Exchange 2003 SP2 : nouveautés en matière de mobilité

Exchange 2003 SP2 : nouveautés en matière de mobilité

Thierry PicqManaging Consultant

Microsoft Services France

L’identité du Conseil MicrosoftRôle d’avant-gardeRôle d’avant-garde

Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versionsl’adoption des nouvelles versionsEffet de levier maximum en début de cycle de vie des technologiesEffet de levier maximum en début de cycle de vie des technologiesEffacement progressif quand :Effacement progressif quand :

La technologie est installée dans le compteLa technologie est installée dans le compteLe savoir-faire et les compétences sont largement diffuséesLe savoir-faire et les compétences sont largement diffusées

Assistance aux partenaires mettant l’accent sur le transfert de compétences et Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoftde connaissances sur les technologies MicrosoftCadres méthodologiques éprouvés : Cadres méthodologiques éprouvés : Microsoft Solutions FrameworkMicrosoft Solutions Framework (MSF) et (MSF) et Microsoft Operations FrameworkMicrosoft Operations Framework (MOF) (MOF)Capacité d’engagement sur les projets stratégiquesCapacité d’engagement sur les projets stratégiques

Partenaires

Support

Risque

Adoption des Technologies

Conseil Microsoft

Scénarios et risques

Accès à Exchange Accès à Exchange via Internetvia Internet

ExtranetExtranetMobilitéMobilitéTélétravailTélétravailKiosques et accès à Kiosques et accès à domiciledomicileInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseNouvelle opportunités business, réactivité, …Nouvelle opportunités business, réactivité, …

Comprendre les risquesComprendre les risquesErreurs de déploiement/configurationErreurs de déploiement/configurationContenu des messagesContenu des messages

Envoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis l’Intranet et exploités depuis InternetEnvoyés depuis l’Intranet et exploités depuis Internet

Couche 8 : l’erreur/le comportement humain Couche 8 : l’erreur/le comportement humain (utilisateurs)(utilisateurs)Et les menaces: Spam, hameçonnage Et les menaces: Spam, hameçonnage (phising)(phising), vols , vols d’identités, virus, spyware, intelligence économique, etc. d’identités, virus, spyware, intelligence économique, etc.

TerminauxTerminaux(utilisateurs)(utilisateurs)EntrepriseEntreprise

OpérateursOpérateursmobiles ou mobiles ou

fixesfixes

WLANWLANWANWAN

PANPAN

InfraInfraredredLANLAN

WANWAN

ApplicationsApplications

WLANWLAN

Architecture type

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

Internet sans fil(802.11x - hotspots)

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com” Pas de compte spécifiquePas de compte spécifique

InternetHaut débit(VPN, …)

Internet

Accès Distants (RAS)

POP FAI

Les choix de connectivité

AlternativesAlternativesRAS, VPNsRAS, VPNsInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseOWAOWARPC - natif vs. sur HTTPRPC - natif vs. sur HTTP

Traditionnel vs. innovantTraditionnel vs. innovantTrouver des réponses aux problèmes d’hier ou Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ?d’aujourd’hui ?

La question peut sembler stupide, mail il existe La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus…beaucoup d’à priori et de préconçus…

Le Design idéal ???Le Design idéal ???““To DMZ or not to DMZ…that is the question”To DMZ or not to DMZ…that is the question”

VPN : choix classique(extension logique du périmètre de l’entreprise)

Client VPN dans toutes les versions de Client VPN dans toutes les versions de WindowsWindows

PPTPPPTPL2TP+IPsecL2TP+IPsec

Bien connu ainsi que les algorithmesBien connu ainsi que les algorithmes

La technologie est bien compriseLa technologie est bien compriseMais nécessite malgré tout une organisation Mais nécessite malgré tout une organisation interne maîtrisant le sujet.interne maîtrisant le sujet.Peut impliquer une charge importante parfois Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structuresincompatible avec petites ou moyennes structures

Quarantaine indispensable afin de vérifier Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail “l’état de santé” du poste de travail Parfois trop « lourd » pour une solution Parfois trop « lourd » pour une solution mobilemobile

Exchange Server 2003 SP2Les consommateurs

BALBAL(Back End)(Back End)

Pare-feu/périmètre de Pare-feu/périmètre de l’entreprise (DMZ)l’entreprise (DMZ)

RPC/HTTP (SP1) &RPC/HTTP (SP1) &Outlook Web AccessOutlook Web Access

POP3, IMAPPOP3, IMAP

ExchangeExchangeActiveSyncActiveSync

Outlook Mobile AccessOutlook Mobile Access

Clients Clients ActiveSyncActiveSync(PPC, SP)(PPC, SP)

Navigateurs Navigateurs téléphonestéléphones& PDA& PDA

PC Portables / FixesPC Portables / Fixes

Front EndFront End

Flux entrantsFlux entrants SMTP: 25SMTP: 25

POP3 : 110POP3 : 110

SSL : 443SSL : 443

RPC : 135RPC : 135Demain ?Demain ?

