Exchange Server 2003 : Exchange Server 2003 : Opportunités et menaces, Opportunités et menaces, des réponses en matière des réponses en matière

de sécuritéde sécurité

Exchange Server 2003 : Exchange Server 2003 : Opportunités et menaces, Opportunités et menaces, des réponses en matière des réponses en matière

de sécuritéde sécurité

Thierry PicqThierry PicqArchitecte SécuritéArchitecte SécuritéMicrosoft FranceMicrosoft France

AgendaAgenda

Evolution des besoinsEvolution des besoinsJe veux / je ne veux pas…Je veux / je ne veux pas…

Évolution des menacesÉvolution des menacesAnalyse des solutions sous l’angle de la Analyse des solutions sous l’angle de la sécurité, de la complexité et de l’ergonomiesécurité, de la complexité et de l’ergonomieLe cordonnier est-il correctement chaussé?Le cordonnier est-il correctement chaussé?

Cette session Cette session ne traite pasne traite pas::Les processus opérationnels (sauvegardes, etc).Les processus opérationnels (sauvegardes, etc).L’architecture et l’infrastructure d’un système L’architecture et l’infrastructure d’un système Exchange 2003Exchange 2003La configuration d’Exchange 2003 pour la La configuration d’Exchange 2003 pour la mobilitémobilité

Je veux Je veux (D.G.)(D.G.)……

Accéder à la messagerie depuis mon (nouveau) téléphone

Comment ? Comment ? Avec quel niveau Avec quel niveau

de Sécurité ?de Sécurité ?

Etre en permanence informé de mes nouveaux mailsSyndrome « Frigidaire »

Que mes forces commerciales soient en permanence connectées

Tout sur tous les terminaux que j’utilise

Que cela soit simple

Que mes collaborateurs puissent accéder au S.I. en dehors de l’entreprise

Que cela soit réalisé le plus vite possible…

Mais je ne veux pas Mais je ne veux pas (D.S.I.)(D.S.I.)……

Dupliquer le système d’information: j’utilise Exchange 2003

Comment ? Comment ? Avec quel niveau Avec quel niveau

de Sécurité ?de Sécurité ?

Perdre le contrôle sur les éléments du S.I.(contrôle de bout en bout)

Multiplier les pointsd’accès à l’entreprise

Perdre la maîtrise des coûts Que cela soit complexe

Affaiblir la sécurité(contrôle de bout en bout)

Multiplier les exceptionsdans mon pare-feu(au fait combien en ai-je ?)

Faire des mauvaischoix pour l’avenir(standards)

Scénarios et risquesScénarios et risques

Accès à Exchange Accès à Exchange via Internetvia Internet

ExtranetExtranetMobilitéMobilitéTélétravailTélétravailKiosques et accès à Kiosques et accès à domiciledomicileInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseNouvelle opportunités business, réactivité, …Nouvelle opportunités business, réactivité, …

Comprendre les risquesComprendre les risquesErreurs de déploiement/configurationErreurs de déploiement/configurationContenu des messagesContenu des messages

Envoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis l’Intranet et exploités depuis InternetEnvoyés depuis l’Intranet et exploités depuis Internet

Couche 8 : l’erreur/le comportement humain Couche 8 : l’erreur/le comportement humain (utilisateurs)(utilisateurs)Et les menaces: Spam, hameçonnage Et les menaces: Spam, hameçonnage (phising)(phising), vols , vols d’identités, virus, spyware, intelligence économique, etc. d’identités, virus, spyware, intelligence économique, etc.

TerminauxTerminaux(utilisateurs)(utilisateurs)EntrepriseEntreprise

OpérateursOpérateursmobiles ou mobiles ou

fixesfixes

WLANWLANWANWAN

PANPAN

InfraInfraredredLANLAN

WANWAN

ApplicationsApplications

WLANWLAN

La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft

Isolation et Isolation et RésilienceRésilience

Authentification,Authentification,Autorisation,Autorisation,

Contrôle Contrôle d’accèsd’accès

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Les 5 axes de la sécuritéLes 5 axes de la sécurité

Mise à jourMise à jourAvancéeAvancée

Excellence Excellence dede

l’engineeringl’engineering

Connecté ou non connecté…Connecté ou non connecté…

Deux grands principes entrainant des usages Deux grands principes entrainant des usages différents:différents:

Connecté: pas d’accès à l’information si la Connecté: pas d’accès à l’information si la connexion n’existe pas connexion n’existe pas (pas de synchronisation locale)

ex:ex: Modèle Web: Outlook Web Access, accès Wap, Outlook Mobile Access

Non connecté, ou plutôt connecté épisodiquement: principe entrainant une synchronisation (régulière et/ou à la demande) pour un accès local à l’information indépendamment de l’état du réseau

ex: Outlook 32 bits, Windows Mobile (Activesync serveur)

Il faut néanmoins un point d’accès…

Architecture typeArchitecture type

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

Internet sans fil(802.11x - hotspots)

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”

InternetHaut débit(VPN, …)

Internet

Accès Distants (RAS)

POP FAI

Les choix de connectivitéLes choix de connectivité

AlternativesAlternativesRAS, VPNsRAS, VPNsInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseOWAOWARPC - natif vs. sur HTTPRPC - natif vs. sur HTTP

Traditionnel vs. innovantTraditionnel vs. innovantTrouver des réponses aux problèmes d’hier ou Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ?d’aujourd’hui ?

