310 likes | 385 Views
Exchange 2003 SP2 : nouveautés en matière de mobilité. Thierry Picq Managing Consultant Microsoft Services France. L’identité du Conseil Microsoft. Rôle d’avant-garde Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versions
E N D
Exchange 2003 SP2 : nouveautés en matière de mobilité Thierry Picq Managing Consultant Microsoft Services France
L’identité du Conseil Microsoft • Rôle d’avant-garde • Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versions • Effet de levier maximum en début de cycle de vie des technologies • Effacement progressif quand : • La technologie est installée dans le compte • Le savoir-faire et les compétences sont largement diffusées • Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoft • Cadres méthodologiques éprouvés : Microsoft Solutions Framework (MSF) et Microsoft Operations Framework (MOF) • Capacité d’engagement sur les projets stratégiques Risque Partenaires Conseil Microsoft Support Adoption des Technologies
Opérateurs mobiles ou fixes Terminaux (utilisateurs) Entreprise WAN WAN WLAN Infrared WLAN LAN PAN Applications Scénarios et risques • Accès à Exchange via Internet • Extranet • Mobilité • Télétravail • Kiosques et accès à domicile • Internet comme réseau d’entreprise • Nouvelle opportunités business, réactivité, … • Comprendre les risques • Erreurs de déploiement/configuration • Contenu des messages • Envoyés depuis Internet et ouverts à l’intérieur • Envoyés depuis l’Intranet et exploités depuis Internet • Couche 8 : l’erreur/le comportement humain (utilisateurs) • Et les menaces: Spam, hameçonnage (phising), vols d’identités, virus, spyware, intelligence économique, etc.
Légende Filaire Sans fil Architecture type Accès Distants (RAS) Terminaux Internet (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Accès et Authentification Wireless PDA Serveur FE Mailbox Server Communications Communications Internet Smart phone DMZ MailboxServer Wifi Interne Internet Haut débit (VPN, …) POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wi-Fi PDA Il est indispensable d'avoir une approche de bout en bout !!! Wi-Fi Smart phone • Accès unique “nom du server” = “monentreprise.com” • Pas de compte spécifique
Les choix de connectivité • Alternatives • RAS, VPNs • Internet comme réseau d’entreprise • OWA • RPC - natif vs. sur HTTP • Traditionnel vs. innovant • Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ? • La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus… • Le Design idéal ??? • “To DMZ or not to DMZ…that is the question”
VPN : choix classique(extension logique du périmètre de l’entreprise) • Client VPN dans toutes les versions de Windows • PPTP • L2TP+IPsec • Bien connu ainsi que les algorithmes • La technologie est bien comprise • Mais nécessite malgré tout une organisation interne maîtrisant le sujet. • Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structures • Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail • Parfois trop « lourd » pour une solution mobile
Exchange Server 2003 SP2Les consommateurs Pare-feu/périmètre de l’entreprise (DMZ) PC Portables / Fixes RPC/HTTP (SP1) & Outlook Web Access POP3, IMAP Navigateurs téléphones& PDA Outlook Mobile Access Front End BAL (Back End) Exchange ActiveSync Clients ActiveSync (PPC, SP) • Flux entrants • SMTP: 25 • POP3 : 110 • SSL : 443 • RPC : 135 Demain ? ?
Le mode connecté : OWA et OMAExchange Server 2003 • Outlook Web Access • Correcteur orthographique, Règles, Tâches et toutes les fonctions appréciables de Outlook 2003 • Performance accrue (plus de 50% vs Exchange 2000 Serveur) • Sécurité • Authentification via formulaires, blocage des attachements, blocage des contenus externes, chiffrement et signature S/MIME • Outlook Mobile Access • Outlook Web Access pour les terminaux mobiles • Acceptant potentiellement tout type de clients • Génère du WML, HTML, xHTML et cHTML correspondant aux différents terminaux • .NET Framework Device Updates accroît le nombre de terminaux supportés
Ex2003 Back-End Servers Ex2003 Front-End Perimeter Network (DMZ) SSL SSL SSL ISA or 3rd party Firewall ISA or 3rd party Firewall ISA Windows 2003 AD Le mode synchronisé : Exchange ActiveSync (EAS) • Synchronisation des E-mail, agenda, et contacts (plus avec E2K3SP2 et WM5.0) • Protocole adopté par: • PalmOne (Treo650 & LifeDrive) • Motorola (A780) • DataViz (RoadSync) • Nokia • Symbian • Architecture identique à OWA/RPC-HTTP Principe fondamental de sécurité: aucune information ne « sort » du périmètre de l’entreprise si elle n’a pas été sollicitée (contrôlée) par un client.
