin, mots de passe forts Smartphone: > 4 digit pin Mots de passe stockés dans une partie sécurisée (privilégiée) de la Registry Accroissement exponentiel des délais en cas de mauvais mot de passe Partenariat Activesync protégé par mot de passe Protocoles: PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 Exchange ActiveSync & IE Mobile Biométrie Potentiellement très pratique Identifiant ou authentifiant? HP iPAQ série 5400 avec lecteur dempreintes digitales Lecteurs de cartes à puces Applications Accès réseau Solutions tierces Pointsec Software

33 Protection des données Plus exposé quun PC traditionnel Intégration des services de crypto pour les applications Certification FIPS (WM 5.0) S/MIME (WM 5.0) 128-bit Cryptographic services: Crypto API v2 Signature de code (limite linstallation : SP) API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir (fin 2004) et Commwarrior.A (mars 2005) pour Symbian se propageant via une combinaison de Bluetooth et MMS) A ce jour nous ne connaissons pas de virus pouvant se propager dune plateforme PC vers un PDA/Smarphone. SQL-CE fourni un chiffrement 128-bits (PPC uniquement) Nombreux outils tiers pour chiffrer les données: Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 SecureClient.

34 Sécurité réseau Client VPN intégré PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat) IPSEC: le mode tunnel nécessite un client tiers Wireless WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) Secure Browsing: HTTP (SSL), WAP (WTLS), Zones de Sécurité Certification FIPS OTA device management security: OMA DM provision settings & certs Windows CE 5.0 : Stockage persistant Offres tierces: VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement) Authentification à deux facteurs RSA SecureID (supporte la synchronisation Exchange EAS) Sécurité du PAN : Bluetooth Bluesnarfing: Vol de données personnelles via une connexion Bluetooth. Virus Recommandation de Microsoft aux OEM de désactiver BT par défaut.

35 Windows CE Windows XP Embedded Windows Mobile Sécurité: gestion des terminaux System Management Server 2003 feature pack XP Embedded Advanced Client Device Management Feature Pack CE Device Management Client Inventaire matériel & logiciel Collecte de fichiers Distribution logiciel Scripts Gestion des configurations (mots de passe, etc.) Distribution automatique via le PC (sous SMS)

36 Sécurité : Credant Mobile Guardian- Enterprise Edition Intégration AD et groupes Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accès Logging Bluefire Security Logging Firewall et politiques de mots de passe Gestion de bout en bout Xcellenet Afaria, Intellisync, Extended Systems, JP Mobile Exchange 2003 SP2 Sécurité Support S/MIME, Certification FIPS Centralisation de la sécurité des terminaux Garantie dapplication des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suivies Possibilité de forcer une mise à jour régulière des politiques de sécurité Formatage à distance Intégration des certificats x509 Fonctionnel Direct Push Technology: AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc… Sécurité: gestion des terminaux

37 Seconde Conclusion provisoire: Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet POP FAI SSL 128 bits Analyse des flux Segmentation Je maîtrise et sécurise les communications de bout en bout ainsi que les terminaux en maintenant un niveau de sécurité élevé

38 Le cordonnier est-il bien chaussé Les meilleurs pratiques de linformatique interne de Microsoft…

39 Pluralité des accès à la messagerie Une stratégie dentreprise Accès hétérogènes Outlook Web Access Outlook 2003 via RPC/HTTPs Wireless LAN (laptop, PPC, Tablet PC) PPCpe/Smartphone (GPRS, …) RAS/VPNUtilisation Outlook Web Access ~55,000 utilisateurs uniques Outlook Mobile Access ~2,500 utilisateurs uniques Exchange ActiveSync ~14,000 utilisateurs uniques Outlook RPC/HTTPs ~23,000 utilisateurs uniques en croissance! ~15,000 connexions HTTPs concurrentes par serveur frontal

40 Pluralité des accès à la messagerie Architecture Multiples organisations Exchange Infrastructure ISA: clients hétérogènes, point daccès homogène (unique)

41 Pluralité des accès à la messagerie Architecture & sécurité Windows Integrated Auth obligatoire pour les BE IPSec si nécessaire Répartition de charge (NLB) – Une adresse IP vituelle unique pour tous les services de messagerie externes SSL obligatoire pour les communications ISA vers FE Authentification via formulaires HTML pour OWA Compression=Active ISA: Gestion tunnel SSL Stateful inspection (sessions) Filtrage Applicatif Infrastructure frontale redondante Infrastructure ISA redondante SSL obligatoire pour toutes les connexions clientes Les utilisateurs mobiles internes se connectent aux FE

42 Flux de messagerie Internet Topologie Répartition de charge et redondance Architecture multi-niveaux (couches) Passerelles Exchange Server 2003 comme plates-formes anti-spam et antivirus Dissociation des flux entrant et sortant (authentification, filtrage, politiques différentes) Administration et surveillance intégrées Volumes : ~10 millions de mails/jour en provenance dInternet ~15 msgs/sec en entrée par passerelle (pointes à ) 85% du trafic est filtré/rejeté (spam, virus) ~1 million de mails/jour légitimes venant dInternet ~500, ,000 mails/jour émis vers Internet. Exchange 2003 Gateways Exchange 2003 Routing HUBs Serveurs de BALs Plate-forme pour IMF (anti-spam) et autres filtrages Plate-forme pour les antivirus et la gestion des attachements

43 Antivirus et Anti-Spam Défense en profondeur: couches… Exchange 2003 Gateways Exchange 2003 Hubs Mailbox Servers Clients ~ 85% des s entrants est filtré au niveau des passerelles

44 Conclusion : Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet POP FAI SSL 128 bits Analyse des flux clients & serveurs Segmentation Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en maîtrisant les coûts dans un environnement ouvert …

45 Ressources La messagerie de confiance chez Microsoft erations/trustmes.mspx « Hygiène » dune messagerie: le cas de Microsoft aginghygienewp.mspx Processus de sauvegarde dun système Exchange 2003 en Cluster chbkup.mspx chbkup.mspx Linformatique interne de Microsoft

46 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France."

Présentations similaires


Annonces Google