La question peut sembler stupide, mail il existe La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus…beaucoup d’à priori et de préconçus…

Le Design idéal ???Le Design idéal ???““To DMZ or not to DMZ…that is the question”To DMZ or not to DMZ…that is the question”

VPN : choix classiqueVPN : choix classique(extension logique du périmètre de l’entreprise)(extension logique du périmètre de l’entreprise)

Client VPN dans toutes les versions de WindowsClient VPN dans toutes les versions de WindowsPPTPPPTPL2TP+IPsecL2TP+IPsec

Bien connu ainsi que les algorithmesBien connu ainsi que les algorithmes

La technologie est bien compriseLa technologie est bien compriseMais nécessite malgré tout une organisation interne Mais nécessite malgré tout une organisation interne maîtrisant le sujet.maîtrisant le sujet.Peut impliquer une charge importante parfois Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structuresincompatible avec petites ou moyennes structures

Quarantaine indispensable afin de vérifier “l’état Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail de santé” du poste de travail (cf. session de 11h ce matin)(cf. session de 11h ce matin)……Parfois trop « lourd » pour une solution mobileParfois trop « lourd » pour une solution mobile

Exchange Server 2003Exchange Server 2003Les consommateursLes consommateurs

BALBAL(Back End)(Back End)

Pare-feu/périmètre de Pare-feu/périmètre de l’entreprise (DMZ)l’entreprise (DMZ)

RPC/HTTP &RPC/HTTP &Outlook Web AccessOutlook Web Access

POP3, IMAPPOP3, IMAP

ExchangeExchangeActiveSyncActiveSync

Outlook Mobile AccessOutlook Mobile Access

Clients Clients ActiveSyncActiveSync(PPC, SP)(PPC, SP)

Navigateurs Navigateurs téléphonestéléphones& PDA& PDA

PC Portables / FixesPC Portables / Fixes

Front EndFront End

Flux entrantsFlux entrants SMTP: 25SMTP: 25

POP3 : 110POP3 : 110

SSL : 443SSL : 443

RPC : 135RPC : 135Demain ?Demain ?

??

Le mode connecté : OWA et OMALe mode connecté : OWA et OMAExchange Server 2003Exchange Server 2003

Outlook Web AccessOutlook Web AccessCorrecteur orthographique, Règles, Correcteur orthographique, Règles, Tâches et toutes les fonctions Tâches et toutes les fonctions appréciables de Outlook 2003appréciables de Outlook 2003Performance accrue (plus de 50% vs Performance accrue (plus de 50% vs Exchange 2000 Serveur)Exchange 2000 Serveur)SécuritéSécurité

Authentification via formulaires, Authentification via formulaires, blocage des attachements, blocage blocage des attachements, blocage des des contenus externes, chiffrement et contenus externes, chiffrement et signature S/MIMEsignature S/MIME

Outlook Mobile AccessOutlook Mobile AccessOutlook Web Access pour les Outlook Web Access pour les terminaux mobilesterminaux mobilesAcceptant potentiellement tout type Acceptant potentiellement tout type de clientsde clients

Génère du WML, HTML, xHTML et Génère du WML, HTML, xHTML et cHTML correspondant aux différents cHTML correspondant aux différents terminauxterminaux.NET Framework .NET Framework DeviceDevice Updates Updates accroît le nombre de terminaux accroît le nombre de terminaux supportéssupportés

Architecture classiqueArchitecture classique

Positif: Positif: Performance PerformanceSéparation des protocoles Séparation des protocoles interne / externe interne / externe (message (message store)store)

Protection réseauProtection réseau

Négatif: Négatif: Sécurité SécuritéTunnel au travers des pare-Tunnel au travers des pare-feux: pas d’inspectionfeux: pas d’inspection

De nombreuses exceptions De nombreuses exceptions dans les pare-feux pour dans les pare-feux pour l’authentificationl’authentification

