La convergence des usages, l'ouverture à des acteurs externes -clients ou partenaires-, la mobilité et le télétravail entre parfois en conflits avec des pratiques et des politiques de sécurités existantes inadaptées à ces nouveaux usages. Cette session a pour objectif d'identifier les conflits et les bonnes questions de sécurités à traiter et brisera certains mythes et craintes liés à la sécurité des solutions Lync. Elle vous guidera vers les bonnes approches et pratiques de mise en oeuvre.
Migration et Plan de Reprise d’Activité simplifié dans Azure
Communications Unifiées et Sécurité : Mythes et réalités
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
5. Serveurs / Entreprise / Réseaux / IT
• Microsoft Secure Development Lifecycle
• Le mot de
http://www.miercom.com/pdf/reports/20101117.pdf
Généralités
6. Serveurs / Entreprise / Réseaux / IT
• Lync : Une solution logicielle
– Basé sur serveur Windows
– Se « patche » comme n’importe quel autre serveur Windows
– Best Practice Analyzer http://technet.microsoft.com/en-
us/library/gg558584.aspx
– Seuls les services nécessaires sont installés
– Firewall Windows configuré automatiquement
• Antivirus système
– Ne pas oublier les exclusions ! http://technet.microsoft.com/en-
us/library/gg195736.aspx
(Processus Lync, IIS, SQL, Fichiers et Répertoires)
Généralités - La sécurité en profondeur
8. RÉSEA
U
Généralités
Serveurs / Entreprise / Réseaux / IT
• PKI nécessaire pour les Certificats Internes
– Certificats auto signés non supportés
– Certificats X509v3 avec SAN
– CA Microsoft intégrée – Requête entièrement pilotée ou
– CA Microsoft non intégrée ou PKI tierce via PKCS #10
– Attention aux CDP (Accès CRL), AIA, Key Usage etc…
• Certificats publics pour le Edge et
Reverse Proxy
– Scénarios externes
– CA Publique de confiance par défaut
– Requête : Via PKCS #10
– Être sûr à 100% avant de requêter !
• Prérequis :
– http://technet.microsoft.com/en-
us/library/gg398066.aspx
10. DIFFÉRENTES MÉTHODES
Authentification
Serveurs / Entreprise / Réseaux / IT
• Active Directory
– Base d’authentification
– 1 utilisateur Lync Authentifié = 1 compte Active Directory
• Kerberos
– Utilisateurs de l’entreprise internes (accès à un KDC)
– Stations dans Active Directory
– Modèle forêt de ressource possible
• NTLM
– Utilisateurs de l’entreprise internes et/ou externes
– Authentification basée sur la fourniture d’un mot de passe
• Certificats
– Authentification des utilisateurs Lync, Lync Phone Edition
– Emis par le serveur Lync
– Nécessite une pré authentification pour récupérer le certificat (Kerberos, NTLM ou Code
PIN)
– Peut être révoqué (Revoke-CSClientCertificate)
• Code PIN
– Authentification téléphone Lync Phone Edition
– Authentification pont de conférence audio
– Fournir un num de téléphone ou extension obligatoire
– Peut être pré renseigné (Set-CSClientPin)
– Peut être bloqué (Lock-CSClientPin)
• Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)
11. RÔLE EDGE
Accès Internet
Serveurs / Entreprise / Réseaux / IT
• Accès au service Lync depuis Internet sans
VPN (Remote user, Invités, Federation)
• Serveur en DMZ, Sorte de Reverse Proxy
spécifique à Lync, rien devant.
• VPN possible mais…
• Attention 2 interfaces réseaux = 2 DMZ
Privée/Publique
• OS Windows, pas dans AD, Lync Trusted Server
• MTLS avec les serveurs Internes, TLS avec les
clients
• Echange des secrets au travers du flux SIP
• Mécanisme de rendez-vous pour l’audio et la
vidéo.
