La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Exchange 2003 SP2 : nouveautés en matière de mobilité Thierry Picq Managing Consultant Microsoft Services France.

Présentations similaires


Présentation au sujet: "Exchange 2003 SP2 : nouveautés en matière de mobilité Thierry Picq Managing Consultant Microsoft Services France."— Transcription de la présentation:

1 Exchange 2003 SP2 : nouveautés en matière de mobilité Thierry Picq Managing Consultant Microsoft Services France

2 Lidentité du Conseil Microsoft Rôle davant-garde Catalyseur du changement chez nos clients pour lemploi des technologies Microsoft et ladoption des nouvelles versions Effet de levier maximum en début de cycle de vie des technologies Effacement progressif quand : La technologie est installée dans le compte Le savoir-faire et les compétences sont largement diffusées Assistance aux partenaires mettant laccent sur le transfert de compétences et de connaissances sur les technologies Microsoft Cadres méthodologiques éprouvés : Microsoft Solutions Framework (MSF) et Microsoft Operations Framework (MOF) Capacité dengagement sur les projets stratégiques Partenaires Support Risque Adoption des Technologies Conseil Microsoft

3 Scénarios et risques Accès à Exchange via Internet ExtranetMobilitéTélétravail Kiosques et accès à domicile Internet comme réseau dentreprise Nouvelle opportunités business, réactivité, … Comprendre les risques Erreurs de déploiement/configuration Contenu des messages Envoyés depuis Internet et ouverts à lintérieur Envoyés depuis lIntranet et exploités depuis Internet Couche 8 : lerreur/le comportement humain (utilisateurs) Et les menaces: Spam, hameçonnage (phising), vols didentités, virus, spyware, intelligence économique, etc. Terminaux(utilisateurs) EntrepriseOpérateurs mobiles ou fixes WLAN WAN PAN Infra red LAN WAN Applications WLAN

4 Architecture type Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Pas de compte spécifique Pas de compte spécifique Internet Haut débit (VPN, …) Internet Accès Distants (RAS) POP FAI

5 Les choix de connectivité Alternatives RAS, VPNs Internet comme réseau dentreprise OWA RPC - natif vs. sur HTTP Traditionnel vs. innovant Trouver des réponses aux problèmes dhier ou daujourdhui ? La question peut sembler stupide, mail il existe beaucoup dà priori et de préconçus… Le Design idéal ??? To DMZ or not to DMZ…that is the question

6 VPN : choix classique (extension logique du périmètre de lentreprise) Client VPN dans toutes les versions de Windows PPTPL2TP+IPsec Bien connu ainsi que les algorithmes La technologie est bien comprise Mais nécessite malgré tout une organisation interne maîtrisant le sujet. Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structures Quarantaine indispensable afin de vérifier létat de santé du poste de travail Parfois trop « lourd » pour une solution mobile

7 Exchange Server 2003 SP2 Les consommateurs BAL (Back End) Pare-feu/périmètre de lentreprise (DMZ) RPC/HTTP (SP1) & Outlook Web Access POP3, IMAP ExchangeActiveSync Outlook Mobile Access ClientsActiveSync (PPC, SP) Navigateurs téléphones & PDA PC Portables / Fixes Front End Flux entrants Flux entrants SMTP: 25 SMTP: 25 POP3 : 110 POP3 : 110 SSL : 443 SSL : 443 RPC : 135 RPC : 135 Demain ? ?

8 Le mode connecté : OWA et OMA Exchange Server 2003 Outlook Web Access Correcteur orthographique, Règles, Tâches et toutes les fonctions appréciables de Outlook 2003 Performance accrue (plus de 50% vs Exchange 2000 Serveur) Sécurité Authentification via formulaires, blocage des attachements, blocage des contenus externes, chiffrement et signature S/MIME Outlook Mobile Access Outlook Web Access pour les terminaux mobiles Acceptant potentiellement tout type de clients Génère du WML, HTML, xHTML et cHTML correspondant aux différents terminaux.NET Framework Device Updates accroît le nombre de terminaux supportés Device UpdatesDevice Updates

9 Le mode synchronisé : Exchange ActiveSync (EAS) Synchronisation des , agenda, et contacts (plus avec E2K3SP2 et WM5.0) Protocole adopté par: PalmOne (Treo650 & LifeDrive) Motorola (A780) DataViz (RoadSync) NokiaSymbian Architecture identique à OWA/RPC-HTTP Perimeter Network (DMZ) Windows 2003 AD Ex2003Front-End Ex2003 Back-End Servers ISA or 3 rd party Firewall SSL SSL SSL ISA Principe fondamental de sécurité: aucune information ne « sort » du périmètre de lentreprise si elle na pas été sollicitée (contrôlée) par un client.