ExBEExBE ADAD

OWA / OMAOWA / OMA

Communications entre serveurs FE et BECommunications entre serveurs FE et BE

ProtocolProtocol PortPort DestinationDestination

HTTPHTTP 80 TCP80 TCP Serveurs Back-endServeurs Back-end

POP3POP3 110 TCP110 TCP Serveurs Back-endServeurs Back-end

IMAP4IMAP4 143 TCP143 TCP Serveurs Back-endServeurs Back-end

RPC-HTTPRPC-HTTP 6001 & 6004 TCP, 6002 (SP1)6001 & 6004 TCP, 6002 (SP1) Serveurs Back-endServeurs Back-end

KerberosKerberos 88 TCP & UDP88 TCP & UDP Global catalogsGlobal catalogs

LDAPLDAP 389 TCP & UDP, 3268 TCP389 TCP & UDP, 3268 TCP Global catalogsGlobal catalogs

RPCRPC 135 TCP, 1024+ 135 TCP, 1024+ port fxe port fxe Global catalogsGlobal catalogs

DNSDNS 53 TCP & UDP53 TCP & UDP Serveurs DNSServeurs DNS

Le concept de la “défense en profondeur” nécessite une inspection du trafic OWA au

niveau du pare-feu

Le concept de la “défense en profondeur” nécessite une inspection du trafic OWA au

niveau du pare-feu

Protection de OWA avec ISA Serveur Protection de OWA avec ISA Serveur 20042004 Réduction de la surface exposée Réduction de la surface exposée (cf. session du 14 juin à (cf. session du 14 juin à 14h00)14h00)

Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu

traditionneltraditionnelOWAOWA

ClientClient

Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande

SSLSSLSSLSSL

SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle

du fait du chiffrement…du fait du chiffrement…

……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager

sans être détectés…sans être détectés…

……et d’infecter les serveurs internes !et d’infecter les serveurs internes !

ISA Server 2004ISA Server 2004

Délégation d’authentification BasicDélégation d’authentification BasicISA Server pré authentifie les ISA Server pré authentifie les

utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise

que le trafic valide à passerque le trafic valide à passer

URLScanURLScan

SSL ou SSL ou HTTPHTTP

SSL ou SSL ou HTTPHTTP

SSLSSLSSLSSL

ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter

le trafic SSLle trafic SSL

Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.

Analyse URL Analyse URL par ISA Serverpar ISA Server

L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en

cas d’utilisation de SSLcas d’utilisation de SSL

InternetInternet

Besoins évolués et évolution des Besoins évolués et évolution des besoinsbesoins

Certains utilisateurs Certains utilisateurs doiventdoivent disposer disposer d’Outlook complet / riched’Outlook complet / riche

PluginsPlugins tiers tiersSynchronisation de la BAL et accès aux dossiers Synchronisation de la BAL et accès aux dossiers locauxlocauxRègles clientesRègles clientesCarnet d’adresses completCarnet d’adresses completConfort d’utilisation et productivitéConfort d’utilisation et productivité

Les accès VPNs sont trop coûteux et Les accès VPNs sont trop coûteux et complexes si la messagerie en est l’unique complexes si la messagerie en est l’unique justification.justification.Certaines contraintes techniques sont Certaines contraintes techniques sont incompatibles avec un usage mobile incompatibles avec un usage mobile (téléphone)(téléphone)« L’expérience utilisateur » n’est souvent « L’expérience utilisateur » n’est souvent pas des plus ergonomiques…pas des plus ergonomiques…

Des RPC sur Internet ?Des RPC sur Internet ?

FonctionnementFonctionnement des RPC avec des RPC avec ExchangeExchange

ServiceService UUIDUUID PortPort

ExchangeExchangeInfo StoreInfo Store

{0E4A0156-DD5D-11D2-8C2F-{0E4A0156-DD5D-11D2-8C2F-00CD4FB6BCDE}00CD4FB6BCDE}

44044022

Active Active DirectoryDirectory

{E35114235-4B06-11D1-AB04-{E35114235-4B06-11D1-AB04-00C04C2DCD2}00C04C2DCD2}

35435444

PerformancPerformance Monitore Monitor

{A00C021C-2BE2-11D2-B678-{A00C021C-2BE2-11D2-B678-0000F87A8F8E}0000F87A8F8E}

92392333

RPC Server (Exchange 2000/2003)

RPC Client (Outlook)

TCP 135:

Port for {

0E4A…}Port 4402: D

ata

Le serveur RPC maintient une table de correspondances (Universally Unique Identifiers - UUID) et les ports de communication associés

1

Le client se connecte au serveur via le port TCP 135 et demande le port associé à un UUID

2

Le serveur répond avec l’information correspondante

3

Le client se reconnecte au serveur en utilisant le port indiqué.

