Communications Unifiées et Sécurité : Mythes et réalités

19
Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr

description

La convergence des usages, l'ouverture à des acteurs externes -clients ou partenaires-, la mobilité et le télétravail entre parfois en conflits avec des pratiques et des politiques de sécurités existantes inadaptées à ces nouveaux usages. Cette session a pour objectif d'identifier les conflits et les bonnes questions de sécurités à traiter et brisera certains mythes et craintes liés à la sécurité des solutions Lync. Elle vous guidera vers les bonnes approches et pratiques de mise en oeuvre.

Transcript of Communications Unifiées et Sécurité : Mythes et réalités

Page 1: Communications Unifiées et Sécurité : Mythes et réalités

Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Page 2: Communications Unifiées et Sécurité : Mythes et réalités

Sécurité et Lync

Daniel Monier-ReyesTSP LyncMicrosoft

Serveurs / Entreprise / Réseaux / IT

Page 3: Communications Unifiées et Sécurité : Mythes et réalités

Ce que cette session n’est pas…

Serveurs / Entreprise / Réseaux / IT

?????????

Page 4: Communications Unifiées et Sécurité : Mythes et réalités

Agenda

• Généralités• Authentification• Accès Internet• Accès Voix• Contrôle• Administration

Serveurs / Entreprise / Réseaux / IT

Page 5: Communications Unifiées et Sécurité : Mythes et réalités

Serveurs / Entreprise / Réseaux / IT

• Microsoft Secure Development Lifecycle• Le mot de

http://www.miercom.com/pdf/reports/20101117.pdf

Généralités

Page 6: Communications Unifiées et Sécurité : Mythes et réalités

Serveurs / Entreprise / Réseaux / IT

• Lync : Une solution logicielle– Basé sur serveur Windows– Se « patche » comme n’importe quel autre serveur Windows– Best Practice Analyzer http://

technet.microsoft.com/en-us/library/gg558584.aspx– Seuls les services nécessaires sont installés– Firewall Windows configuré automatiquement

• Antivirus système– Ne pas oublier les exclusions ! http://

technet.microsoft.com/en-us/library/gg195736.aspx (Processus Lync, IIS, SQL, Fichiers et Répertoires)

Généralités - La sécurité en profondeur

Page 7: Communications Unifiées et Sécurité : Mythes et réalités

RÉSEAU

Généralités

Serveurs / Entreprise / Réseaux / IT

• Trafic réseau chiffré par défaut

Page 8: Communications Unifiées et Sécurité : Mythes et réalités

RÉSEAU

Généralités

Serveurs / Entreprise / Réseaux / IT

• PKI nécessaire pour les Certificats Internes– Certificats auto signés non supportés– Certificats X509v3 avec SAN– CA Microsoft intégrée – Requête entièrement

pilotée ou– CA Microsoft non intégrée ou PKI tierce via PKCS

#10– Attention aux CDP (Accès CRL), AIA, Key Usage

etc…

• Certificats publics pour le Edge et Reverse Proxy– Scénarios externes– CA Publique de confiance par

défaut– Requête : Via PKCS #10– Être sûr à 100% avant de requêter

!

• Prérequis : – http://

technet.microsoft.com/en-us/library/gg398066.aspx

Page 9: Communications Unifiées et Sécurité : Mythes et réalités

RÉSEAUChiffrement

Serveurs / Entreprise / Réseaux / IT

http://www.microsoft.com/en-us/download/details.aspx?id=6797 Lync Workload Architecture Poster

Page 10: Communications Unifiées et Sécurité : Mythes et réalités

DIFFÉRENTES MÉTHODESAuthentification

Serveurs / Entreprise / Réseaux / IT

• Active Directory– Base d’authentification– 1 utilisateur Lync Authentifié = 1 compte Active Directory

• Kerberos– Utilisateurs de l’entreprise internes (accès à un KDC)– Stations dans Active Directory– Modèle forêt de ressource possible

• NTLM– Utilisateurs de l’entreprise internes et/ou externes– Authentification basée sur la fourniture d’un mot de passe

• Certificats– Authentification des utilisateurs Lync, Lync Phone Edition– Emis par le serveur Lync– Nécessite une pré authentification pour récupérer le certificat (Kerberos,

NTLM ou Code PIN)– Peut être révoqué (Revoke-CSClientCertificate)

• Code PIN– Authentification téléphone Lync Phone Edition– Authentification pont de conférence audio– Fournir un num de téléphone ou extension obligatoire– Peut être pré renseigné (Set-CSClientPin)– Peut être bloqué (Lock-CSClientPin)

• Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)

Page 11: Communications Unifiées et Sécurité : Mythes et réalités

RÔLE EDGEAccès Internet

Serveurs / Entreprise / Réseaux / IT

• Accès au service Lync depuis Internet sans VPN (Remote user, Invités, Federation)

• Serveur en DMZ, Sorte de Reverse Proxy spécifique à Lync, rien devant.