SSL SSL SSL ou HTTP Internet Pare-feu traditionnel OWA ISA Server 2004 Protection de OWA/Activesync avec ISA Serveur 2004Réduction de la surface exposée et simplification de publilcation URLScan Délégation d’authentification Basic ISA Server peut déchiffrer et inspecter le trafic SSL …ce qui permet aux virus et aux vers de se propager sans être détectés… L’analyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer Le serveur OWA fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse URL par ISA Server Client SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. …et d’infecter les serveurs internes !
L’assistant de publication de messagerie facilite la configuration et limite les erreurs potentielles pouvant entrainer des failles de sécurité Configuration & Administration simplifiées
DNS interne Domain Controller Exchange Backend1 Exchange FrontEnd1 DNS externe ISA Serveur Processus de synchronisation Le client ActiveSync est configuré pour utiliser mail.contoso.com IP de mail.contoso.com? 131.107.76.146 SSL avec 131.107.76.146 SSL valide /microsoft-server-activesync/00101001 Règle de publication: IP pour mail.contoso.com? 192.168.1.101 SSL avec 192.168.1.101 SSL valide /microsoft-server-activesync/00101001 Authentification Basic? Authentification Basic? contoso\user1, p@ssw0rd contoso\user1, p@ssw0rd IP pour un DC du domaine contoso? 192.168.1.201 Authorisation OK? Oui Quel BE ? IP pour Backend1? Backend1 192.168.1.251 IPSec (BAL pour user1?) SSL (Data) SSL (Data) IPSec (Data)
Exchange Service Pack 2 et Windows Mobile 5 Messaging and Security Feature Pack • Direct Push • Améliorations fonctionnelles (recherche dans la GAL, tâches, …) et ergonomiques • Gestion distante des politiques de sécurité • Gestion distante des terminaux • Support de S/MIME et FIPS-140-2
Disponibilité du MSFP Windows Mobile 5.0 AKU2 est le vecteur de diffusion de cette version AKU = Adaptation Kit Update Les AKUs sont à destination des OEM / constructeurs uniquement (pas un fichier .CAB) Mise à disposition via: OEM -> Opérateur Mobile -> Utilisateur Les AKUs sont cumulatifs (ie. Services Packs…). L’AKU2 hérite des améliorations précédentes Gestionnaire réseaux (Wireless Manager) Explorateur de fichiers pour Smartphone Améliorations Bluetooth & Windows Media Player
5. Le terminal déclenche immédiatement une requête de synchronisation. 2. Exchange 2003 maintient la requête en attente jusqu’à l’expiration de l’intervalle (heartbeat) 4. Si un mail arrive afin la fin de l’intervalle, Exchange 2003 notifie le terminal qu’une modification est survenue dans la BAL 3. Si aucun mail n’arrive avant la fin de l’intervalle (heartbit) le terminal renvoie une requête (keep alive) Cinématique Direct Push Serveur Exchange 2003 SP2 1. Le terminal envoie une requête au serveur Exchange 2003 SP2 server Terminal Windows Mobile 5 avec le MSFP
Impact sur la bande passante Serveur Exchange 2003 SP2 • Le terminal envoie une requête au serveur Exchange 2003 SP2 afin de générer une connexion IP • Cette connexion permanente génère un surcoût Par défaut l’intervalle (Heartbeat) est de 15min, le “surcoût” incrémental de cette solution est de: 370 bytes par heartbeat * 4 heartbeats par heure * 24 heures par jour * 30 jours = 1.06MB par mois Cette architecture permet néanmoins de rester indépendant du transport et de l’opérateur (fixe ou mobile) Terminal Windows Mobile 5 avec le MSFP
Optimisation de la bande passant via compression (GZIP) Compression GZIP sur le serveur Efficacité Compression avant envoi Gains importants en bande passante et en latence (rapidité) entre Windows Mobile 2003 et Windows Mobile 5 Les test initiaux indiquent des gains entre 35% et 60% Index = 100