4

Server: Port 4

402

Internet

Les RPC et les pare-feux classiquesLes RPC et les pare-feux classiques

Ouverture du port 135 Ouverture du port 135 pour le trafic entrantpour le trafic entrantOuverture de la Ouverture de la totalité des ports totalité des ports susceptibles d’être susceptibles d’être utilisés en entréeutilisés en entrée

RPC Server (Exchange 2000)

RPC Client (Outlook)

TCP 135:

Port for {

0E4A… ?Port 4402: D

ata

Server: Port 4

402

La sécurité ne peut être La sécurité ne peut être assurée dans ces assurée dans ces

conditionsconditions

La sécurité ne peut être La sécurité ne peut être assurée dans ces assurée dans ces

conditionsconditions

Internet

Les RPC d’Les RPC d’Exchange et ISA Serveur Exchange et ISA Serveur 2004 2004 (cf. session du 14 juin à 14h00)(cf. session du 14 juin à 14h00)

RPC Server (Exchange 2000)

Outlook

TCP 135:

Port for {

0E4A… ?Port 4402: D

ata

Server: Port 4

402

Internet

Connexion initiale:Connexion initiale: Seul le trafic RPC valide est acceptéSeul le trafic RPC valide est accepté

Rejette les requêtes non ExchangeRejette les requêtes non Exchange

Connexion suivanteConnexion suivante Seules les connexions Seules les connexions vers des ports utilisés vers des ports utilisés par Exchange sont par Exchange sont autoriséesautorisées

ChiffrementChiffrement

Pb potentiel vis à vis de Pb potentiel vis à vis de l’infrastructure Internetl’infrastructure Internet

Pb potentiel vis à vis de Pb potentiel vis à vis de l’infrastructure Internetl’infrastructure Internet

RPC/HTTP encapsule le trafic RPC dans HTTP RPC/HTTP encapsule le trafic RPC dans HTTP (https bien sûr…)(https bien sûr…)

La session RPC est établie après l’authentification La session RPC est établie après l’authentification (dans HTTPS …)(dans HTTPS …)

Les serveur Web interne (RPC proxy) extrait le trafic Les serveur Web interne (RPC proxy) extrait le trafic RPC de HTTPRPC de HTTP

Avantage: la majorité des pare-feux laisse passer Avantage: la majorité des pare-feux laisse passer HTTPHTTP

Outlook 2003 est suffisamment « intelligent » pour Outlook 2003 est suffisamment « intelligent » pour basculer de HTTP à TCP et inversement: expérience basculer de HTTP à TCP et inversement: expérience utilisateur uniforme !utilisateur uniforme !

Problème: Les pare-feux traditionnels exposent Problème: Les pare-feux traditionnels exposent le Proxy RPC aux attaques Weble Proxy RPC aux attaques Web

Exchange 2003 : Proxy RPCExchange 2003 : Proxy RPC

RPC Traffic

Web Server Attacks

InternetHTTP Traffic

Exchange Client Access

Services

RPC sur HTTP avec ISA Serveur 2004RPC sur HTTP avec ISA Serveur 2004

ISA Serveur termine le tunnel SSLISA Serveur termine le tunnel SSLInspecte le trafic HTTP afin de garantir la Inspecte le trafic HTTP afin de garantir la conformité des protocolesconformité des protocolesN’accepte que des demandes vers : N’accepte que des demandes vers : http://.../rpc/... le reste est rejetéhttp://.../rpc/... le reste est rejeté

Pas de connexion directe depuis Internet Pas de connexion directe depuis Internet vers le serveur Exchangevers le serveur Exchange

Protection au niveau de la couche Protection au niveau de la couche Application pour le flux HTTP.Application pour le flux HTTP.

RPC Traffic

Web Server Attacks

Internet Exchange Client Access

Services

Configuration & Administration simplifiéesConfiguration & Administration simplifiées

L’assistant de publication de messagerie facilite la configuration et limite les

erreurs potentielles pouvant entrainer des failles de sécurité

L’assistant de publication de messagerie facilite la configuration et limite les

erreurs potentielles pouvant entrainer des failles de sécurité

Exchange ActiveSync (EAS)Exchange ActiveSync (EAS)

Synchronisation des E-mail, Synchronisation des E-mail, agenda, et contacts agenda, et contacts (plus avec (plus avec E2K3SP2 et WM5.0)E2K3SP2 et WM5.0)

Windows MobileWindows Mobile™™, PalmOne, , PalmOne, Symbian, Nokia, DataViz, etc.Symbian, Nokia, DataViz, etc.Architecture identique à Architecture identique à OWA/RPC-HTTPOWA/RPC-HTTP

Perimeter Network (DMZ)Perimeter Network (DMZ)

Windows 2003 Windows 2003 or 2000 ADor 2000 AD

Ex2003 Ex2003 Front-EndFront-End

Ex2003 Back-End Ex2003 Back-End ServersServers

ISA or ISA or 33rdrd party party FirewallFirewall

SSLSSL SSLSSL SSLSSL

ISAISA

ISA or ISA or 33rdrd party party FirewallFirewall

IPSec (Data)

192.168.1.251 IPSec (BAL pour user1?)

Quel BE ?

