Upload
microsoft-technet-france
View
229
Download
5
Embed Size (px)
DESCRIPTION
La convergence des usages, l'ouverture à des acteurs externes -clients ou partenaires-, la mobilité et le télétravail entre parfois en conflits avec des pratiques et des politiques de sécurités existantes inadaptées à ces nouveaux usages. Cette session a pour objectif d'identifier les conflits et les bonnes questions de sécurités à traiter et brisera certains mythes et craintes liés à la sécurité des solutions Lync. Elle vous guidera vers les bonnes approches et pratiques de mise en oeuvre.
Citation preview
Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Sécurité et Lync
Daniel Monier-ReyesTSP LyncMicrosoft
Serveurs / Entreprise / Réseaux / IT
Ce que cette session n’est pas…
Serveurs / Entreprise / Réseaux / IT
?????????
Agenda
• Généralités• Authentification• Accès Internet• Accès Voix• Contrôle• Administration
Serveurs / Entreprise / Réseaux / IT
Serveurs / Entreprise / Réseaux / IT
• Microsoft Secure Development Lifecycle• Le mot de
http://www.miercom.com/pdf/reports/20101117.pdf
Généralités
Serveurs / Entreprise / Réseaux / IT
• Lync : Une solution logicielle– Basé sur serveur Windows– Se « patche » comme n’importe quel autre serveur Windows– Best Practice Analyzer http://
technet.microsoft.com/en-us/library/gg558584.aspx– Seuls les services nécessaires sont installés– Firewall Windows configuré automatiquement
• Antivirus système– Ne pas oublier les exclusions ! http://
technet.microsoft.com/en-us/library/gg195736.aspx (Processus Lync, IIS, SQL, Fichiers et Répertoires)
Généralités - La sécurité en profondeur
RÉSEAU
Généralités
Serveurs / Entreprise / Réseaux / IT
• Trafic réseau chiffré par défaut
RÉSEAU
Généralités
Serveurs / Entreprise / Réseaux / IT
• PKI nécessaire pour les Certificats Internes– Certificats auto signés non supportés– Certificats X509v3 avec SAN– CA Microsoft intégrée – Requête entièrement
pilotée ou– CA Microsoft non intégrée ou PKI tierce via PKCS
#10– Attention aux CDP (Accès CRL), AIA, Key Usage
etc…
• Certificats publics pour le Edge et Reverse Proxy– Scénarios externes– CA Publique de confiance par
défaut– Requête : Via PKCS #10– Être sûr à 100% avant de requêter
!
• Prérequis : – http://
technet.microsoft.com/en-us/library/gg398066.aspx
RÉSEAUChiffrement
Serveurs / Entreprise / Réseaux / IT
http://www.microsoft.com/en-us/download/details.aspx?id=6797 Lync Workload Architecture Poster
DIFFÉRENTES MÉTHODESAuthentification
Serveurs / Entreprise / Réseaux / IT
• Active Directory– Base d’authentification– 1 utilisateur Lync Authentifié = 1 compte Active Directory
• Kerberos– Utilisateurs de l’entreprise internes (accès à un KDC)– Stations dans Active Directory– Modèle forêt de ressource possible
• NTLM– Utilisateurs de l’entreprise internes et/ou externes– Authentification basée sur la fourniture d’un mot de passe
• Certificats– Authentification des utilisateurs Lync, Lync Phone Edition– Emis par le serveur Lync– Nécessite une pré authentification pour récupérer le certificat (Kerberos,
NTLM ou Code PIN)– Peut être révoqué (Revoke-CSClientCertificate)
• Code PIN– Authentification téléphone Lync Phone Edition– Authentification pont de conférence audio– Fournir un num de téléphone ou extension obligatoire– Peut être pré renseigné (Set-CSClientPin)– Peut être bloqué (Lock-CSClientPin)
• Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)
RÔLE EDGEAccès Internet
Serveurs / Entreprise / Réseaux / IT
• Accès au service Lync depuis Internet sans VPN (Remote user, Invités, Federation)
• Serveur en DMZ, Sorte de Reverse Proxy spécifique à Lync, rien devant.