??

Le mode connecté : OWA et OMAExchange Server 2003

Outlook Web AccessOutlook Web AccessCorrecteur orthographique, Règles, Correcteur orthographique, Règles, Tâches et toutes les fonctions Tâches et toutes les fonctions appréciables de Outlook 2003appréciables de Outlook 2003Performance accrue (plus de 50% vs Performance accrue (plus de 50% vs Exchange 2000 Serveur)Exchange 2000 Serveur)SécuritéSécurité

Authentification via formulaires, Authentification via formulaires, blocage des attachements, blocage blocage des attachements, blocage des des contenus externes, chiffrement et contenus externes, chiffrement et signature S/MIMEsignature S/MIME

Outlook Mobile AccessOutlook Mobile AccessOutlook Web Access pour les Outlook Web Access pour les terminaux mobilesterminaux mobilesAcceptant potentiellement tout type Acceptant potentiellement tout type de clientsde clients

Génère du WML, HTML, xHTML et Génère du WML, HTML, xHTML et cHTML correspondant aux différents cHTML correspondant aux différents terminauxterminaux.NET Framework .NET Framework DeviceDevice Updates Updates accroît le nombre de terminaux accroît le nombre de terminaux supportéssupportés

Le mode synchronisé : Exchange ActiveSync (EAS)

Synchronisation des E-mail, agenda, et Synchronisation des E-mail, agenda, et contacts contacts (plus avec E2K3SP2 et WM5.0)(plus avec E2K3SP2 et WM5.0)

Protocole adopté par:Protocole adopté par:PalmOne (Treo650 & LifeDrive)PalmOne (Treo650 & LifeDrive)Motorola (A780)Motorola (A780)DataViz (RoadSync)DataViz (RoadSync)NokiaNokiaSymbianSymbian

Architecture identique à OWA/RPC-HTTPArchitecture identique à OWA/RPC-HTTP

Perimeter Network (DMZ)Perimeter Network (DMZ)

Windows 2003 Windows 2003 ADAD

Ex2003 Ex2003 Front-EndFront-End

Ex2003 Back-End Ex2003 Back-End ServersServers

ISA or ISA or 33rdrd party party FirewallFirewall

SSLSSL SSLSSL SSLSSL

ISAISA

ISA or ISA or 33rdrd party party FirewallFirewall

Principe fondamental de sécurité: aucune information ne « sort » du périmètre de l’entreprise si elle n’a pas été sollicitée (contrôlée) par

un client.

Protection de OWA/Activesync avec ISA Serveur 2004 Réduction de la surface exposée et simplification de publilcation

Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu

traditionneltraditionnelOWAOWA

ClientClient

Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande

SSLSSLSSLSSL

SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle

du fait du chiffrement…du fait du chiffrement…

……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager

sans être détectés…sans être détectés…

……et d’infecter les serveurs internes !et d’infecter les serveurs internes !

ISA Server 2004ISA Server 2004

Délégation d’authentification BasicDélégation d’authentification BasicISA Server pré authentifie les ISA Server pré authentifie les

utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise

que le trafic valide à passerque le trafic valide à passer

URLScanURLScan

SSL ou SSL ou HTTPHTTP

SSL ou SSL ou HTTPHTTP

SSLSSLSSLSSL

ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter

le trafic SSLle trafic SSL

Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.

Analyse URL Analyse URL par ISA Serverpar ISA Server

L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en

cas d’utilisation de SSLcas d’utilisation de SSL

InternetInternet

Configuration & Administration simplifiées

L’assistant de publication de messagerie facilite la configuration et limite les

erreurs potentielles pouvant entrainer des failles de sécurité

L’assistant de publication de messagerie facilite la configuration et limite les

erreurs potentielles pouvant entrainer des failles de sécurité

IPSec (Data)

192.168.1.251 IPSec (BAL pour user1?)

Quel BE ?