Authorisation OK?192.168.1.201

IP pour un DC du domaine contoso?

contoso\user1, p@ssw0rd

/microsoft-server-activesync/00101001

SSL valide

192.168.1.101Règle de publication: IP pour mail.contoso.com?

IP de mail.contoso.com?

Processus de Processus de synchronisationsynchronisationLe client ActiveSync est configuré pour utiliser mail.contoso.com

DNS externe DNS interne ExchangeFrontEnd1

Domain ControllerExchangeBackend1

ISA Serveur

131.107.76.146SSL avec 131.107.76.146

SSL valide/microsoft-server-activesync/00101001

SSL avec 192.168.1.101

Authentification Basic?

contoso\user1, p@ssw0rd

Oui

Backend1IP pour Backend1?

SSL (Data)SSL (Data)

Authentification Basic?

Architecture classiqueArchitecture classique

ExFEExFE SMTPSMTP

ExBEExBE ADAD

Nouveaux besoins, nouvelles Nouveaux besoins, nouvelles architecturesarchitectures

Serveurs critiques au sein Serveurs critiques au sein du périmètre de du périmètre de l’entreprise pour une l’entreprise pour une protection accrueprotection accrue

Ajouter ISA Serveur à Ajouter ISA Serveur à votre DMZvotre DMZ

Ne remplacez rien, Ne remplacez rien, ajoutezajoutez !!! !!!

Elevez le niveau de Elevez le niveau de sécurité par la sécurité par la publication de:publication de:

Exchange RPCExchange RPC

OWA sur HTTPSOWA sur HTTPS

RPC sur HTTPSRPC sur HTTPS

SMTP (filtrage du contenu)SMTP (filtrage du contenu)

ExFEExFE SMTPSMTP

ExBEExBE ADAD

ISAISAServerServer

Conclusion provisoire:Conclusion provisoire:

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

Internet sans fil(802.11x - hotspots)

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”

InternetHaut débit(VPN, …)

Internet

POP FAISSL 128 bits

Analyse des flux

Segmentation

Je maîtrise et sécurise les communications Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de bout en bout en maintenant un niveau de sécurité élévéde sécurité élévé

Les Opérateurs Télécoms: simples fournisseurs Les Opérateurs Télécoms: simples fournisseurs d’accès ?d’accès ?

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

APN et points d’accès dédiés / LS

/ VPN – IPsec…

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”

InternetHaut débit(VPN, …)

Internet

Accès Distants (RAS)

POP FAI

Contributeurs aux solutions de sécurité et Contributeurs aux solutions de sécurité et de qualité de service…de qualité de service…

Les voies de communications Les voies de communications et les points d’accès sont et les points d’accès sont contrôlés mais:contrôlés mais:

Il faut sécuriser les terminauxIl faut sécuriser les terminaux

Il faut gérer les données sur ces Il faut gérer les données sur ces terminauxterminaux

Il est nécessaire d’administrer ces Il est nécessaire d’administrer ces terminauxterminaux

TerminauxTerminaux

Risques de sécurité : Risques de sécurité : Les terminaux mobiles doivent être considérés comme des Les terminaux mobiles doivent être considérés comme des ordinateurs…ordinateurs…

EntrepriseEntreprise OpérateursOpérateursMobiles et FixesMobiles et Fixes

WLANWLAN

WANWAN

PANPAN

InfraredInfrared

LANLAN

WANWAN

ApplicationsApplications

Disposez-vous d’une politique de sécurité pour les terminaux Disposez-vous d’une politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…?mobiles ? Les ordinateurs portables, mais aussi les autres…?

Sécurité au niveau du Sécurité au niveau du terminalterminal PérimètrePérimètre

Protection des donnéesProtection des données

Sécurité du réseau (PAN) Sécurité du réseau (PAN)

Sécurité matérielleSécurité matérielle

Sachant que sur un terminal mobile, Sachant que sur un terminal mobile, l’ergonomie est l’ergonomie est fondamentalefondamentale::

Usage avec seule main, en mouvement, clavier limitéUsage avec seule main, en mouvement, clavier limité

Pas de Smartcard, pas de clefs USB, la biométrie peu Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc.répandue, etc.

Et que Et que Les utilisateurs vont naturellement rejeter ou Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce qu’ils contourner des mesures de sécurité limitant ce qu’ils souhaitent faire.souhaitent faire.

