1 / 74

Bienvenue

Bienvenue. Sécurité de la plate-forme messagerie Microsoft Exchange Server 2003 et des accès distants depuis n’importe quel poste. Nom du présentateur. Partenaire Officiel. Logistique. Vos questions sont les bienvenues. N’hésitez pas ! . Pause en milieu de session.

abel
Download Presentation

Bienvenue

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bienvenue

  2. Sécurité de la plate-forme messagerie Microsoft Exchange Server 2003 et des accès distants depuis n’importe quel poste Nom du présentateur Partenaire Officiel

  3. Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Cédérom Merci d’éteindre vos téléphones Commodités

  4. Qu’est-ce que TechNet ? • Un site Web très orienté technique • http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable • http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France • http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des Webcasts accessibles à tout instant • http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement • http://www.microsoft.com/france/technet/presentation/cd/default.mspx

  5. Agenda • Introduction • Exchange Security Push : objectifs et impacts produits • Sécuriser l’infrastructure de communication • Sécuriser les échanges : signer/crypter • Lutter contre les Virus et le SPAM • Gestion des droits numériques

  6. Agenda • Introduction • Exchange Security Push : objectifs et impacts produits • Sécuriser l’infrastructure de communication • Sécuriser les échanges : signer/crypter • Lutter contre les Virus et le SPAM • Gestion des droits numériques

  7. Plate-forme travail collaboratif Microsoft COLLABORATION ASYNCHRONE COLLABORATION TEMPS-REEL COLLABORATION METIER SERVICES D’INFRASTRUCTURE Windows SharePointServices Windows MediaServices Windows RightsManagement Services

  8. Exchange Server 2003 Plate-forme de messagerie et travail collaboratif d’entreprise, fiable et facilement administrable. • Infrastructure de communication universelle pour les professionnels de l’information : • Outlook 2003 : RPC/HTTP, cache local, compression, • Outlook Web Access : règles serveur, S/MIME, Logoff, … • Mobilité : synchronisation PDA, Smartphone, OMA. Productivité • Attente vis-à-vis d’une infrastructure de communication : aussi fiable, et prédictible que l’eau, l’électricité : • Haute disponibilité : volume Shadow Copy, Recovery Storage Group, cluster 8-nœuds, • Sécurité : sécurisé par défaut, Anti-Spam. Service critique • Baisse ou stagnation des budgets informatiques. • Nécessité de réduction de la complexité : “faire plus avec moins” : • Productivité des IT Pro (nouveaux outils de déploiement, support de Microsoft Operations Manager), • Consolidation de serveurs et de sites. Simplicité opérationnelle

  9. Agenda • Introduction • Exchange Security Push : objectifs et impacts produits • Sécuriser l’infrastructure de communication • Sécuriser les échanges : signer/crypter • Lutter contre les virus et le SPAM • Gestion des droits numériques

  10. Exchange 2000 : • 12 vulnérabilités depuis novembre 2000. • 5 vulnérabilités depuis 2003. • Exchange 2003 : • 5 vulnérabilités. Initiative “Informatique de confiance”Exchange Security Push • Dans le passé : • Focus principal sur les déficiences fonctionnelles, pas les vulnérabilités. • « Logique Sécurité » = Kerberos, ACLs, PKI. • Exchange Security Push : • Prolonger les efforts des équipes Windows selon les objectifs communs d’une « informatique de confiance » : • Revue du rôle des composants, de leur surface d’attaque, • Revue de code et modélisation de scénarios. • Quels impacts sur la qualité du code d’Exchange Server 2003 ? http://www.microsoft.com/technet/security/current.aspx

  11. SD3 + C • Architecture sécurisée • Fonctionnalités sécurisées • Réduction des vulnérabilités du code Secure by DesignSécurisé Dès la conception • Réduction de la surface d’attaque • Fonctionnalités non utilisées désactivées par défaut • Principe du moindre privilège Secure by DefaultSécurisé par Défaut • Protéger, Détecter, Défendre, Récupérer, Gérer • Processus :Guides d’architecture, how to’s • Personnes: Formation • Amélioration de la qualité des correctifs. Cohérence dans les moyens d’installation. Secure in DeploymentSécurisé une fois Déployé • Documentations sécurisation • Communauté sécurité (relations avec l’industrie, divulgation responsable) • Microsoft Security Response Center Communications

  12. Exchange Sécurité« Secure by design » • « Exchange Security Push » • S’aligne et reprend les initiatives du « Windows Security Push » • Filtrage des connections IP • Gestion des connections acceptées ou refusées • Support des fournisseurs de “black hole list” • Filtrage des expéditeurs • Filtrage de messages basé sur l’expéditeur ou le domaine SMTP • Filtrage de messages SANS expéditeur • Filtrage des destinataires • Limitation des utilisateurs ou DL pouvant recevoir des messages • Anti-spoofing • Filtrage des expéditeurs • Pas de résolution de l’expéditeur pour les connections non authentifiés • Intégration API de Recherche/Éradication de virus

  13. Exchange Sécurité« Secure by default » • Limitation des services activés par défaut • Limite la surface d’attaque, • « Windows Security Push », • SMTP, POP3, IMAP4, NNTP. • Impossible pour un NON administrateur de se « logger » sur le serveur. • Limitation de la taille par défaut des messages • 10Mo en émission/réception.