Authorisation OK?192.168.1.201

IP pour un DC du domaine contoso?

contoso\user1, p@ssw0rd

/microsoft-server-activesync/00101001

SSL valide

192.168.1.101Règle de publication: IP pour mail.contoso.com?

IP de mail.contoso.com?

Processus de synchronisationLe client ActiveSync est configuré pour utiliser mail.contoso.com

DNS externe DNS interne ExchangeFrontEnd1

Domain Controller ExchangeBackend1

ISA Serveur

131.107.76.146SSL avec 131.107.76.146

SSL valide/microsoft-server-activesync/00101001

SSL avec 192.168.1.101

Authentification Basic?

contoso\user1, p@ssw0rd

Oui

Backend1IP pour Backend1?

SSL (Data)SSL (Data)

Authentification Basic?

Exchange Service Pack 2 et Windows Mobile 5 Messaging and Security Feature Pack

Direct PushDirect Push

Améliorations fonctionnelles Améliorations fonctionnelles (recherche dans (recherche dans la GAL, tâches, …)la GAL, tâches, …) et ergonomiques et ergonomiques

Gestion distante des politiques de sécuritéGestion distante des politiques de sécurité

Gestion distante des terminauxGestion distante des terminaux

Support de S/MIME et FIPS-140-2Support de S/MIME et FIPS-140-2

Disponibilité du MSFP

Windows Mobile 5.0 AKU2 est le vecteur de Windows Mobile 5.0 AKU2 est le vecteur de diffusion de cette versiondiffusion de cette version

AKU = AKU = Adaptation Kit UpdateAdaptation Kit Update

Les AKUs sont à destination des OEM / Les AKUs sont à destination des OEM / constructeurs uniquement constructeurs uniquement (pas un (pas un fichier .CAB)fichier .CAB)

Mise à disposition via:Mise à disposition via:OEM -> Opérateur Mobile -> UtilisateurOEM -> Opérateur Mobile -> Utilisateur

Les AKUs sont cumulatifs (ie. Services Les AKUs sont cumulatifs (ie. Services Packs…). L’AKU2 hérite des améliorations Packs…). L’AKU2 hérite des améliorations précédentesprécédentes

Gestionnaire réseaux (Wireless Manager)Gestionnaire réseaux (Wireless Manager)Explorateur de fichiers pour SmartphoneExplorateur de fichiers pour SmartphoneAméliorations Bluetooth & Windows Media Améliorations Bluetooth & Windows Media PlayerPlayer

Cinématique Direct Push

4. Si un mail arrive afin la 4. Si un mail arrive afin la fin de l’intervalle, fin de l’intervalle, Exchange 2003 notifie le Exchange 2003 notifie le terminal qu’une terminal qu’une modification est modification est survenue dans la BALsurvenue dans la BAL

1. Le terminal envoie une 1. Le terminal envoie une requête au serveur requête au serveur Exchange 2003 SP2 serverExchange 2003 SP2 server

2. Exchange 2003 maintient 2. Exchange 2003 maintient la requête en attente jusqu’à la requête en attente jusqu’à l’expiration de l’intervalle l’expiration de l’intervalle ((heartbeatheartbeat))

5. Le terminal déclenche 5. Le terminal déclenche immédiatement une immédiatement une requête de requête de synchronisation.synchronisation.

3. Si aucun mail n’arrive 3. Si aucun mail n’arrive avant la fin de l’intervalle avant la fin de l’intervalle ((heartbitheartbit) le terminal renvoie ) le terminal renvoie une requête (une requête (keep alivekeep alive))

Terminal Windows Terminal Windows Mobile 5 avec le Mobile 5 avec le MSFPMSFP

Serveur Exchange Serveur Exchange 2003 SP22003 SP2

192.168.3.155

If I get mail in the next 15 minutes, let me knowOtherwise, return OK

Enterprise Exchange

Server

T=0

OK

New Mail in folder X

If I get mail in the next 15 minutes, let me know...