……ou si ces mesures représentent «trop de travail »ou si ces mesures représentent «trop de travail »

Ne jamais sous estimer la « créativité » des Ne jamais sous estimer la « créativité » des utilisateurs…utilisateurs…

Sécurité du périmètreSécurité du périmètre

Mots de passe:Mots de passe:PocketPC: PocketPC: 4 digit pin, mots de passe forts4 digit pin, mots de passe fortsSmartphone: Smartphone: > 4 digit pin> 4 digit pin

Mots de passe stockés dans une partie sécurisée Mots de passe stockés dans une partie sécurisée (privilégiée) de la (privilégiée) de la RegistryRegistryAccroissement exponentiel des délais en cas de Accroissement exponentiel des délais en cas de mauvais mot de passe mauvais mot de passe Partenariat Activesync protégé par mot de passePartenariat Activesync protégé par mot de passe

Protocoles:Protocoles:PAP, CHAP, MS-CHAP, TLS, NTLM support PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 SSL 3.0

Exchange ActiveSync & IE MobileExchange ActiveSync & IE Mobile

BiométrieBiométriePotentiellement très pratiquePotentiellement très pratiqueIdentifiant ou authentifiant?Identifiant ou authentifiant?

HP iPAQ série 5400 avec lecteur HP iPAQ série 5400 avec lecteur d’empreintes digitalesd’empreintes digitales

Lecteurs de cartes à puces Lecteurs de cartes à puces ApplicationsApplicationsAccès réseauAccès réseauSolutions tiercesSolutions tierces Pointsec SoftwarePointsec Software

Protection des donnéesProtection des données

Plus exposé qu’un PC traditionnelPlus exposé qu’un PC traditionnel

Intégration des services de crypto pour les Intégration des services de crypto pour les applicationsapplications

Certification FIPS 140-2 (WM 5.0)Certification FIPS 140-2 (WM 5.0)

S/MIME (WM 5.0)S/MIME (WM 5.0)

128-bit Cryptographic services128-bit Cryptographic services: Crypto API v2: Crypto API v2

Signature de code (limite l’installation : SP)Signature de code (limite l’installation : SP)

API Anti-virus: ces virus peuvent exister et se propager (cf. API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir Cabir (fin 2004)(fin 2004) et Commwarrior.A et Commwarrior.A (mars 2005)(mars 2005) pour Symbian se pour Symbian se propageant via une combinaison de Bluetooth et MMS)propageant via une combinaison de Bluetooth et MMS)A ce jour nous ne connaissons pas de virus pouvant se A ce jour nous ne connaissons pas de virus pouvant se propager d’une plateforme PC vers un PDA/Smarphone.propager d’une plateforme PC vers un PDA/Smarphone.

SQL-CE fourni un chiffrement 128-bits (PPC SQL-CE fourni un chiffrement 128-bits (PPC uniquement)uniquement)

Nombreux outils tiers pour chiffrer les données:Nombreux outils tiers pour chiffrer les données:Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 Bluefire Security Technologies; Check Point VPN-1 SecureClient.SecureClient.

Sécurité réseauSécurité réseauClient VPN intégréClient VPN intégré

PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat)PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat)IPSEC: le mode tunnel nécessite un client tiersIPSEC: le mode tunnel nécessite un client tiers

WirelessWirelessWEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK)

Secure Browsing: HTTP (SSL), WAP (WTLS), Secure Browsing: HTTP (SSL), WAP (WTLS), ZonesZones de de SécuritéSécuritéCertification FIPS 140-2Certification FIPS 140-2OTA device management security: OTA device management security: OMA DM OMA DM provision provision settings & certssettings & certsWindows CE 5.0 : Stockage persistantWindows CE 5.0 : Stockage persistantOffres tierces:Offres tierces:

VPN VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPNCheckpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement)(OEM uniquement)

Authentification à deux facteursAuthentification à deux facteursRSA SecureIDRSA SecureID (supporte la synchronisation Exchange EAS) (supporte la synchronisation Exchange EAS)

Sécurité du PAN : BluetoothSécurité du PAN : Bluetooth““Bluesnarfing”: Vol de données personnelles via Bluesnarfing”: Vol de données personnelles via une connexion Bluetooth.une connexion Bluetooth.VirusVirusRecommandation de Microsoft aux OEM de Recommandation de Microsoft aux OEM de désactiver BT par défaut.désactiver BT par défaut.

Windows CEWindows CE

Windows XP Windows XP EmbeddedEmbedded

Windows Windows MobileMobile

Sécurité: gestion des terminauxSécurité: gestion des terminaux System Management ServerSystem Management Server 2003 feature pack2003 feature pack

XP EmbeddedAdvanced Client

Device Management Feature Pack

CE Device Management Client

Inventaire matériel & Inventaire matériel & logiciellogiciel

Collecte de fichiersCollecte de fichiers

Distribution logicielDistribution logiciel

ScriptsScripts

Gestion des configurations (mots de Gestion des configurations (mots de passe, etc.)passe, etc.)