Remarques concernant le Direct Push Chiffrement de la connexion SSL est utilisé pour négocier la sécurité du transport. Par défaut le chiffrement est de type RC4 3DES peut être utilisé (impact sur tous les trafics SSL du frontal) http://support.microsoft.com/default.aspx?scid=kb;en-us;245030 Configuration des pare-feux: Afin de conserver la connexion il peut être nécessaire de paramétrer les pare-feux de telle façon que les timeout de session pour accès vers EAS soient de 15-30mins http://support.microsoft.com/default.aspx?scid=kb;en-us;905013 Le Wifi n’est pas supporté La Registry est votre amie (attention quand même)…
Accès à l’annuaire (GAL) Conçu pour un accès simplifié depuis Contacts Sélection d’un contact intégrée avec la messagerie, téléphone, calendrier, etc. Accès aux propriétés majeures des contacts dans la GAL (Global Address List) Gestion des ambigüités et des listes de distribution Remarque: l’accès à la GAL nécessite l’implémentation de OWA et la configuration de permissions
Considérations sur l’usage de S/MIME en mobilité Pré-requis: Messaging and Security Feature Pack for Windows Mobile 5.0 (AKU2) Exchange 2003 SP2 La signature et le chiffrement interopérables avec la version poste de travail Utilisable avec un lecteur de SC externe uniquement Le serveur Exchange décharge le client des opérations de Clefs Publiques
Démonstration AccèsPolitique sécuritéRéinitialisation à distance
Authentification basique (SSL) Authentification par certificat Utilisation de certificats pour l’authentification • Pas de nécessité de stocker des credentials (username/password) du réseau sur le terminal • Acquisition du certificat via la connexion PC (socle) • A la discrétion de l’IT
Remarques sur l’usage des certificats dans ce contexte Lors de l’expiration du certificat, les utilisateurs doivent connecter physiquement (socle) le terminal sur le réseau Alerte 14 jours avant expiration L’usage des certificats dans l’implémentation du MSFP entraine la nécessité d’une connexion directe chiffrée entre le frontal et le terminal (pas de possibilité d’arrêter le protocole pour inspection au niveau des proxy/pare-feux !!!). Outil: CertAuthTool disponible en téléchargement http://www.microsoft.com/downloads/details.aspx?FamilyId=82510E18-7965-4883-A8C3-F73F1F4733AC&displaylang=en
Réinitialisation à distance Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le stockage amovible) Géré par un outil Web (IIS 6 nécessaire) Peut être délégué au centre de support Historique (Transaction log) Microsoft Exchange ActiveSync Mobile Web Administration tool:http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en
Architecture classique ExFE SMTP ExBE AD
ExFE SMTP ExBE AD Nouveaux besoins, nouvelles architectures • Serveurs critiques au sein du périmètre de l’entreprise pour une protection accrue • Ajouter ISA Serveur à votre DMZ • Ne remplacez rien, ajoutez !!! • Elevez le niveau de sécurité par la publication de: • Exchange RPC • OWA sur HTTPS • RPC sur HTTPS • SMTP (filtrage du contenu) ISA Server
Synthèse des moyens nécessaires… Windows Mobile 5.0 et le Messaging & Security Feature Pack • Direct Push • Sécurité contrôlée à distance • Accès GAL • etc Service Pack 2 – Serveur frontal (FE) Exchange 2003
Légende Filaire Sans fil Conclusion (hors terminaux): Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux Wireless PDA Serveur FE Mailbox Server Internet Smart phone DMZ MailboxServer Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wi-Fi PDA Wi-Fi Smart phone • Accès unique “nom du server” = “monentreprise.com”
Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com