• VPN possible mais…• Attention 2 interfaces réseaux = 2 DMZ
Privée/Publique• OS Windows, pas dans AD, Lync Trusted
Server• MTLS avec les serveurs Internes, TLS avec
les clients• Echange des secrets au travers du flux SIP• Mécanisme de rendez-vous pour l’audio et
la vidéo.
RÔLE EDGE
Accès Internet
Serveurs / Entreprise / Réseaux / IT
• Peu de ports ouverts vers l’intranet
• Mécanisme de rendez-vous
• Support de ports simples pour les accès externes (TCP443)
RÔLE EDGE
Accès Internet
Serveurs / Entreprise / Réseaux / IT
• Mécanisme de rendez-vous– 0. Etablissement du canal SIP et
Authentification utilisateur.– 1. Authentification de l’utilisateur externe
auprès du service Edge A/V– 2. Autorisation de connexion auprès du
service Edge A/V– 3. Appel de l’utilisateur Interne (via SIP)– 4. Authentification de l’utilisateur interne
auprès du service Edge A/V– 5. Autorisation de connexion auprès du
service Edge A/V. Commutation de l’appel.
• Clé de chiffrement symétrique échangée grâce à SIP over TLS (AES 128 bits)
VLAN VOIX/DATAAccès Voix
Serveurs / Entreprise / Réseaux / IT
• Lync fonctionne sur le VLAN Data– Téléphonie IP Traditionnelle utilise VLAN
Voix Dédié– Quid des interconnexions avec IP-PBX,
SIP Trunk Provider, RTC (PSTN) ?
• Plusieurs Modèles d’interconnexion– Direct SIP entre Mediation et IP-PBX– Via une Media Gateway (IP-IP ou IP-
TDM)
• Media Gateway conseillée– 2 NICs, Routage entre les 2 VLANs– Module SBC possible (Elément de
sécurité)
POLICIESContrôle
Serveurs / Entreprise / Réseaux / IT
• Conferencing Policy (Set-CSConferencingPolicy)– AllowAnonymousParticipantsInMeetings– AllowAnonymousUsersToDialOut– AllowConferenceRecording, EnableP2PRecording– AllowParticipantControl – AllowExternalUserControl – AllowExternalUsersToRecordMeeting – AllowExternalUsersToSaveContent
• PIN Code Policy (Set-CSPINPolicy)– AllowCommonPatterns – MaximumLogonAttempts – MinPasswordLength – PINHistoryCount – PINLifetime
BANDE PASSANTEContrôle
Serveurs / Entreprise / Réseaux / IT
• Problématique :– Le réseau, une ressource limitée
(Data, WAN)– Objectif : Limiter l’impact sur le
réseau
• Call Admission Control (CAC)– Plafonner le trafic Audio/Vidéo
(Session/Global)– Modélisation du réseau et des liens– Application de stratégies de bande
passante
• Partage d’application/Bureau :– Limiter le traficSet-CSConferencingPolicy - AppSharingBitRateKb
• Transfert de fichier :– Limiter le traficSet-CSConferencingPolicy - FileTransfertBitRateKb
RBAC – ROLE BASED ACCESS CONTROLAdministration
Serveurs / Entreprise / Réseaux / IT
• Rôles prédéfinis• Assignables par
groupes/users• Scopable
– Par Sites– Par OU– Etc…
• Possibilité d’en créer de nouveaux
Pour aller plus loin
Serveurs / Entreprise / Réseaux / IT
Lync Security Guidehttp://www.microsoft.com/en-us/download/details.aspx?id=2729
Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet)http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication-over-the-internet/
Guide de hardening Lync :http://www.microsoft.com/en-us/download/details.aspx?id=2729
Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync-server-2010.aspx
Lync Server 2010: Security at the Edgehttp://technet.microsoft.com/en-us/magazine/hh219285.aspx
An update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environmenthttp://support.microsoft.com/kb/2621840Ethttp://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.htmlhttp://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html
Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner gratuitement
Essayer gratuitement nos solutions IT
Retrouver nos experts Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.com
http://aka.ms/generation-app
http://aka.ms/evenements-developpeurs
http://aka.ms/itcamps-france
Les accélérateursWindows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDNhttp://aka.ms/devteam
L’IT Team sur TechNethttp://aka.ms/itteam
Serveurs / Entreprise / Réseaux / IT