Distribution automatique via le PC Distribution automatique via le PC (sous SMS)(sous SMS)

SécuritéSécurité::

Credant Mobile Guardian-Credant Mobile Guardian- Enterprise Edition Enterprise EditionIntégration AD et groupesIntégration AD et groupesGestion des mots de passe, synchronisation PC, chiffrement, Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accèsFirewall, autorisations et accèsLoggingLogging

Bluefire SecurityBluefire SecurityLoggingLogging Firewall et politiques de mots de passeFirewall et politiques de mots de passe

GestionGestion de bout en bout de bout en boutXcellenet Afaria, Intellisync, Extended Systems, JP MobileXcellenet Afaria, Intellisync, Extended Systems, JP Mobile

Exchange 2003 SP2Exchange 2003 SP2SécuritéSécurité

Support S/MIME, Support S/MIME, CertificationCertification FIPSFIPSCentralisation de la sécurité des terminauxCentralisation de la sécurité des terminaux

Garantie d’application des politiques de sécurité: PIN code (complexité, Garantie d’application des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suiviessynchroniser si les politiques ne sont pas suiviesPossibilité de forcer une mise à jour régulière des politiques de sécurité Possibilité de forcer une mise à jour régulière des politiques de sécurité ““Formatage” à distanceFormatage” à distanceIntégration des certificats x509Intégration des certificats x509

Fonctionnel Fonctionnel Direct Push TechnologyDirect Push Technology: AUTD sans SMS, indépendant du média de connexion, : AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc…recherche dans la GAL, Synchronisation des Taches, etc…

Sécurité: gestion des terminauxSécurité: gestion des terminaux

Seconde Conclusion Seconde Conclusion provisoire:provisoire:

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

Internet sans fil(802.11x - hotspots)

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”

InternetHaut débit(VPN, …)

Internet

POP FAISSL 128 bits

Analyse des flux

Segmentation

Je maîtrise et sécurise les communications de Je maîtrise et sécurise les communications de bout en boutbout en bout ainsi que les terminaux ainsi que les terminaux en en maintenant un niveau de sécurité élevémaintenant un niveau de sécurité élevé

Le cordonnier est-il bien Le cordonnier est-il bien chausséchaussé

Les meilleurs pratiques de Les meilleurs pratiques de l’informatique interne de Microsoft…l’informatique interne de Microsoft…

Pluralité des accès à la Pluralité des accès à la messageriemessagerieUne stratégie d’entrepriseUne stratégie d’entreprise

Accès hétérogènesAccès hétérogènesOutlook Web AccessOutlook Web AccessOutlook 2003 via RPC/HTTPsOutlook 2003 via RPC/HTTPsWireless LAN (Wireless LAN (laptoplaptop, PPC, Tablet PC), PPC, Tablet PC)PPCpe/Smartphone (GPRS, …)PPCpe/Smartphone (GPRS, …)RAS/VPNRAS/VPN

UtilisationUtilisationOutlook Web AccessOutlook Web Access ~55,000 utilisateurs uniques ~55,000 utilisateurs uniquesOutlook Mobile Access ~2,500 utilisateurs uniquesOutlook Mobile Access ~2,500 utilisateurs uniquesExchange ActiveSync ~14,000 utilisateurs uniquesExchange ActiveSync ~14,000 utilisateurs uniquesOutlook RPC/HTTPsOutlook RPC/HTTPs ~23,000 utilisateurs uniques en ~23,000 utilisateurs uniques en croissance! croissance!~15,000 connexions HTTPs concurrentes par serveur ~15,000 connexions HTTPs concurrentes par serveur frontalfrontal

ISA Server

ISA Server

WLB

:IP1

WLB

:IP2

`

ExternalClients

SSL

SSL

SSL

SSL

`

Internal Clients

`

Internal Clients

Exchange Orgmicrosoft.comExchange FE

Server

Exchange FEServer Exchange BE

Servers

WLB

Exchange Orgdev.microsoft.com

Exchange FEServer

Exchange FEServer Exchange BE

Servers

WLB

Issuer: Publicly Trusted CACN: msg.microsoft.com

Issuer: Publicly Trusted CACN: msg.dev.microsoft.com

Issuer: Publicly Trusted CACN: msg.dev.microsoft.com

CN: msg.microsoft.com

CN: msg.microsoft.com

CN: msg.dev.microsoft.com

CN: msg.dev.microsoft.com

SSL

SSL

SSLIssuer: Publicly Trusted CA

CN: msg.microsoft.com

Pluralité des accès à la Pluralité des accès à la messageriemessagerieArchitectureArchitecture

Multiples organisations

Exchange

Infrastructure ISA: clients hétérogènes,

point d’accès homogène (unique)