12. RÔLE
EDGE
Accès Internet
Serveurs / Entreprise / Réseaux / IT
• Peu de ports ouverts
vers l’intranet
• Mécanisme de
rendez-vous
• Support de ports
simples pour les
accès externes
(TCP443)
13. RÔLE
EDGE
Accès Internet
Serveurs / Entreprise / Réseaux / IT
• Mécanisme de rendez-vous
– 0. Etablissement du canal SIP et Authentification
utilisateur.
– 1. Authentification de l’utilisateur externe auprès
du service Edge A/V
– 2. Autorisation de connexion auprès du service
Edge A/V
– 3. Appel de l’utilisateur Interne (via SIP)
– 4. Authentification de l’utilisateur interne auprès
du service Edge A/V
– 5. Autorisation de connexion auprès du service
Edge A/V. Commutation de l’appel.
• Clé de chiffrement symétrique
échangée grâce à SIP over
TLS (AES 128 bits)
14. VLAN VOIX/DATA
Accès Voix
Serveurs / Entreprise / Réseaux / IT
• Lync fonctionne sur le VLAN Data
– Téléphonie IP Traditionnelle utilise VLAN Voix
Dédié
– Quid des interconnexions avec IP-PBX, SIP
Trunk Provider, RTC (PSTN) ?
• Plusieurs Modèles d’interconnexion
– Direct SIP entre Mediation et IP-PBX
– Via une Media Gateway (IP-IP ou IP-TDM)
• Media Gateway conseillée
– 2 NICs, Routage entre les 2 VLANs
– Module SBC possible (Elément de sécurité)
16. BANDE PASSANTE
Contrôle
Serveurs / Entreprise / Réseaux / IT
• Problématique :
– Le réseau, une ressource limitée (Data,
WAN)
– Objectif : Limiter l’impact sur le réseau
• Call Admission Control (CAC)
– Plafonner le trafic Audio/Vidéo
(Session/Global)
– Modélisation du réseau et des liens
– Application de stratégies de bande
passante
• Partage d’application/Bureau :
– Limiter le trafic
Set-CSConferencingPolicy - AppSharingBitRateKb
• Transfert de fichier :
– Limiter le trafic
Set-CSConferencingPolicy - FileTransfertBitRateKb
17. RBAC – ROLE BASED ACCESS CONTROL
Administration
Serveurs / Entreprise / Réseaux / IT
• Rôles prédéfinis
• Assignables par
groupes/users
• Scopable
– Par Sites
– Par OU
– Etc…
• Possibilité d’en créer
de nouveaux
18. Pour aller plus loin
Serveurs / Entreprise / Réseaux / IT
Lync Security Guide
http://www.microsoft.com/en-us/download/details.aspx?id=2729
Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet)
http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication-
over-the-internet/
Guide de hardening Lync :
http://www.microsoft.com/en-us/download/details.aspx?id=2729
Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010
http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync-
server-2010.aspx
Lync Server 2010: Security at the Edge
http://technet.microsoft.com/en-us/magazine/hh219285.aspx
An update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environment
http://support.microsoft.com/kb/2621840
Et
http://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.html
http://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html
19. Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner
gratuitement
Essayer gratuitement nos
solutions IT
Retrouver nos experts
Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-
developpeurs
http://aka.ms/itcamps-france
Les accélérateurs
Windows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDN
http://aka.ms/devteam
L’IT Team sur TechNet
http://aka.ms/itteam
Serveurs / Entreprise / Réseaux / IT
Notas del editor
Notation
Intro Serveurs / Entreprise / Reseaux / IT
Exemple de page image
SDL : a process that Microsoft has adopted for the development of software that needs to withstand malicious attack. The process encompasses the addition of a series of security-focused activities and deliverables to each of the phases of Microsoft's software development process.Depuisquecetteméthodeestappliquée le nombre de vulnérabilités au sein de nosproduitsontconsidérablementdiminuées.Au delà du fait que nous Microsoft disonsque Lync estsécuriséque font les autres ? Et bien les autres font des tests commeMiercom.Le mot de Miercom :Qui estMiercom ? : Miercom is a privately held network consultancy, specializing in networking and communications-related product testing and analysis.Miercom a donc fait touteunebatterie de tests, dont on voit un exempleicisurcette slide (concernantuneattaqueoù on fait muter les packet TCP) maispeuimporte Lync a résisté à l’ensemble des tests, moyennantparfoisl’application d’un patch.Cequ’ilest important de retenirc’est :Vouspouvezretrouverl’ensemble des tests sur le site de MiercomAppliquer les patch de sécurité, ce qui m’amène à prochaine slide