  14. Exchange Sécurité« Secure in deployment » • Documentations à l’installation. • Limitation de l’importance des droits à avoir sur un domaine pour installer/configurer un serveur. • “Microsoft Baseline Security Analyzer”. • “IIS Lockdown Wizard”. http://www.microsoft.com/exchange/security

  15. Impacts de l’approche SD3 + C Secure by Design Secure by Default • Initiatives anti-Spam, antivirus : • VAPI 2.5, fonctions anti-spam clients et serveur, • IMF. • Kerberos : • Connexion Outlook RPC sur HTTP, • Authentification client par défaut, • Authentification cross forêt (Windows Server 2003). • Outlook Web Access sécurisé : • Support S/MIME, filtrage des “web beacons”, referrals, blocage d’attachements, authentification par cookies, • Support d’IPSec pour les configurations frontales/dorsales. • Intégration optionnelle de fonctions Information Rights Management. • Synergie avec ISA Server 2000 Feature Pack 1 : • Filtrage SMTP selon plusieurs critères : • Expéditeur, domaine, mots clés, extension de l’attachement, nom, taille, commande SMTP. • Protection étendue d’Outlook Web Access. • Synergie avec ISA Server 2004. Secure in Deployment Communications

  16. Agenda • Introduction • Exchange Security Push : objectifs et impacts produits • Sécuriser l’infrastructure de communication • Sécuriser les échanges : signer/crypter • Lutter contre les Virus et le SPAM • Gestion des droits numériques

  17. Sécuriser l’infrastructure • Sécurisation des com-munications inter serveurs : • IPSec et Kerberos entre les FE et BE, y compris les clusters. • Sécuriser l’accès à Internet d’une infrastructure Exchange : • Synergie avec ISA Server 2000 Feature Pack 1 ou ISA Server 2004, • Introduction d’un smarthost SMTP dans la DMZ ou le réseau interne (server bridgehead) : • Permet de ne pas généraliser la connexion à Internet à tous les serveurs. • Authentification Cross-forêt : • Pour lutter contre les usurpations d’identités SMTP. • Bonnes pratiques : • 3 pointeurs à la fin de cette présentation.

  18. Design d’architecture Exchange typique • Architecture multi tiers d’Exchange Server 2003 : • Serveur frontal (ExFE) : protocoles web. • Serveur dorsal (ExBE) : stockage de boîtes aux lettres et dossiers publics. ExFE SMTP ExBE AD

  19. ExFE SMTP ISA Server ExBE AD Nouvelles possibilités de topologies sécurisées • Déplacer vos serveurs critiques en interne pour une meilleure protection. • Ajouter ISA Server à votre DMZ actuelle. • Augmenter la sécurité en publiant : • Exchange RPC, • OWA sur HTTPS, • RPC sur HTTPS, • SMTP (filtrage de contenu).

  20. Il est fortement recommandé d’utiliser ISA Server 2004 pour tout déploiement Exchange 2003 Pare-feu : quels sont les problèmes adressés par ISA Server 2004 ? • De nombreux pare-feux déployés aujourd’hui… • Se concentrent sur le filtrage et l’inspection de paquets en fonction du contexte (SPI) - couches OSI 3 et 4. • De nombreuses attaques rencontrées aujourd’hui… • Sont au niveau applicatif et déjouent ces mesures sans problème - couche OSI 7. • Les ports et protocoles ne peuvent plus être utilisés comme garants des intentions : • Certains ports sont «sur utilisés» et peuvent être facilement exploités pour contourner le filtrage. • Port TCP 80 hier-Web (HTTP) uniquement. • Port TCP 80 aujourd’hui-Browsing Web, Web mail, Web Services XML (SOAP), HTTP-Tunnel … Le filtrage de paquets et le SPI ne sont pas suffisants pour assurer une protection contre les attaques d’aujourd’hui !

  21. Assistant de publication de serveur de messagerie Configuration simplifiée via les assistants

  22. 4402/tcp 135/tcp RPC Concepts 1. Le client se connecte au portmapper sur le serveur (port tcp 135). 2. Le client demande quel port est associé à l’UUID ? 4. Le portmapper répond avec le port et met fin à la connexion. 5. Le client accède à l’application via le port reçu. {12341234-1111…} 4402 Le client connaît l’UUID du service qu’il souhaite utiliser. 3. Le serveur fait correspondre l’UUID avec le port courant… Les services RPC obtiennent des ports aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table.