ISA Server

ISA Server

WLB

:IP1

WLB

:IP2

`

ExternalClients

SSL

SSL

SSL

SSL

`

Internal Clients

`

Internal Clients

Exchange Orgmicrosoft.comExchange FE

Server

Exchange FEServer Exchange BE

Servers

WLB

Exchange Orgdev.microsoft.com

Exchange FEServer

Exchange FEServer Exchange BE

Servers

WLB

Issuer: Publicly Trusted CACN: msg.microsoft.com

Issuer: Publicly Trusted CACN: msg.dev.microsoft.com

Issuer: Publicly Trusted CACN: msg.dev.microsoft.com

CN: msg.microsoft.com

CN: msg.microsoft.com

CN: msg.dev.microsoft.com

CN: msg.dev.microsoft.com

SSL

SSL

SSLIssuer: Publicly Trusted CA

CN: msg.microsoft.com

Pluralité des accès à la Pluralité des accès à la messageriemessagerieArchitecture & sécuritéArchitecture & sécurité

Windows Integrated Auth obligatoire pour

les BEIPSec si nécessaire

Répartition de charge (NLB) – Une adresse IP vituelle

unique pour tous les services de messagerie

“externes”

SSL obligatoire pour les communications

ISA vers FE Authentification via formulaires HTML pour OWA

Compression=Active

ISA:Gestion tunnel SSLStateful inspection

(sessions) Filtrage Applicatif

Infrastructure frontale

redondanteInfrastructure ISA

redondante

SSL obligatoire pour toutes les

connexions clientes

Les utilisateurs mobiles internes

se connectent aux FE

Flux de messagerie InternetFlux de messagerie InternetTopologieTopologie

Répartition de charge et redondanceRépartition de charge et redondanceArchitecture multi-niveaux (couches)Architecture multi-niveaux (couches)Passerelles Exchange Server 2003 comme plates-formes anti-spam et Passerelles Exchange Server 2003 comme plates-formes anti-spam et antivirusantivirusDissociation des flux entrant et sortant (authentification, filtrage, Dissociation des flux entrant et sortant (authentification, filtrage, politiques différentes)politiques différentes)Administration et surveillance intégréesAdministration et surveillance intégréesVolumesVolumes::

~10 millions de mails/jour en provenance d’Internet ~10 millions de mails/jour en provenance d’Internet ~15 msgs/sec en entrée par passerelle (pointes à 50-100)~15 msgs/sec en entrée par passerelle (pointes à 50-100)85% du trafic est filtré/rejeté (spam, virus)85% du trafic est filtré/rejeté (spam, virus)~1 million de mails/jour légitimes venant d’Internet~1 million de mails/jour légitimes venant d’Internet~500,000-700,000 mails/jour émis vers Internet.~500,000-700,000 mails/jour émis vers Internet.

Exchange 2003 Gateways

Exchange 2003 Routing HUBs

Serveurs de BALs

Plate-forme pour IMF(anti-spam) et autres

filtrages

Plate-forme pour les antivirus et la gestion des

attachements

Antivirus et Anti-SpamAntivirus et Anti-SpamDéfense en profondeur: Défense en profondeur: couchescouches……

Gateway Server Transport

SCL≥Gateway Threshold?

Connection FilteringRBLs

Sender/Recipient Filtering

Exchange IMFOther Anti-spam

solutions

Filter Action

Yes

No

Gateway Server Transport

Attachment Stripping

Virus Scanning

Internet

Mailbox Server Store

Spam?

SCL Store Theshold

JunkMail Inbox

User Safe/BlockedSenders

Yes No

Client(Outlook 2003)

Desktop AntiVirus

Spam?

User Safe/Blocked Senders

Inbox JunkMail

Yes

Attachment Blocking

`

Exchange 2003 Gateways

Exchange 2003 Hubs

Mailbox Servers

Clients

SCLSCLSCL

SCL

~ 85% des emails entrants est filtré au niveau des passerelles~ 85% des emails entrants est filtré au niveau des passerelles

Conclusion :Conclusion :

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

Internet sans fil(802.11x - hotspots)

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”

InternetHaut débit(VPN, …)

Internet

POP FAISSL 128 bits

Analyse des flux clients& serveurs

Segmentation

Je peux capitaliser sur mes investissements pour Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en gagner en productivité tout en restant sécurisé et en maîtrisant les coûtsmaîtrisant les coûtsdans un environnement ouvert …dans un environnement ouvert …

RessourcesRessources

La messagerie “de confiance” chez Microsoft

http://www.microsoft.com/technet/itsolutions/msit/operations/trustmes.mspx« Hygiène » d’une messagerie: le cas de Microsofthttp://www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx

Processus de sauvegarde d’un système Exchange 2003 en Cluster http://www.microsoft.com/technet/itsolutions/msit/operations/exchbkuhttp://www.microsoft.com/technet/itsolutions/msit/operations/exchbkup.mspxp.mspx

L’informatique interne de Microsofthttp://www.microsoft.com/itshowcase/

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com