Lync est une solution logicielle basée sur Microsoft Windows, se patche comme n’importe quel serveur Windows
Nous parlions juste avant de Sécurité en profondeur ceci s’applique aussi au niveau des flux réseau engendrés par la solutionL’ensemble des flux sont chiffrés, y compris internesDescription du tableauEntre les clients Lync et les serveurs Lync : TLSServeurs à Serveurs Lync : MTLS…On parle de TLS, MTLS, HTTPS mais ceci implique la présence de certificats sur les serveurs. Pas n’importe quels certificats, ceux-ci doivent être issus d’une PKI. C’est un point très important, si vous avez déjà une PKI on peut la réutiliser à condition que celle-ci soit capable de délivrer des certificats x509v3 avec des entrées SAN (SubjectAlternate Name).
On parle de TLS, MTLS, HTTPS mais ceci implique la présence de certificats sur les serveurs. Pas n’importe quels certificats, ceux-ci doivent être issus d’une PKI. C’est un point très important, si vous avez déjà une PKI on peut la réutiliser à condition que celle-ci soit capable de délivrer des certificats x509v3 avec des entrées SAN (SubjectAlternate Name).
Les blocs de couleurssontéditables et peuventreprendre la couleur du type de session qui estdonnée.Idem pour les textes.
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
Security of end-to-end mediaThe signaling channel used to negotiate a media session is protected using 128-bit TLS encryption with validation that the server certificate has a matching FQDN and trusted authority. This mechanism is very similar to the one that e-commerce sites use for online transactions. To secure the media itself, Office Communications Server implements the IETF’s SRTP protocol. The mechanism uses a 128-bit key exchange over the secure signaling channel, which the two endpoints then use to encrypt and decrypt the media stream using 128-bit Advanced Encryption Standard (AES) encryption. This ensures that even if an attacker can perform a man-in-the-middle attack of the media path, the attacker is not able to eavesdrop on the conversation or inject additional media packets. In the latter case, the client simply drops the packets.A/VThe following sequence of events takes place when a remote user calls internal users and therefore needs to be able to send voice, VoIP, or both by means of the A/V Edge Server: 1. The remote user establishes an authenticated SIP session by having the user sign in to Office Communications Server. Within the context of this authenticated, encrypted SIP session, the user can obtain authentication credentials from the A/V Authentication service.2. The remote user authenticates itself with the A/V Edge service and obtains media session ports (Office Communications Server 2007 R2 uses 3478/UDP) on the server for use in the upcoming call. At this point, the remote user can send packets by way of the allocated port on the public IP address of the A/V Edge service, but still cannot send media packets inside the enterprise.3. The remote user calls the internal user by way of the SIP signaling channel provided by the Access Edge service. As part of the call setup, the internal user is informed about the port on the A/V Edge service that the remote user has available to exchange media.4. The internal user contacts the A/V Edge service on its private IP address to be authenticated to receive media. The internal user is also allocated a port on the A/V Edge service public address (Office Communications Server 2007 R2 uses 3478/UDP) for use in the media session. After receiving the port, the internal user, again by way of the Access Edge service, answers the call and thus informs the remote user of the port it has obtained on the A/V Edge service for media exchange.The call setup is complete. Internal and external users begin to exchange media.
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.