10 Protection de OWA/Activesync avec ISA Serveur 2004 Réduction de la surface exposée et simplification de publilcation Pare-feu traditionnel OWA Client Le serveur OWA fait une demande dauthentification - tout utilisateur sur Internet peut accéder à cette demande SSLSSL SSL passe au travers des pare- feu traditionnels sans contrôle du fait du chiffrement… …ce qui permet aux virus et aux vers de se propager sans être détectés… …et dinfecter les serveurs internes ! ISA Server 2004 Délégation dauthentification Basic ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et nautorise que le trafic valide à passer URLScan SSL ou HTTP SSLSSL ISA Server peut déchiffrer et inspecter le trafic SSL Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. Analyse URL par ISA Server Lanalyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas dutilisation de SSL Internet

11 Configuration & Administration simplifiées Lassistant de publication de messagerie facilite la configuration et limite les erreurs potentielles pouvant entrainer des failles de sécurité

12 IPSec (Data) IPSec (BAL pour user1?) Quel BE ? Authorisation OK? IP pour un DC du domaine contoso? contoso\user1, /microsoft-server-activesync/ SSL valide Règle de publication: IP pour mail.contoso.com? IP de mail.contoso.com? Processus de synchronisation Le client ActiveSync est configuré pour utiliser mail.contoso.com DNS externe DNS interne Exchange FrontEnd1 Domain Controller Exchange Backend1 ISA Serveur SSL avec SSL valide /microsoft-server-activesync/ SSL avec Authentification Basic? contoso\user1, Oui Backend1IP pour Backend1? SSL (Data) Authentification Basic?

13 Exchange Service Pack 2 et Windows Mobile 5 Messaging and Security Feature Pack Direct Push Améliorations fonctionnelles (recherche dans la GAL, tâches, …) et ergonomiques Gestion distante des politiques de sécurité Gestion distante des terminaux Support de S/MIME et FIPS-140-2

14 Disponibilité du MSFP Windows Mobile 5.0 AKU2 est le vecteur de diffusion de cette version AKU = Adaptation Kit Update Les AKUs sont à destination des OEM / constructeurs uniquement (pas un fichier.CAB) Mise à disposition via: OEM -> Opérateur Mobile -> Utilisateur Les AKUs sont cumulatifs (ie. Services Packs…). LAKU2 hérite des améliorations précédentes Gestionnaire réseaux (Wireless Manager) Explorateur de fichiers pour Smartphone Améliorations Bluetooth & Windows Media Player

15 Cinématique Direct Push 4. Si un mail arrive afin la fin de lintervalle, Exchange 2003 notifie le terminal quune modification est survenue dans la BAL 1. Le terminal envoie une requête au serveur Exchange 2003 SP2 server 2. Exchange 2003 maintient la requête en attente jusquà lexpiration de lintervalle (heartbeat) 5. Le terminal déclenche immédiatement une requête de synchronisation. 3. Si aucun mail narrive avant la fin de lintervalle (heartbit) le terminal renvoie une requête (keep alive) Terminal Windows Mobile 5 avec le MSFP Serveur Exchange 2003 SP2

16 Impact sur la bande passante Le terminal envoie une requête au serveur Exchange 2003 SP2 afin de générer une connexion IP Cette connexion permanente génère un surcoût Par défaut lintervalle (Heartbeat) est de 15min, le surcoût incrémental de cette solution est de: 370 bytes par heartbeat * 4 heartbeats par heure * 24 heures par jour * 30 jours = 1.06MB par mois Cette architecture permet néanmoins de rester indépendant du transport et de lopérateur (fixe ou mobile) Terminal Windows Mobile 5 avec le MSFP Serveur Exchange 2003 SP2