  23. Client Outlook Serveur Exchange ISA Server Filtre applicatif RPCAccès distant Outlook sans mise en place de VPN • Seul le port TCP 135 (portmapper) est ouvert : • Les ports >1024 sont ouverts/fermés dynamiquement pour les clients Outlook en fonction des besoins. • Inspection du trafic vers le portmapper au niveau applicatif. • Seuls les UUID définis sont autorisés à l’exclusion de tout autre.

  24. Filtre applicatif RPCProtection contre les attaques Oui ! • Reconnaissance ? • NETSTAT ne montre que 135/tcp. • RPCDump ne fonctionne pas. • Déni de service contre le portmapper ? • Les attaques connues échouent. • Exchange est protégé des attaques. • Attaques des services d’Exchange ? • L’obtention d’informations n’est plus possible. • Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées. Oui ! Oui !

  25. Connexion initiale : Bloque les requêtes non destinées à Exchange. Autres connexions : Connexion au port Exchange. Force le cryptage. ISA Server 2004 sécurise l’accès e-mail via Outlook Comment ISA Server 2004 protège le trafic RPC / HTTP ? (1/2) RPC Server (Exchange) Port 4402 : Data Server : Port 4402 TCP 135 :Port for {0E4A… ? Internet RPC Client (Outlook)

  26. Comment ISA Server 2004 protège le trafic RPC / HTTP ? (2/2) • ISA Server 2004 au bout du tunnel SSL : • Inspection du trafic HTTP. • Supprime les requêtes hors http://.../rpc/... • Pas de connexion directe vers Exchange : • Utilise le filtre applicatif HTTP. RPC Traffic Internet Web Server Attacks

  27. Agenda • Introduction • Exchange Security Push : objectifs et impacts produits • Sécuriser l’infrastructure de communication • Sécuriser les échanges : signer/crypter • Lutter contre les Virus et le SPAM • Gestion des droits numériques

  28. Introduction • Signer/crypter : quels sont les services offerts ? • Signature = authentification, non répudiation, intégrité, • Cryptage = confidentialité et intégrité. • Composants d’un système de sécurité de message Exchange Server 2003 : • Exchange Server 2003, • Clients de messagerie électronique, • Infrastructure de clés publiques. • Un seul document pour tout savoir sur le sujet : • « Guide de sécurité des messages Exchange Server 2003 ».

  29. Infrastructure de clés publiques • 2 possibilités : • Toute PKI pouvant prendre en charge S/MIME v3, • PKI de la plate-forme Windows Server 2003 : • Bénéfice de l’intégration à Active Directory. • Grâce à Windows Server 2003, suppression du composant KMS d’Exchange : • La récupération et l’archivage des clés sont maintenant pris en charge par l’autorité de certification de Windows Server 2003.

  30. Prise en charge des clients de messagerie par Exchange Server 2003 • Clients MAPI Microsoft Outlook® 2000 SR-1 et versions ultérieures : • Via l’apport du support des certificats X509 v3. • Clients POP3 et IMAP4, supportant S/MIME v2 ou v3 : • Support de S/MIME v3 complet depuis Outlook Express 5.5 et Outlook 2000 SR-1. • Clients Outlook Web Access : • Utilisation du contrôle S/MIME : IE 6.0 minimum. • Quid des clients Outlook Mobile Access et ActiveSync® ? • Mêmes fonctionnalités que pour les clients OWA sans contrôle S/MIME. • Lecture des messages à signature en clair mais pas des messages à signature opaque. • Suppression de la signature numérique. • Ne peuvent pas signer ou crypter un message.

  31. m Alice Hash m Hash crypté Message Condensé (hash) Principes de fonctionnementSignature de messages

  32. m m Message Principes de fonctionnementVérification du message signé Bob

  33. Demandedecertificat cert de Bob Public Annuaire m Sym. Message Principes de fonctionnementCryptage de messages Alice

  34. Sym. Bob m Principe de fonctionnementDécryptage de messages

  35. Vérifier une signature électronique : Outlook Web AccessExpérience utilisateur • Crypter/signer :

  36. Outlook ExpressExpérience utilisateur

  37. Agenda • Introduction • Exchange Security Push : objectifs et impacts produits • Sécuriser l’infrastructure de communication • Sécuriser les échanges : signer/crypter • Lutter contre les virus et le SPAM • Gestion des droits numériques

  38. “Get Secure, Stay Secure” • Microsoft.com/security : • Outils de sécurité, • Bulletins et alertes virus. • Windows + Office Update : • Importance des mises à jour automatiques : • E.g. pb ‘SQL Slammer’ ou ‘Sasser’. • Stratégie de gestion des changements : • Software Update Server (SUS).