• VPN possible mais…• Attention 2 interfaces réseaux = 2 DMZ

Privée/Publique• OS Windows, pas dans AD, Lync Trusted

Server• MTLS avec les serveurs Internes, TLS avec

les clients• Echange des secrets au travers du flux SIP• Mécanisme de rendez-vous pour l’audio et

la vidéo.

Page 12: Communications Unifiées et Sécurité : Mythes et réalités

RÔLE EDGE

Accès Internet

Serveurs / Entreprise / Réseaux / IT

• Peu de ports ouverts vers l’intranet

• Mécanisme de rendez-vous

• Support de ports simples pour les accès externes (TCP443)

Page 13: Communications Unifiées et Sécurité : Mythes et réalités

RÔLE EDGE

Accès Internet

Serveurs / Entreprise / Réseaux / IT

• Mécanisme de rendez-vous– 0. Etablissement du canal SIP et

Authentification utilisateur.– 1. Authentification de l’utilisateur externe

auprès du service Edge A/V– 2. Autorisation de connexion auprès du

service Edge A/V– 3. Appel de l’utilisateur Interne (via SIP)– 4. Authentification de l’utilisateur interne

auprès du service Edge A/V– 5. Autorisation de connexion auprès du

service Edge A/V. Commutation de l’appel.

• Clé de chiffrement symétrique échangée grâce à SIP over TLS (AES 128 bits)

Page 14: Communications Unifiées et Sécurité : Mythes et réalités

VLAN VOIX/DATAAccès Voix

Serveurs / Entreprise / Réseaux / IT

• Lync fonctionne sur le VLAN Data– Téléphonie IP Traditionnelle utilise VLAN

Voix Dédié– Quid des interconnexions avec IP-PBX,

SIP Trunk Provider, RTC (PSTN) ?

• Plusieurs Modèles d’interconnexion– Direct SIP entre Mediation et IP-PBX– Via une Media Gateway (IP-IP ou IP-

TDM)

• Media Gateway conseillée– 2 NICs, Routage entre les 2 VLANs– Module SBC possible (Elément de

sécurité)

Page 15: Communications Unifiées et Sécurité : Mythes et réalités

POLICIESContrôle

Serveurs / Entreprise / Réseaux / IT

• Conferencing Policy (Set-CSConferencingPolicy)– AllowAnonymousParticipantsInMeetings– AllowAnonymousUsersToDialOut– AllowConferenceRecording, EnableP2PRecording– AllowParticipantControl – AllowExternalUserControl – AllowExternalUsersToRecordMeeting – AllowExternalUsersToSaveContent

• PIN Code Policy (Set-CSPINPolicy)– AllowCommonPatterns – MaximumLogonAttempts – MinPasswordLength – PINHistoryCount – PINLifetime

Page 16: Communications Unifiées et Sécurité : Mythes et réalités

BANDE PASSANTEContrôle

Serveurs / Entreprise / Réseaux / IT

• Problématique :– Le réseau, une ressource limitée

(Data, WAN)– Objectif : Limiter l’impact sur le

réseau

• Call Admission Control (CAC)– Plafonner le trafic Audio/Vidéo

(Session/Global)– Modélisation du réseau et des liens– Application de stratégies de bande

passante

• Partage d’application/Bureau :– Limiter le traficSet-CSConferencingPolicy - AppSharingBitRateKb

• Transfert de fichier :– Limiter le traficSet-CSConferencingPolicy - FileTransfertBitRateKb

Page 17: Communications Unifiées et Sécurité : Mythes et réalités

RBAC – ROLE BASED ACCESS CONTROLAdministration

Serveurs / Entreprise / Réseaux / IT

• Rôles prédéfinis• Assignables par

groupes/users• Scopable

– Par Sites– Par OU– Etc…

• Possibilité d’en créer de nouveaux

Page 18: Communications Unifiées et Sécurité : Mythes et réalités

Pour aller plus loin

Serveurs / Entreprise / Réseaux / IT

Lync Security Guidehttp://www.microsoft.com/en-us/download/details.aspx?id=2729

Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet)http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication-over-the-internet/

Guide de hardening Lync :http://www.microsoft.com/en-us/download/details.aspx?id=2729

Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync-server-2010.aspx

Lync Server 2010: Security at the Edgehttp://technet.microsoft.com/en-us/magazine/hh219285.aspx

An update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environmenthttp://support.microsoft.com/kb/2621840Ethttp://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.htmlhttp://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html

Page 19: Communications Unifiées et Sécurité : Mythes et réalités

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.com

http://aka.ms/generation-app

http://aka.ms/evenements-developpeurs

http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNethttp://aka.ms/itteam

Serveurs / Entreprise / Réseaux / IT