T=15

Sync folder X

T=23

T=23

T=15

Impact sur la bande passante

Le terminal envoie une requête au serveur Le terminal envoie une requête au serveur Exchange 2003 SP2 afin de générer une Exchange 2003 SP2 afin de générer une connexion IPconnexion IP

Cette connexion permanente génère un Cette connexion permanente génère un surcoûtsurcoût

Par défaut l’intervalle (Par défaut l’intervalle (HeartbeatHeartbeat) est de ) est de 15min, le “surcoût” incrémental de cette 15min, le “surcoût” incrémental de cette solution est de:solution est de:370 370 bytesbytes par par heartbeatheartbeat * 4 * 4 heartbeatsheartbeats par par heure * 24 heures par jour * 30 joursheure * 24 heures par jour * 30 jours= 1.06MB par mois= 1.06MB par mois

Cette architecture permet Cette architecture permet néanmoins de rester indépendant néanmoins de rester indépendant

du transport et de l’opérateur du transport et de l’opérateur (fixe ou mobile)(fixe ou mobile)

Terminal Windows Terminal Windows Mobile 5 avec le Mobile 5 avec le MSFPMSFP

Serveur Exchange Serveur Exchange 2003 SP22003 SP2

Optimisation de la bande passant via compression (GZIP)

Compression GZIP sur le serveurCompression GZIP sur le serveur

Compression avant envoiCompression avant envoiGains importants en bande Gains importants en bande passante et en latence passante et en latence (rapidité) entre Windows (rapidité) entre Windows Mobile 2003 et Windows Mobile 2003 et Windows Mobile 5Mobile 5Les test initiaux indiquent des Les test initiaux indiquent des gains entre 35% et 60%gains entre 35% et 60%

EfficacitéEfficacité

Index = 100Index = 100

Remarques concernant le Direct Push

Chiffrement de la connexionChiffrement de la connexionSSL est utilisé pour négocier la sécurité du SSL est utilisé pour négocier la sécurité du transport. Par défaut le chiffrement est de type transport. Par défaut le chiffrement est de type RC4RC43DES peut être utilisé (impact sur tous les trafics 3DES peut être utilisé (impact sur tous les trafics SSL du frontal)SSL du frontal)

http://support.microsoft.com/default.aspx?scid=kb;en-us;2450http://support.microsoft.com/default.aspx?scid=kb;en-us;24503030

Configuration des pare-feux:Configuration des pare-feux:Afin de conserver la connexion il peut être Afin de conserver la connexion il peut être nécessaire de paramétrer les pare-feux de telle nécessaire de paramétrer les pare-feux de telle façon que les façon que les timeouttimeout de session pour accès vers de session pour accès vers EAS soient de 15-30minsEAS soient de 15-30mins

http://support.microsoft.com/default.aspx?scid=kb;en-us;9050http://support.microsoft.com/default.aspx?scid=kb;en-us;90501313

Le Wifi n’est pas supportéLe Wifi n’est pas supportéLa Registry est votre amie (attention quand La Registry est votre amie (attention quand même)…même)…

Accès à l’annuaire (GAL)

Conçu pour un accès simplifié depuisConçu pour un accès simplifié depuisContactsContacts

Sélection d’un contact intégrée avec la Sélection d’un contact intégrée avec la messagerie, téléphone, calendrier, etc.messagerie, téléphone, calendrier, etc.

Accès aux propriétés majeures des Accès aux propriétés majeures des contacts dans la GAL (contacts dans la GAL (Global Address Global Address ListList))

Gestion des ambigüités et des listes de Gestion des ambigüités et des listes de distributiondistribution

Remarque:Remarque: l’accès à la GAL nécessite l’accès à la GAL nécessite l’implémentation de OWA et la l’implémentation de OWA et la configuration de permissionsconfiguration de permissions

Considérations sur l’usage de S/MIME en mobilité

Pré-requis:Pré-requis:Messaging and Security Feature Pack Messaging and Security Feature Pack for Windows Mobile 5.0for Windows Mobile 5.0 (AKU2) (AKU2)

Exchange 2003 SP2Exchange 2003 SP2

La signature et le chiffrement La signature et le chiffrement interopérables avec la version poste de interopérables avec la version poste de travail travail

Utilisable avec un lecteur de SC externe Utilisable avec un lecteur de SC externe uniquementuniquement

Le serveur Exchange décharge le client des Le serveur Exchange décharge le client des opérations de Clefs Publiquesopérations de Clefs Publiques

Démonstration

Démonstration

AccèsPolitique sécuritéRéinitialisation à

distance

Gestion distante des terminaux et politiques de sécurité

Device Security SettngsDevice Security Settngs

Enable PIN on device

4

Require both numbers and letters

Wipe device after failed (attempts): 4

Exceptions...Specify an exception list of users that are except from the setting enforcement

OK Cancel Help

Minimum PIN Length (digits):