17 Optimisation de la bande passant via compression (GZIP) Compression GZIP sur le serveur Compression avant envoi Gains importants en bande passante et en latence (rapidité) entre Windows Mobile 2003 et Windows Mobile 5 Les test initiaux indiquent des gains entre 35% et 60% Efficacité Index = 100

18 Remarques concernant le Direct Push Chiffrement de la connexion SSL est utilisé pour négocier la sécurité du transport. Par défaut le chiffrement est de type RC4 3DES peut être utilisé (impact sur tous les trafics SSL du frontal) Configuration des pare-feux: Afin de conserver la connexion il peut être nécessaire de paramétrer les pare-feux de telle façon que les timeout de session pour accès vers EAS soient de mins Le Wifi nest pas supporté La Registry est votre amie (attention quand même)…

19 Accès à lannuaire (GAL) Conçu pour un accès simplifié depuis Contacts Sélection dun contact intégrée avec la messagerie, téléphone, calendrier, etc. Accès aux propriétés majeures des contacts dans la GAL (Global Address List) Gestion des ambigüités et des listes de distribution Remarque: laccès à la GAL nécessite limplémentation de OWA et la configuration de permissions

20 Considérations sur lusage de S/MIME en mobilité Pré-requis: Messaging and Security Feature Pack for Windows Mobile 5.0 (AKU2) Exchange 2003 SP2 La signature et le chiffrement interopérables avec la version poste de travail Utilisable avec un lecteur de SC externe uniquement Le serveur Exchange décharge le client des opérations de Clefs Publiques

21 Démonstration Accès Politique sécurité Réinitialisation à distance

22 Gestion distante des terminaux et politiques de sécurité

23

24 Mécanisme de contrôle en casdaccident

25 Utilisation de certificats pour lauthentification Pas de nécessité de stocker des credentials (username/password) du réseau sur le terminal Acquisition du certificat via la connexion PC (socle) A la discrétion de lIT Authentification par certificat Authentification basique (SSL)

26 Remarques sur lusage des certificats dans ce contexte Lors de lexpiration du certificat, les utilisateurs doivent connecter physiquement (socle) le terminal sur le réseau Alerte 14 jours avant expiration Lusage des certificats dans limplémentation du MSFP entraine la nécessité dune connexion directe chiffrée entre le frontal et le terminal (pas de possibilité darrêter le protocole pour inspection au niveau des proxy/pare-feux !!!). Outil: CertAuthTool disponible en téléchargement x?FamilyId=82510E A8C3- F73F1F4733AC&displaylang=en x?FamilyId=82510E A8C3- F73F1F4733AC&displaylang=en x?FamilyId=82510E A8C3- F73F1F4733AC&displaylang=en

27 Réinitialisation à distance Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le stockage amovible) Géré par un outil Web (IIS 6 nécessaire) Peut être délégué au centre de support Historique (Transaction log) Microsoft Exchange ActiveSync Mobile Web Administration tool : D145-4DBF-A2CC-E0B4C &displaylang=en D145-4DBF-A2CC-E0B4C &displaylang=en D145-4DBF-A2CC-E0B4C &displaylang=en

28 Architecture classique ExFESMTP ExBEAD

29 Nouveaux besoins, nouvelles architectures Serveurs critiques au sein du périmètre de lentreprise pour une protection accrue Ajouter ISA Serveur à votre DMZ Ne remplacez rien, ajoutez !!! Elevez le niveau de sécurité par la publication de: Exchange RPC OWA sur HTTPS RPC sur HTTPS SMTP (filtrage du contenu) ExFESMTP ExBEAD ISAServer

30 Synthèse des moyens nécessaires… Exchange 2003 Service Pack 2 – Serveur frontal (FE) Direct Push Direct Push Sécurité contrôlée à distance Sécurité contrôlée à distance Accès GAL Accès GAL etc etc Windows Mobile 5.0 et le Messaging & Security Feature Pack

31 Conclusion (hors terminaux): Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet POP FAI SSL 128 bits Analyse des flux Segmentation Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé

32 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Exchange 2003 SP2 : nouveautés en matière de mobilité Thierry Picq Managing Consultant Microsoft Services France."

Présentations similaires


Annonces Google