  39. Protection du système de messagerie : de quelles menaces parle-t-on ? • Corps des messages HTML : • JScript/VBScript, • ActiveX/Objets COM, • Applets Java. • Pièces jointes : • Attachements nuisibles : exécutables, scripts, … • Macros/scripts contenus dans des documents bureautiques : • Propagation aisée par la messagerie. • Accès aux interfaces programmatiques du client de messagerie : • Envois « silencieux » de messages.

  40. Les moyens de protection • Protections au niveau Clients : • Par mise à jour pour les clients Outlook 98 SP2 et 2000 : • « Outlook Security Update » : suffit à stopper tous les virus type ILOVEYOU, Melissa, Goner. • Security update intégré en standard dans Outlook 2002 et 2003 : • http://www.microsoft.com/office/previous/outlook/2002security.asp. • Cas des clients Outlook Express. • Apport du SP2 de Windows XP. • Protections au niveau serveur : • Exchange Server 2003, • Outlook Web Access.

  41. … et éduquer les utilisateurs(Sans doute un voeu pieux !) • Etude IDC : plus d’1/3 (37 %) des utilisateurs de messagerie en entreprise ouvriraient encore l’attachement d’un mail intitulé 'ILOVEYOU' : • Le rapport indique également que les utilisateurs ouvriraient tout mail d’un expéditeur connu si l’un des sujets suivants était présent : Great Joke (54%), Look at this (50%), Message (46%), No title (40%) or special offer (39%). • Pondérer ces chiffres pour les utilisateurs francophones. Source:http://www.theregister.co.uk/content/8/16668.html2/6/2001

  42. Protections antivirus d’Outlook • Paramétrage par défaut : • Blocage d’attachements, • Blocage de l’accès au modèle objets d’Outlook, • Désactivation du scripting pour les messages HTML. • Personnalisation par l’administrateur au niveau du serveur Exchange.

  43. Blocage des attachements dans Outlook • Recensement de 38 types d’attachements à risque. • Les utilisateurs sont prévenus lorsqu’ils envoient une pièce jointe de type « exécutable ». • Par défaut, les pièces jointes de type « exécutable » ne sont pas accessibles.

  44. Protection de l’accès programmatique • Assure la protection de l’accès : • A l’annuaire, • Aux informations concernant les destinataires de messages, • L’envoi automatique/silencieux de messages. • Par défaut, l’utilisateur est invité à acquitter les actions de ce type.

  45. Paramétrage au niveau Serveur

  46. Outlook Express (XP SP2) • Aperçu de message plus sûr. • Améliorations dans OE comparables à celles d’Outlook 2003 : • E-mail HTML en zone Sites sensibles, • Non téléchargement du contenu HTML externe, • Protection du carnet d’adresses, • Protection contre le contenu exécutable. • Q291387 “Using Virus Protection Features in Outlook Express 6”.

  47. Les outils de protection complémentaires Gestion des macros dans Office • Office 97 : • 3 niveaux de sécurité : bas, moyen, élevé. • Nécessite une éducation utilisateur au niveau « moyen ». • La sécurité haute prohibe l’utilisation des macros. • Office 2000/2002/2003 : • Les scripts embarqués peuvent être signés. • Paramétrages de politiques applicatives pour démarrer les macros signées avec des certificats. • Peut être utilisé pour forcer les revues de code. • Permet l’utilisation de scripts en conservant une sécurité haute.

  48. Messagerie : sécuriser l’infrastructure avec Exchange Server 2003 • API antivirus VSAPI2.5, • Blocage d’attachements dans OWA, • Filtrage Anti-Spam, • Contrôle de version Outlook : • Permet le contrôle du niveau de patching.

  49. Messagerie : sécuriser l’infrastructureAPI et logiciels anti-virus • AV API 2.0 dans Exchange 2000 SP1 : • Scan : priorité, arrière-plan, on-demand, • Connecteurs, passerelles, • Format natif MAPI, MIME, • Support Streaming Data, • Accès aux messages et propriétés, • Compteurs de performances (scanned, cleaned, quarantined, MIME, MAPI…), • Journalisation (event log). • Offres tierces : • TrendMicro, • Norton/Symantec, • NAI/GroupShield, …

  50. API 2.5 dans Exchange Server 2003 • Améliorations de l’API : • Destruction de messages, • Propriétés de messages additionnelles, • Plus de code de statut à Outlook, • Scanning des messages sortant, • API utilisable au niveau des passerelles. • Compatibilité ascendante avec l’API 2.0.

More Related