Refresh settings on the device (hours): 24

Allow access to devices that do not support PIN settings

Inactivity time (minutes): 5

Gestion distante des terminaux et politiques de sécurité

Utilisation de certificats pour l’authentification

Pas de nécessité de stocker des Pas de nécessité de stocker des credentials credentials (username/password)(username/password) du réseau sur le terminal du réseau sur le terminal

Acquisition du certificat via la connexion PC (socle)Acquisition du certificat via la connexion PC (socle)

A la discrétion de l’ITA la discrétion de l’IT

AuthentificatiAuthentification par on par

certificatcertificat

AuthentificatiAuthentification basique on basique

(SSL)(SSL)

Remarques sur l’usage des certificats dans ce contexte

Lors de l’expiration du certificat, les Lors de l’expiration du certificat, les utilisateurs doivent connecter physiquement utilisateurs doivent connecter physiquement (socle) le terminal sur le réseau(socle) le terminal sur le réseau

Alerte 14 jours avant expirationAlerte 14 jours avant expiration

L’usage des certificats dans l’implémentation L’usage des certificats dans l’implémentation du MSFP entraine la nécessité d’une du MSFP entraine la nécessité d’une connexion directe chiffrée entre le frontal et connexion directe chiffrée entre le frontal et le terminal (le terminal (pas de possibilité d’arrêter le pas de possibilité d’arrêter le protocole pour inspection au niveau des protocole pour inspection au niveau des proxy/pare-feux !!!proxy/pare-feux !!!). ).

Outil: Outil: CertAuthToolCertAuthTool disponible en disponible en téléchargement téléchargement

http://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyIddetails.aspx?FamilyId=82510E18-7965-4883-A8C3-F73F1F473=82510E18-7965-4883-A8C3-F73F1F4733AC&displaylang=en3AC&displaylang=en

Réinitialisation à distanceRemarque: Réinitialisation complète du Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le terminal uniquement (ne concerne pas le stockage amovible)stockage amovible) Géré par un outil Web (IIS 6 nécessaire)Géré par un outil Web (IIS 6 nécessaire)Peut être délégué au centre de supportPeut être délégué au centre de supportHistorique (Transaction log)Historique (Transaction log)

Microsoft Exchange ActiveSync Mobile Web Microsoft Exchange ActiveSync Mobile Web Administration toolAdministration tool ::

http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en

Architecture classique

ExFEExFE SMTPSMTP

ExBEExBE ADAD

Nouveaux besoins, nouvelles architectures

Serveurs critiques au sein Serveurs critiques au sein du périmètre de du périmètre de l’entreprise pour une l’entreprise pour une protection accrueprotection accrue

Ajouter ISA Serveur à Ajouter ISA Serveur à votre DMZvotre DMZ

Ne remplacez rien, Ne remplacez rien, ajoutezajoutez !!! !!!

Elevez le niveau de Elevez le niveau de sécurité par la sécurité par la publication de:publication de:

Exchange RPCExchange RPC

OWA sur HTTPSOWA sur HTTPS

RPC sur HTTPSRPC sur HTTPS

SMTP (filtrage du contenu)SMTP (filtrage du contenu)

ExFEExFE SMTPSMTP

ExBEExBE ADAD

ISAISAServerServer

Synthèse des moyens nécessaires…

Exchange 2003Exchange 2003

Service Pack 2 – Serveur frontal (FE)Service Pack 2 – Serveur frontal (FE)

• Direct PushDirect Push

• Sécurité contrôlée à distanceSécurité contrôlée à distance

• Accès GALAccès GAL

• etcetc

Windows Mobile 5.0 Windows Mobile 5.0

et le Messaging & Security Feature Packet le Messaging & Security Feature Pack

Conclusion (hors terminaux):

Serveur FE

Mailbox Server

Mailbox Server

Internet(Réseaux cellulaires :

GSM/GPRS)

Filaire

Sans fil

Légende

Wireless PDA

Smart phone

Wi-FiPDA Wi-Fi

Smart phone

Internet sans fil(802.11x - hotspots)

Wi-FiPDA

Wi-FiSmart phone

Wifi Interne

Frontières de l’Entreprise

DMZ

Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”

InternetHaut débit(VPN, …)

Internet

POP FAISSL 128 bits

Analyse des flux

Segmentation

Je maîtrise et sécurise les communications Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de bout en bout en maintenant un niveau de sécurité élévéde sécurité élévé

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com